Cisco IOS防火墙特性集(2)

    -标准和扩展的访问控制列表(ACL)：将访问控制用于特定的网段，并定义那些通信可以通过一个网段。

　　-锁定和密钥动态的ACL：根据用户身份(用户名/口令)授予通过防火墙的暂时访问。

　　基于策略的多端口支持：根据由安全策略决定的IP地址和端口，提供控制用户访问的能力。

　　网络地址转换(NAT)：通过对外界隐藏内部地址增强网络保密性；通过启动注册IP地址的保护，降低Internet访问的成本。

　　同级路由器验证：确保路由器从可 靠的来源收到路由信息。

　　事件日志记录：通过将系统错误消息输出到一个控制台终端或系统日志服务器、设置严重级以及记录其他参数，允许管理员实时跟踪潜在的违法或其他非标准活动。

　　虚拟专用网络(VPN)：利用下列任何协议，通过公共线路(例如Internet)提供安全的数据传输；降低远程分支办事处和外部网的实现及管理成本；增强服务质量和可靠性；提供基于标准的互操作性。

　　-一般路由密封(GRE)隧穿

　　-第二层转发(L2F)

　　-第二层隧穿协议(L2TP)

　　-服务质量(QoS)控制：排定应用程序优先顺序和分配网络资源，进而确保关键任务应用程序通信的交付。

　　Cisco加密技术：网络层加密功能，在传输期间防止通过网络窃取或窜改数据。

　　IPSec：基于标准的网络层加密，提供数据保密性和验证。

　　关于新特性的详细资料

　　基于上下文的访问控制

　　基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集最显著的新增特性。CBAC技术的重要性在于，它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在，紧密安全的网络不仅允许今天的应用通信，而且为未来先进的应用(例如多媒体和电视会议)作好了准备。CBAC通过严格审查源和目的地址，增强了使用众所周知端口(例如ftp和电子邮件通信)的TCP和UDP应用程序的安全。

 　　CBAC的工作原理

　　CBAC是一个适用于IP通信的基于每个应用的控制机制，包括标准TCP和UDP Internet应用程序、多媒体应用程序(包括H.323应用程序、CU-SeeME、VDOLive、Streamworks及其他应用程序)以及Oracle数据库。CBAC检查TCP和UDP包，并跟踪它们的"状态"或连接状态。