“我们选择思科解决方案的原因在于思科能够为我们提供一个完整的工具包，” XB 网络的管理主管 Erik van Laar 解释说。“ Cisco IOS 防火墙运行在位于客户所在建筑物内的思科设备上，从而可以保证我们为客户站点提供的服务具备企业级的连通性。因此，在客户现有的设备上部署防火墙服务非常容易。而且我们的员工对思科公司的产品非常熟悉，我们无须花费大量的时间来进行额外的培训和管理。因此在当前形势下，思科公司的解决方案非常适合我们。”

　　XB 网络公司的骨干网络是基于思科 12000 系列路由器构建的，该系列路由器的带宽范围为 2.5 Gbps/ 插槽到 40Gbps/ 插槽，可以支持电信级的 IP/ 多协议标签交换 (IP/MPLS) 核心网络和边缘网络。思科 12000 系列路由器通过一条千兆光纤链路和思科 7200 系列路由器相连，而思科 7200 系列路由器是业界在企业边缘应用方面应用得最为广泛的通用服务路由器。思科 7200 系列路由器通过千兆以太网或者 155Mbps 链路 (STM-1) 将流量传递到部署了大量思科接入路由器的客户所在地。根据客户需求的差异，接入路由平台可以有 Cisco 800 、 Cisco 1700 、 Cisco 2600 和 Cisco 3700 系列路由器等多种选择。

　　对订购了 XB 网络所提供的可管理安全产品的客户来说，思科路由器、安全设备管理器 (SDM)2.0 和思科 IOS 防火墙都运行在 CPE 边缘路由器上。思科 IOS 软件集成了非常先进的防火墙功能和入侵防护功能，特别适合网络边缘应用。它提供了很多强大的安全功能，如基于状态和应用的过滤功能;动态的每用户鉴权和授权功能;网络攻击防御功能; java 阻塞功能;以及实时告警功能。它不仅支持网络边缘的单点保护，而且通过思科 IOS 防火墙的部署，安全策略已经成为网络本身的固有部件。

“我们已经使用了思科 IOS 软件所提供的标准访问控制目录功能，而现在我们还可以使用思科提供的高级功能集”， XB 网络的技术主管 Marcel Knol 说。“通过将状态包过滤功能和思科网络准入控制( NAC )策略以及其他功能相结合，我们可以轻松地防御来自内部和外部的威胁。”

　　思科 IOS 防火墙提供基于上下文的访问控制 (CBAC) 功能，该功能是一个先进的流量过滤技术，可以智能地对传输控制协议( TCP )包和用户数据报协议( UDP )包进行过滤，并判断它们是否含有恶意的病毒或者蠕虫。只有当连接是从网络内部发起至被保护节点的时候，才可以配置 CBAC 以允许某些指定的 TCP 和 UDP 流量通过防火墙。如果不具备 CBAC 功能，则流量过滤仅限于执行访问控制目录，即只在网络层或者传输层对信息包进行检查。 CBAC 则除了在网络层和传输层对信息包进行检查之外，还会检查应用层协议信息以获知 TCP 或者 UDP 会话的状态。此外，思科 IOS 防火墙的另外一个功能――每用户防火墙功能，通过在鉴权、授权和计费( AAA )服务器中使用一个用户文件，允许以每用户为单位下载防火墙、访问控制目录( ACL )和其他设置，从而可以让服务提供商能够为客户提供可管理的防火墙解决方案。

　　与思科 SDM2.0 和思科 IOS 防火墙一起联合运行的是思科入侵防护系统( IPS )。思科 IPS 扫描那些可以指示恶意活动的流量类型和信息包，并通过在网络中集成安全措施来防御病毒、蠕虫和其他安全威胁。 IPS 对通过网络的流量进行扫描并与思科公司负责维护的“指纹数据库”进行对比，使得恶意活动在网络的边缘就被阻塞掉。这种解决方案通过在网络中集成安全措施，让通信网络可以免受病毒、蠕虫和其他安全威胁的攻击。通过全网范围内的安全集成，不仅可以提供全面的安全防御，同时也不会影响合法用户的正常访问，因此在基于 IP 技术的通信网络领域保持了强大的生命力。