表2
特性
优势
基于硬件的DES与3DES加密
总体加密性能比软件加密方法有所提高
从主处理器进行的高开销IPSec处理
可将重要的处理资源留给其它服务,如路由、防火墙和语音
认证支持通过数字证书实现了自动验证
为要求在多个地点间建立安全连接的大型网络扩展了加密的使用范围
VPN模块能够很方便地集成到新的和现有的Cisco
2600与3600系列路由器中
大幅度降低了系统成本、管理复杂性以及多机箱解决方案的部署复杂性
管理
Cisco Secure Policy
Manager,这是一种面向大中型VPN部署的综合管理工具,可以配置IPSec隧道和防火墙规则(VPN Solution Center 2.0是一个SP
MPLS/IPSec管理工具)
IPSec提供了保密性、数据完整性与数据源验证
允许面向WAN安全地使用公共交换网和互联网
特性
Cisco完全支持所有描述IPSec和相关协议的评论请求(RFC),即RFC 2401-2410。
Cisco具体支持以下特性:
- IPSec--利用加密技术提供了一个专有网络中各个对等之间的数据保密性、完整性与真实性。Cisco完全支持封装安全有效负载(ESP)和验证报头(AH)。
- IKE--根据互联网安全关系密钥管理协议或ISAKMP/Oakley,IKE提供了安全关系管理。IKE将对一个IPSec交易中的每个对进行验证,协商安全策略并处理会话密钥的交换。
- 认证管理--Cisco完全支持X509.V3认证系统,用于设备验证和简单认证注册协议(SCEP),这一协议专门用于与认证权威机构进行通信。有几家厂商(包括Verisign, Entrust Technologies和Microsoft)支持SCEP并可与Cisco设备进行互操作。
- DES与3DES--所有目的地为IPSec隧道的分组均要求DES或3DES加密。Cisco 2600与3600系列VPN模块利用DES或3DES加密数据,同时使主处理器能够处理其它任务。
- RSA签名与Diffie-Hellman--在每次建立IPSec隧道时使用,用于验证IKE SA。Diffie-Hellman用于衍生共享的加密密钥,以保护IKE SA上的数据,包括IPSec策略的协商。
- 增强的安全性--基于硬件的密码方法比基于软件的解决方案有更多的安全优势,包括增强了对密钥的保护。
Cisco 2600与3600系列和VPN模块已提交FIPS 140-1 2级安全性申请,但现在尚未获得批准。Cisco IOS IPSec软件已获得FIPS 140-1 2级认证。
用于基于企业的VPN网络的管理工具
Config Maker
Config Maker是一种易于使用的独立式Windows GUI,可使用户执行与控制台端口直接相连的或基于Telnet的简单IPSec配置规则。注册用户可以从www.cisco.com的Cisco软件中心免费下载Config Maker。Config Maker适用于那些Cisco CLI经验较少而且计划部署一个简单的VPN(3到10个设备)的用户。
Cisco Secure Policy Manager
Cisco Secure Policy Manager (CSPM)是一种基于Windows NT的软件工具。CSPM 2.3版是Cisco安全策略管理工具的最新版本,利用这一工具,客户可以从一个中央地点定义、分布、执行并检查网络中的安全策略。CSPM简化了对复杂网络安全要素的管理,例如基于IPSec的VPN。除管理Cisco VPN路由器外,CSPM还能够管理Cisco PIX防火墙和Cisco入侵检测系统(IDS)。CSPM能够为企业客户大幅度简化Cisco IOS防火墙以及Cisco IOS IPSec VPN部署,使管理员也能利用一个中央工具定义高级的安全策略。
用于服务供应商VPN网络的管理工具
上一篇:思科 7401ASR-CP特殊应用路由器管理服务、客户单位设备/专用设备(CPE/CLE)应用概览
下一篇:思科7500先进路由器
|
精品推荐