Cisco IOS安全体系结构

防火墙
Cisco通过建议客户道德定义他们的安全政策来解决这一问题。一旦定义了这些政策，就可以采用多个安全组件来满足政策要求。Cisco IOS安全体系机构的组件包括：防火墙、访问管理、宿主安全、加密。




过去几年，路由器一般是企业的智能资产与其网络之间的唯一东西。路由器被独特地定位、设计和配备，以用来在各种级别的开放系统互连（例如OSI reference model）模型中控制及报告数据流。随着今天网络的可访问性及功能的提高、以及公司通过经济有效的远程访问设备连接，风险程度逐步降低。如果一个路由器被安排提供网络外围安全，那么它通常是指“防火墙路由器”。防火墙路由器内维护访问控目录（ACL），ACL的主要功能是提供过滤。IOS安全提供大量的工具来帮助报靠ACL违规（即非法访问）：




ACL违规记账
ACL违规记迪斯科：随着时间的推移，企业需要一个历史透视图来弄清哪些ACL已经经过测试。这种知识给网络管理人员提供了对入侵者是如何尝试进入某企业网络的一个了解。ACL违规记账提供来源和目的地地址信息、来源和目的地端口号码以及包个数。ACL违规日志记录
ACL违规日志记录：在今天的网络世界，提供强大的防火墙功能已不足以解决问题，网络管理人员需要一个集中化报告选项。过去，网络管理人员在发生损害之前不知道他们已经受到黑客的攻击。唯一可用的早期告区工具是扫描主机日志文件。尽管这仍然是一种优异的安全诊断方法，但是它不能很好地扩展。ACL报告工具通过提供违规信息和网络周边预防，给管理人员提供帮助。IOS包含ACL违规日志记录，给管理人员提供定期的系统日志记录，可以实时确实ACL违规。




网络地址转换
网络地址转换（NAT）：与全球Internet连接的网络数量急剧增加，造成了未来连接可用地址的迅速消耗。而World Wide Web对这种耗尽又起到了推波助澜的作用；而Internet正以每年30%到50%的速度发展。根据目前的估计，3到10年内，剩下的氖 Internet地址将全部用完。