2.3 集成于IOS系统的防火墙的概述
Cisco防火墙
在探讨了这么多Cisco的专用防火墙之后,接下来我们要开始对Cisco基于路由器的防火墙进行介绍。
2.3.1 集成服务路由器
在很多场合(如企业分支机构)中,工作人员考虑最多的不是设备的吞吐量,而是其他一些因素,如设备部署起来是否灵活,或者设备所支持功能是否多样化等。在这类环境中,IOS防火墙往往可以大展身手,这种软件防火墙可以通过Cisco集成服务路由器(Integrated Services Router,ISR)为网络提供一体化的解决方案。
支持多种路由协议:不但可以支持传统的路由协议,也兼容许多新的路由解决方案,如高效路由功能。
应用协议感知型状态化监控技术:经典IOS防火墙和基于区域的策略防火墙(Zone-based Policy Firewall,ZFW)都可以支持这一技术。目前,Cisco推荐在部署IOS防火墙时使用ZFW技术。本书将在第9章和第10章中分别对这两种不同的技术进行介绍。
广泛的安全连接模型:Cisco除了支持传统的IPSec以外,还支持很多其他的解决方案,如Easy VPN、DM VPN和GET VPN等。
集成入侵防御功能:既可以通过IOS IPS实现纯软件的解决方案,也可以使用与Cisco IPS 4200设备或ASA AIP-SSM模块具有相同软件的专用入侵检测模块。
多服务集成:Cisco ISR可以充当语音网关和呼叫管理中心(IP-PBX),而且ISR也可以提供丰富的QoS特性以满足各种业务需求,尤其适合应用于存在带宽限制的WAN接入线路。
身份识别服务:此技术包括基于用户的防火墙解决方案(本书将在第14章中进行介绍)、三层NAC或802.1X技术(适用于支持LAN交换模块的路由器)。
ISR的设计理念就是实现服务集成。图2-10展示了ISR的第二代产品(G2)的性能和市场定位。我们从表中不仅可以看到有关防火墙功能的参数指标,也能看到其同时处理各类服务时的总性能(包括富媒体协作)。
Cisco对路由器集成各类服务的性能进行过非常详细的测试,尽管测试报告是不对外公开的,但当客户有特殊需求时,Cisco的销售代表也可以提供相关的参数报告。这些报告可以对客户部署网络提供巨大帮助。
2.3.2 汇聚服务路由器
ISR G2路由器的定位是在企业的分支机构中使用,但Cisco也推出了具有防火墙功能的高端路由器系列产品,即汇聚服务路由器(Aggregation Services Router,ASR)。这类设备可以安装多种嵌入式服务处理器(Embedded Services Processor,ESP)模块,因此即使在启用了(状态化防火墙、VPN和Netflow等)高级特性的情况下,它们也可以通过硬件处理的方式维持极高的吞吐量。
图2-11展示了ASR 1000的系列产品。在图2-12中,列举了使用不同的ESP芯片时,设备所对应的性能参数。
ASR 1000所使用的操作系统与以往的IOS平台略有不同,这个系列叫做IOS-XE,但它的命令行与传统的IOS操作系统几乎完全相同。
适合使用ASR 1000的场合如下所示。
在大型企业的总部充当VPN集中器,并运行基于区域的策略防火墙(ZFW)功能。图2-12中介绍了不同ESP芯片的加密性能指标。
在大型企业的总部充当分支站点的汇聚设备,并为其配置状态化防火墙(ZFW)和QoS特性。
在服务提供商中作为接入宽带用户的汇聚设备,为客户提供状态化防火墙功能。
ASR 1006是一款支持冗余ESP芯片和冗余路由引擎的设备,该设备如图2-13所示。图中的SPA代表共享端口适配器(Shared Port Adapter)和所对应的接口模块。SIP表示SPA接口处理器(SPA Interface Processor),其作用是用来安装SPA模块。如果想了解更多有关ASR的产品资料,请参考Cisco在线文档资料。