XB 公司提供的任何新服务都力求满足四个标准。首先服务必须是完整的;而且应当是可扩展的和灵活的;此外，服务还必须容易管理，以便 XB 网络能够为其客户提供非常好的的服务并保证服务的可靠性。在与另一个厂商的防火墙产品做了比较后， XB 网络选择了思科公司的 Cisco IOS® 防火墙产品，以及 Cisco 路由器和安全设备管理器 (SDM) 2.0 。

　　商业挑战

　　随着技术的演进，服务提供商的角色也在发生着变化。荷兰 XB 网络最初是一家互联网服务提供商 (ISP) ，而现在除了提供互联网接入服务外，它还将业务范围扩展到了全面的管理服务。随着客户对集成安全的网络解决方案的需求不断增长，为适应这一市场需求， XB 网络除提供包含宽带接入、主机托管和 IP 虚拟专用网( VPN )在内的整套可管理服务之外，目前还为荷兰的中小型企业提供可管理的网络安全解决方案。

　　一般来讲，专注于安全领域的服务提供商提供的通常是高端的解决方案，这些解决方案无论在设计上还是在产品定价上都定位在大型的企业客户。于是对于规模较小的公司来说，他们就不得不自行开发和维护他们的网络安全解决方案或者从本地转售商那里购买服务，这样他们也就无从确切知道他们的网络可以受到何种程度的安全保护。 XB 网络正在寻求一种防火墙解决方案，这种解决方案可以作为它目前已有的整套可管理服务的补充，为中小型企业客户提供经济实惠的、可靠的大型企业级安全管理能力。此外，这种防火墙解决方案还必须便于部署和管理。

　　网络解决方案

　　为了给客户提供可管理的服务和通信链路， XB 网络在客户所在的建筑物中部署了大量 Cisco 路由器。 XB 网络销售的每条连接中都配备了一台 Cisco 路由器。思科网络安全解决方案让 XB 网络能够将许多新的安全功能(包括入侵防护系统)集成到一个单一设备中，从而使部署和管理更加高效。

“我们选择思科解决方案的原因在于思科能够为我们提供一个完整的工具包，” XB 网络的管理主管 Erik van Laar 解释说。“ Cisco IOS 防火墙运行在位于客户所在建筑物内的思科设备上，从而可以保证我们为客户站点提供的服务具备企业级的连通性。因此，在客户现有的设备上部署防火墙服务非常容易。而且我们的员工对思科公司的产品非常熟悉，我们无须花费大量的时间来进行额外的培训和管理。因此在当前形势下，思科公司的解决方案非常适合我们。”

　　XB 网络公司的骨干网络是基于思科 12000 系列路由器构建的，该系列路由器的带宽范围为 2.5 Gbps/ 插槽到 40Gbps/ 插槽，可以支持电信级的 IP/ 多协议标签交换 (IP/MPLS) 核心网络和边缘网络。思科 12000 系列路由器通过一条千兆光纤链路和思科 7200 系列路由器相连，而思科 7200 系列路由器是业界在企业边缘应用方面应用得最为广泛的通用服务路由器。思科 7200 系列路由器通过千兆以太网或者 155Mbps 链路 (STM-1) 将流量传递到部署了大量思科接入路由器的客户所在地。根据客户需求的差异，接入路由平台可以有 Cisco 800 、 Cisco 1700 、 Cisco 2600 和 Cisco 3700 系列路由器等多种选择。

　　对订购了 XB 网络所提供的可管理安全产品的客户来说，思科路由器、安全设备管理器 (SDM)2.0 和思科 IOS 防火墙都运行在 CPE 边缘路由器上。思科 IOS 软件集成了非常先进的防火墙功能和入侵防护功能，特别适合网络边缘应用。它提供了很多强大的安全功能，如基于状态和应用的过滤功能;动态的每用户鉴权和授权功能;网络攻击防御功能; java 阻塞功能;以及实时告警功能。它不仅支持网络边缘的单点保护，而且通过思科 IOS 防火墙的部署，安全策略已经成为网络本身的固有部件。

“我们已经使用了思科 IOS 软件所提供的标准访问控制目录功能，而现在我们还可以使用思科提供的高级功能集”， XB 网络的技术主管 Marcel Knol 说。“通过将状态包过滤功能和思科网络准入控制( NAC )策略以及其他功能相结合，我们可以轻松地防御来自内部和外部的威胁。”

　　思科 IOS 防火墙提供基于上下文的访问控制 (CBAC) 功能，该功能是一个先进的流量过滤技术，可以智能地对传输控制协议( TCP )包和用户数据报协议( UDP )包进行过滤，并判断它们是否含有恶意的病毒或者蠕虫。只有当连接是从网络内部发起至被保护节点的时候，才可以配置 CBAC 以允许某些指定的 TCP 和 UDP 流量通过防火墙。如果不具备 CBAC 功能，则流量过滤仅限于执行访问控制目录，即只在网络层或者传输层对信息包进行检查。 CBAC 则除了在网络层和传输层对信息包进行检查之外，还会检查应用层协议信息以获知 TCP 或者 UDP 会话的状态。此外，思科 IOS 防火墙的另外一个功能――每用户防火墙功能，通过在鉴权、授权和计费( AAA )服务器中使用一个用户文件，允许以每用户为单位下载防火墙、访问控制目录( ACL )和其他设置，从而可以让服务提供商能够为客户提供可管理的防火墙解决方案。

　　与思科 SDM2.0 和思科 IOS 防火墙一起联合运行的是思科入侵防护系统( IPS )。思科 IPS 扫描那些可以指示恶意活动的流量类型和信息包，并通过在网络中集成安全措施来防御病毒、蠕虫和其他安全威胁。 IPS 对通过网络的流量进行扫描并与思科公司负责维护的“指纹数据库”进行对比，使得恶意活动在网络的边缘就被阻塞掉。这种解决方案通过在网络中集成安全措施，让通信网络可以免受病毒、蠕虫和其他安全威胁的攻击。通过全网范围内的安全集成，不仅可以提供全面的安全防御，同时也不会影响合法用户的正常访问，因此在基于 IP 技术的通信网络领域保持了强大的生命力。

“来自思科的支持让我们能够确保威胁数据库始终处于思科公司的高效维护下”， van Laar 解释说。“作为一个可管理安全服务的提供商，我们需要与业界最优秀的伙伴合作来保卫客户网络的安全，而思科解决方案正是我们所提供的整体可管理安全服务包的关键部分。”

　　“我们可以在一个平台上提供视频、声音和数据服务，并能够提供安全解决方案，这些安全解决方案已经成功地与那些专注于安全领域的大型服务提供商所提供的昂贵安全产品展开了竞争。思科安全解决方案帮助我们在市场上证明，我们是值得客户信赖的。”

　　-XB 网络的管理董事 Erik van Laar

　　商业价值

　　新的网络安全解决方案作为一种成本低廉的安全服务，让XB网络能够为客户提供企业级的安全解决方案。配备了思科IOS防火墙的思科路由器不仅提供了一种简单的检查包头的手段，同时还可以对数据包本身进行完整的检查，以判断这些数据是否包含有恶意病毒或蠕虫。

　　“该解决方案的另一个明显优势在于它的易于管理性，” van Laar说。“思科解决方案让我们能够为客户提供卓越的可管理的服务，同时对我们来说也非常便于管理。我们已经具备了思科产品的知识和训练。增加思科IOS防火墙对我们来说是相当容易的过程，无须再进行额外的投资来重新培训我们的员工。”

　　今天，XB网络可以使用思科产品的组合来证明他们在商业价值上的增值――通过使用思科解决方案，他们大大降低了客户网络所面临的风险，而这些风险很可能对客户的企业带来严重的后果。而且，van Laar的团队现在可以预先交付客户数据，这些数据是由思科解决方案自动生成的。例如，员工可以回顾系统差错卡，并向客户报告说在上个月里他们的CPE路由器被更新了32次以防止病毒的袭击。

　　除了保护网络的边缘位置不受外部威胁的侵害，防火墙还可以在企业网内部阻止用户访问特殊的子网、工作组或者局域网(LAN)。XB网络为荷兰保险公司CZ提供可管理的安全服务，而该公司由于交互医疗保险信息的需要，必须同许多不同合作伙伴的网络进行互联。XB网络还为一家豪华轿车经销商Kroymans提供安全VPN服务，同样，Kroymans必须同Jaguar、Cadillac、Saab、Ferrari、Aston Martin和其它轿车制造商及经销商伙伴进行通信。XB网络还为荷兰很多地方政府提供安全服务，其中，具备以太网和数字用户线(DSL)接口的思科2600系列路由器上运行着思科IOS防火墙，可以保证流量的安全和子网的分离。

　　“思科解决方案赋予我们一种明显的竞争优势”，van Laar说。“在实施了思科IPS之后，即使是那些非常先进的安全服务提供商也无法与我们的产品相比，因为他们无法复制思科IPS数据库背后的巨大的信息采集资源，也无法保持一天24小时的警戒。”

　　下一步计划

　　思科先进的安全技术进一步增强了思科路由和交换平台的功能，让XB网络具备了能够轻松地将它的网络安全解决方案同管理工具以及日常业务流程相集成的能力。

　　“我认为对于我们来说，这是思科解决方案最大的优点，” van Laar说。“我们将可以在一个平台上提供视频、声音和数据服务，同时提供安全解决方案，在安全性上这些安全解决方案完全可以与那些大公司提供的安全产品相媲美。思科解决方案让我们得以在市场上证明:我们的公司是值得客户信赖的。”