- Văn bản
- Lịch sử
■ Stateful inspection with a high l
■ Stateful inspection with a high level of application awareness: From the Classic
IOS Firewall to the modern option known as the Zone-based Policy Firewall (ZFW),
full stateful firewall functionality is provided.
■ Identity services: Authentication-proxy functionality, user-based firewall features,
and Network Admission Control (NAC) are some of the services in this category.
■ Wide spectrum of secure connectivity models: From the classic IPsec service to
advanced VPN options such as Group Encrypted Transport (GET VPN), Cisco IOS
offers a wide spectrum of secure connectivity solutions.
■ Integrated intrusion prevention: Cisco IOS IPS is a natural companion to the integrated stateful firewall functionality in Cisco IOS routers.
the all-in-one solution provided by Cisco Integrated Services Routers (ISR). Among the
services available in the ISR platforms, some are briefly described here:
■ Multiprotocol routing: This is the original service that made Cisco routers so successful in the networking industry. Feature-rich implementations of routing protocols
such as Open Shortest Path First (OSPF), Enhanced Interior Gateway Protocol
(EIGRP), and the Border Gateway Protocol (BGP) are available in most ISR models.
Down from [www.wowebook.com]
ptg
20 Cisco Firewalls
■ Convergence services: Cisco is a historic sponsor of network convergence, supporting VoIP, VoFR, and VoATM since the early days of these technologies. Voice gateway and IP PBX features (Call Manager Express) are other examples of IOS-based
convergence services.
Note Although dedicated firewalls (such as Cisco ASA) are intrinsically closed, a router
is a connectivity provider and, by default, does not impose access restrictions by means of
any inherent packet filters. The Cisco IOS ZFW enables administrators to easily convert this
classic router behavior into the implicit deny model that characterizes dedicated firewalls.
Switch-Based Firewalls
The Cisco Firewall Services Module (FWSM) for Cisco Catalyst 6500 Series switches is a
firewall solution based on the ASA stateful inspection technology. Any physical port on
the hosting Catalyst switch can be configured for firewall policies, saving time and
efforts related to cabling.
The FWSM is well suited for intranets and virtualized environments. One of its premium
features is the capability to run any combination of Transparent mode and Routed mode
security contexts.
Note The FWSM is also supported on Cisco 7600 Series routers.
Classic Topologies Using Stateful Firewalls
Figure 1-15 summarizes classic network topologies in which stateful firewalls have been
largely deployed:
■ Internet access: This simple arrangement protects internal users that need access to
the Internet. The firewall policy specifies what traffic is enables outbound and simply
prohibits inbound connection initiation. Inbound packets are allowed only when they
correspond to an existent entry in the firewall state table.
■ Internet presence: This scenario includes a Demilitarized Zone (DMZ), in which
the publicly accessible servers are located. The firewall policy basically defines
which services in each DMZ host (server) should be visible on the outside. The firewall watches dmz-bound connection setup and keeps track of return traffic.
Typically, the DMZ servers are not allowed to initiate outbound connections. For
instance, this measure helps on blocking content upload to the outside in the eventuality of a server compromise.
IOS Firewall to the modern option known as the Zone-based Policy Firewall (ZFW),
full stateful firewall functionality is provided.
■ Identity services: Authentication-proxy functionality, user-based firewall features,
and Network Admission Control (NAC) are some of the services in this category.
■ Wide spectrum of secure connectivity models: From the classic IPsec service to
advanced VPN options such as Group Encrypted Transport (GET VPN), Cisco IOS
offers a wide spectrum of secure connectivity solutions.
■ Integrated intrusion prevention: Cisco IOS IPS is a natural companion to the integrated stateful firewall functionality in Cisco IOS routers.
the all-in-one solution provided by Cisco Integrated Services Routers (ISR). Among the
services available in the ISR platforms, some are briefly described here:
■ Multiprotocol routing: This is the original service that made Cisco routers so successful in the networking industry. Feature-rich implementations of routing protocols
such as Open Shortest Path First (OSPF), Enhanced Interior Gateway Protocol
(EIGRP), and the Border Gateway Protocol (BGP) are available in most ISR models.
Down from [www.wowebook.com]
ptg
20 Cisco Firewalls
■ Convergence services: Cisco is a historic sponsor of network convergence, supporting VoIP, VoFR, and VoATM since the early days of these technologies. Voice gateway and IP PBX features (Call Manager Express) are other examples of IOS-based
convergence services.
Note Although dedicated firewalls (such as Cisco ASA) are intrinsically closed, a router
is a connectivity provider and, by default, does not impose access restrictions by means of
any inherent packet filters. The Cisco IOS ZFW enables administrators to easily convert this
classic router behavior into the implicit deny model that characterizes dedicated firewalls.
Switch-Based Firewalls
The Cisco Firewall Services Module (FWSM) for Cisco Catalyst 6500 Series switches is a
firewall solution based on the ASA stateful inspection technology. Any physical port on
the hosting Catalyst switch can be configured for firewall policies, saving time and
efforts related to cabling.
The FWSM is well suited for intranets and virtualized environments. One of its premium
features is the capability to run any combination of Transparent mode and Routed mode
security contexts.
Note The FWSM is also supported on Cisco 7600 Series routers.
Classic Topologies Using Stateful Firewalls
Figure 1-15 summarizes classic network topologies in which stateful firewalls have been
largely deployed:
■ Internet access: This simple arrangement protects internal users that need access to
the Internet. The firewall policy specifies what traffic is enables outbound and simply
prohibits inbound connection initiation. Inbound packets are allowed only when they
correspond to an existent entry in the firewall state table.
■ Internet presence: This scenario includes a Demilitarized Zone (DMZ), in which
the publicly accessible servers are located. The firewall policy basically defines
which services in each DMZ host (server) should be visible on the outside. The firewall watches dmz-bound connection setup and keeps track of return traffic.
Typically, the DMZ servers are not allowed to initiate outbound connections. For
instance, this measure helps on blocking content upload to the outside in the eventuality of a server compromise.
0/5000
■ kiểm tra trạng thái với một mức độ cao nhận thức ứng dụng: từ the ClassicIOS tường lửa để các tùy chọn hiện đại, được biết đến như là những vùng dựa trên chính sách tường lửa (ZFW),tường lửa trạng thái đầy đủ chức năng được cung cấp.■ nhận dạng dịch vụ: chức năng xác thực ủy quyền, tính năng tường lửa dựa trên người sử dụng,và mạng nhập học kiểm soát (NAC) là một số các dịch vụ trong thể loại này.■ phổ rộng của mô hình kết nối an toàn: từ dịch vụ IPsec cổ điển đểtùy chọn chuyên sâu VPN như nhóm mã hóa giao thông vận tải (GET VPN), Cisco IOScung cấp một phổ rộng của giải pháp kết nối an toàn.■ công tác phòng chống xâm nhập tích hợp: Cisco IOS IP là người bạn đồng tự nhiên cho các chức năng tường lửa trạng thái tích hợp trong các router Cisco IOS.All-in-one giải pháp được cung cấp bởi Cisco tích hợp dịch vụ định tuyến (ISR). Trong số cácDịch vụ có sẵn trong nền tảng ISR, một số được một thời gian ngắn mô tả dưới đây:■ Multiprotocol định tuyến: đây là dịch vụ ban đầu thực hiện Cisco router để thành công trong ngành công nghiệp mạng. Giàu tính năng hiện thực của giao thức định tuyếnchẳng hạn như mở ngắn nhất con đường đầu tiên (OSPF), tăng cường nội thất cửa ngõ giao thức(EIGRP), và biên giới cổng giao thức (BGP) có sẵn trong hầu hết các mô hình ISR.Xuống từ [www.wowebook.com]PTG20 cisco tường lửa■ hội tụ dịch vụ: Cisco là nhà tài trợ lịch sử của mạng hội tụ, hỗ trợ VoIP, VoFR, và VoATM kể từ những ngày đầu của các công nghệ này. Cổng thoại và tính năng IP PBX (gọi quản lý nhận) là ví dụ khác của dựa trên IOSDịch vụ hội tụ.Lưu ý mặc dù chuyên dụng tường lửa (chẳng hạn như Cisco ASA) được intrinsically đóng cửa, một routerlà một nhà cung cấp kết nối, và theo mặc định, không áp đặt những hạn chế truy cập bởi means củabất kỳ bộ lọc gói vốn có. Cisco IOS ZFW cho phép người quản trị để dễ dàng chuyển đổi nàyhành vi của bộ định tuyến cổ điển vào các tiềm ẩn từ chối mô hình đặc trưng chuyên dụng tường lửa.Chuyển đổi dựa trên tường lửaCác Cisco tường lửa dịch vụ mô-đun (FWSM) cho thiết bị chuyển mạch Cisco chất xúc tác 6500 Series là mộtgiải pháp tường lửa dựa trên công nghệ kiểm tra trạng thái ASA. Bất kỳ cổng vật lý trênchuyển đổi chất xúc tác lưu trữ có thể được cấu hình cho tường lửa chính sách, tiết kiệm thời gian vànhững nỗ lực liên quan đến cáp.FWSM là rất thích hợp cho mạng nội bộ và diện môi trường. Một trong phí bảo hiểm của nótính năng là khả năng chạy bất kỳ sự kết hợp của chế độ minh bạch và Routed chế độbối cảnh an ninh.Lưu ý các FWSM cũng được hỗ trợ trên bộ định tuyến Cisco 7600 Series.Cổ điển topo bằng cách sử dụng tường lửa trạng tháiHình 1-15 tóm tắt topo mạng cổ điển trong đó trạng thái tường lửa đãphần lớn đã triển khai:■ Internet truy cập: sắp xếp đơn giản này bảo vệ người dùng nội bộ cần truy cập vàoInternet. Chính sách tường lửa xác định lưu lượng truy cập những gì là cho phép đi và chỉ đơn giản làCấm bắt đầu kết nối trong nước. Gói tin trong nước được phép chỉ khi họtương ứng với mục nhập đã tồn tại trong tường lửa của nhà nước bảng.■ Internet hiện diện: kịch bản này bao gồm một khu phi quân sự (DMZ), trong đóCác máy chủ truy cập công cộng được đặt. Tường lửa chính sách cơ bản định nghĩamà các dịch vụ trong mỗi DMZ máy chủ (server) nên được nhìn thấy trên bên ngoài. Các bức tường lửa đồng hồ thiết lập dmz-ràng buộc kết nối và theo dõi của lưu lượng truy cập trở lại.Thông thường, các DMZ máy chủ không được phép để bắt đầu kết nối ngoài. ChoVí dụ, biện pháp này giúp trên chặn tải lên nội dung bên ngoài trong ngâu nhiên của một thỏa hiệp hệ phục vụ.
đang được dịch, vui lòng đợi..
■ Stateful kiểm tra với một mức độ cao về nhận thức áp dụng: Từ cổ điển
IOS Firewall để các tùy chọn hiện đại gọi là Firewall Policy Zone-based (ZFW),
đầy đủ chức năng tường lửa được cung cấp.
■ dịch vụ nhận dạng: Xác thực-proxy chức năng, user- tính năng tường lửa dựa,
và Network Admission Control (NAC) là một số dịch vụ trong thể loại này.
■ phổ rộng các mô hình kết nối an toàn: Từ các dịch vụ IPsec cổ điển để
lựa chọn VPN tiên tiến như Nhóm Encrypted Giao thông vận tải (GET VPN), Cisco IOS
Mời . một phổ rộng các giải pháp kết nối an toàn
và phòng chống xâm nhập tích hợp: Cisco IOS IPS là người bạn đồng hành tự nhiên với các chức năng tường lửa tích hợp trong các router Cisco IOS.
một tất cả-trong-giải pháp cung cấp bởi Cisco Integrated Services Router (ISR). Trong số các
dịch vụ có sẵn trong nền tảng ISR, một số được mô tả ngắn gọn ở đây:
■ Multiprotocol định tuyến: Đây là dịch vụ ban đầu khiến các router Cisco rất thành công trong các ngành công nghiệp mạng. Triển khai tính năng phong phú của các giao thức định tuyến
như Open Shortest Path First (OSPF), nâng cao nội thất Gateway Protocol
(EIGRP), và Border Gateway Protocol (BGP) có sẵn trong hầu hết các mô hình ISR.
Down từ [www.wowebook.com]
PTG
20 Cisco Firewall
dịch vụ ■ Hội tụ: Cisco là một nhà tài trợ lịch sử của sự hội tụ mạng, hỗ trợ VoIP, VoFR, và VoATM kể từ những ngày đầu của các công nghệ này. Voice gateway và IP tính năng PBX (Call Manager Express) là những ví dụ khác của IOS dựa trên
các dịch vụ hội tụ.
Lưu ý Mặc dù tường lửa chuyên dụng (chẳng hạn như Cisco ASA) là bản chất khép kín, một router
là một nhà cung cấp kết nối và, theo mặc định, không áp đặt truy cập hạn chế bằng phương tiện của
bất kỳ bộ lọc gói tin vốn có. Cisco IOS ZFW cho phép các quản trị viên dễ dàng chuyển đổi này
hành vi định tuyến cổ điển vào phủ nhận mô hình tiềm ẩn đó là đặc điểm của các bức tường lửa chuyên dụng.
Switch-Based Firewall
Các Dịch vụ của Cisco Firewall Module (FWSM) cho Cisco Catalyst Switch 6500 Series là một
giải pháp tường lửa dựa trên stateful ASA công nghệ kiểm tra. Bất kỳ cổng vật lý trên
các Catalyst switch lưu trữ có thể được cấu hình cho chính sách tường lửa, tiết kiệm thời gian và
nỗ lực liên quan đến hệ thống cáp.
Các FWSM là rất thích hợp cho mạng nội bộ và các môi trường ảo hóa. Một trong cao cấp của
tính năng này là khả năng chạy bất kỳ sự kết hợp của chế độ trong suốt và Routed chế độ
bối cảnh an ninh.
Chú ý Các FWSM cũng được hỗ trợ trên Cisco 7600 Series router.
Cổ điển Topo Sử dụng tường lửa Stateful
Hình 1-15 tóm tắt cấu trúc liên kết mạng lưới cổ điển trong đó tường lửa stateful có được
chủ yếu được triển khai:
■ truy cập Internet: sắp xếp đơn giản này bảo vệ người sử dụng nội bộ mà cần truy cập vào
Internet. Các chính sách tường lửa định những gì là cho phép giao thông ra bên ngoài và chỉ đơn giản là
cấm bắt đầu kết nối inbound. Gói trong nước chỉ được phép khi họ
tương ứng với một mục tồn tại trong bảng trạng thái tường lửa.
■ hiện diện Internet: Kịch bản này bao gồm một khu vực phi quân sự (DMZ), trong đó
các máy chủ truy cập công cộng được đặt. Các chính sách tường lửa cơ bản xác định
những dịch vụ nào trong mỗi máy chủ DMZ (server) có thể thấy được ở bên ngoài. Các bức tường lửa đồng hồ dmz-ràng buộc thiết lập kết nối và theo dõi lưu lượng truy cập trở lại.
Thông thường, các máy chủ DMZ không được phép khởi tạo kết nối ra bên ngoài. Ví
dụ, biện pháp này sẽ giúp vào ngăn chặn các nội dung tải lên đến bên ngoài trong tình huống của một thỏa hiệp máy chủ.
IOS Firewall để các tùy chọn hiện đại gọi là Firewall Policy Zone-based (ZFW),
đầy đủ chức năng tường lửa được cung cấp.
■ dịch vụ nhận dạng: Xác thực-proxy chức năng, user- tính năng tường lửa dựa,
và Network Admission Control (NAC) là một số dịch vụ trong thể loại này.
■ phổ rộng các mô hình kết nối an toàn: Từ các dịch vụ IPsec cổ điển để
lựa chọn VPN tiên tiến như Nhóm Encrypted Giao thông vận tải (GET VPN), Cisco IOS
Mời . một phổ rộng các giải pháp kết nối an toàn
và phòng chống xâm nhập tích hợp: Cisco IOS IPS là người bạn đồng hành tự nhiên với các chức năng tường lửa tích hợp trong các router Cisco IOS.
một tất cả-trong-giải pháp cung cấp bởi Cisco Integrated Services Router (ISR). Trong số các
dịch vụ có sẵn trong nền tảng ISR, một số được mô tả ngắn gọn ở đây:
■ Multiprotocol định tuyến: Đây là dịch vụ ban đầu khiến các router Cisco rất thành công trong các ngành công nghiệp mạng. Triển khai tính năng phong phú của các giao thức định tuyến
như Open Shortest Path First (OSPF), nâng cao nội thất Gateway Protocol
(EIGRP), và Border Gateway Protocol (BGP) có sẵn trong hầu hết các mô hình ISR.
Down từ [www.wowebook.com]
PTG
20 Cisco Firewall
dịch vụ ■ Hội tụ: Cisco là một nhà tài trợ lịch sử của sự hội tụ mạng, hỗ trợ VoIP, VoFR, và VoATM kể từ những ngày đầu của các công nghệ này. Voice gateway và IP tính năng PBX (Call Manager Express) là những ví dụ khác của IOS dựa trên
các dịch vụ hội tụ.
Lưu ý Mặc dù tường lửa chuyên dụng (chẳng hạn như Cisco ASA) là bản chất khép kín, một router
là một nhà cung cấp kết nối và, theo mặc định, không áp đặt truy cập hạn chế bằng phương tiện của
bất kỳ bộ lọc gói tin vốn có. Cisco IOS ZFW cho phép các quản trị viên dễ dàng chuyển đổi này
hành vi định tuyến cổ điển vào phủ nhận mô hình tiềm ẩn đó là đặc điểm của các bức tường lửa chuyên dụng.
Switch-Based Firewall
Các Dịch vụ của Cisco Firewall Module (FWSM) cho Cisco Catalyst Switch 6500 Series là một
giải pháp tường lửa dựa trên stateful ASA công nghệ kiểm tra. Bất kỳ cổng vật lý trên
các Catalyst switch lưu trữ có thể được cấu hình cho chính sách tường lửa, tiết kiệm thời gian và
nỗ lực liên quan đến hệ thống cáp.
Các FWSM là rất thích hợp cho mạng nội bộ và các môi trường ảo hóa. Một trong cao cấp của
tính năng này là khả năng chạy bất kỳ sự kết hợp của chế độ trong suốt và Routed chế độ
bối cảnh an ninh.
Chú ý Các FWSM cũng được hỗ trợ trên Cisco 7600 Series router.
Cổ điển Topo Sử dụng tường lửa Stateful
Hình 1-15 tóm tắt cấu trúc liên kết mạng lưới cổ điển trong đó tường lửa stateful có được
chủ yếu được triển khai:
■ truy cập Internet: sắp xếp đơn giản này bảo vệ người sử dụng nội bộ mà cần truy cập vào
Internet. Các chính sách tường lửa định những gì là cho phép giao thông ra bên ngoài và chỉ đơn giản là
cấm bắt đầu kết nối inbound. Gói trong nước chỉ được phép khi họ
tương ứng với một mục tồn tại trong bảng trạng thái tường lửa.
■ hiện diện Internet: Kịch bản này bao gồm một khu vực phi quân sự (DMZ), trong đó
các máy chủ truy cập công cộng được đặt. Các chính sách tường lửa cơ bản xác định
những dịch vụ nào trong mỗi máy chủ DMZ (server) có thể thấy được ở bên ngoài. Các bức tường lửa đồng hồ dmz-ràng buộc thiết lập kết nối và theo dõi lưu lượng truy cập trở lại.
Thông thường, các máy chủ DMZ không được phép khởi tạo kết nối ra bên ngoài. Ví
dụ, biện pháp này sẽ giúp vào ngăn chặn các nội dung tải lên đến bên ngoài trong tình huống của một thỏa hiệp máy chủ.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- dậy sớm là một thói quen tốt
- As early as 3500 B.C., a gnomen (a stick
- I'm concerned that you'll miss the incre
- hậu quả của việc mất rừng là nó sẽ gây r
- Circuit-Level ProxiesCircuit-level proxi
- cần phải giảm đi
- my exam tomorrow at 12 of afternoon
- tôi không muốn nói dối
- Let me be honest with you...after seeing
- Firewall Performance ParametersFigure 2-
- Figure 1-8 Overview of Circuit-Level Pro
- THUYẾT TRÌNH MÔN HỌC THIẾT KẾ VÀ CHẾ TẠ
- vậy làm thế nào để giảm sự ô nhiê
- bạn có thể đi ngủ ngay bây giờ và ôn bài
- THUYẾT TRÌNH MÔN HỌC THIẾT KẾ VÀ CHẾ TẠ
- study on the early morning more receptiv
- tôi không biết nên an ủi bạn thế nào
- You can go to sleep now and review the a
- . This term identifies an intricate maze
- vì vậy nên tôi thích dậy sớm để học :)
- Hoa anh đào
- This first card indicates: a strong peri
- When you would be like that I would visi
- superimposed terraces.
