思科-互联网服务提供商成功案例(2)

　　XB 网络公司的骨干网络是基于思科 12000 系列路由器构建的，该系列路由器的带宽范围为 2.5 Gbps/ 插槽到 40Gbps/ 插槽，可以支持电信级的 IP/ 多协议标签交换 (IP/MPLS) 核心网络和边缘网络。思科 12000 系列路由器通过一条千兆光纤链路和思科 7200 系列路由器相连，而思科 7200 系列路由器是业界在企业边缘应用方面应用得最为广泛的通用服务路由器。思科 7200 系列路由器通过千兆以太网或者 155Mbps 链路 (STM-1) 将流量传递到部署了大量思科接入路由器的客户所在地。根据客户需求的差异，接入路由平台可以有 Cisco 800 、 Cisco 1700 、 Cisco 2600 和 Cisco 3700 系列路由器等多种选择。

　　对订购了 XB 网络所提供的可管理安全产品的客户来说，思科路由器、安全设备管理器 (SDM)2.0 和思科 IOS 防火墙都运行在 CPE 边缘路由器上。思科 IOS 软件集成了最先进的防火墙功能和入侵防护功能，特别适合网络边缘应用。它提供了很多强大的安全功能，如基于状态和应用的过滤功能;动态的每用户鉴权和授权功能;网络攻击防御功能; java 阻塞功能;以及实时告警功能。它不仅支持网络边缘的单点保护，而且通过思科 IOS 防火墙的部署，安全策略已经成为网络本身的固有部件。

　　“我们已经使用了思科 IOS 软件所提供的标准访问控制目录功能，而现在我们还可以使用思科提供的高级功能集”， XB 网络的技术主管 Marcel Knol 说。“通过将状态包过滤功能和思科网络准入控制( NAC )策略以及其他功能相结合，我们可以轻松地防御来自内部和外部的威胁。”

　　思科 IOS 防火墙提供基于上下文的访问控制 (CBAC) 功能，该功能是一个先进的流量过滤技术，可以智能地对传输控制协议( TCP )包和用户数据报协议( UDP )包进行过滤，并判断它们是否含有恶意的病毒或者蠕虫。只有当连接是从网络内部发起至被保护节点的时候，才可以配置 CBAC 以允许某些指定的 TCP 和 UDP 流量通过防火墙。如果不具备 CBAC 功能，则流量过滤仅限于执行访问控制目录，即只在网络层或者传输层对信息包进行检查。 CBAC 则除了在网络层和传输层对信息包进行检查之外，还会检查应用层协议信息以获知 TCP 或者 UDP 会话的状态。此外，思科 IOS 防火墙的另外一个功能――每用户防火墙功能，通过在鉴权、授权和计费( AAA )服务器中使用一个用户文件，允许以每用户为单位下载防火墙、访问控制目录( ACL )和其他设置，从而可以让服务提供商能够为客户提供可管理的防火墙解决方案。