网络解决方案

　　为了给客户提供可管理的服务和通信链路， XB 网络在客户所在的建筑物中部署了大量 Cisco 路由器。XB网络销售的每条连接中都配备了一台 Cisco 路由器。思科网络安全解决方案让XB网络能够将许多新的安全功能(包括入侵防护系统)集成到一个单一设备中，从而使部署和管理更加高效。

　　“我们选择思科解决方案的原因在于思科能够为我们提供一个完整的工具包，” XB 网络的管理主管 Erik van Laar解释说。“CiscoIOS防火墙运行在位于客户所在建筑物内的思科设备上，从而可以保证我们为客户站点提供的服务具备企业级的连通性。因此，在客户现有的设备上部署防火墙服务非常容易。而且我们的员工对思科公司的产品非常熟悉，我们无须花费大量的时间来进行额外的培训和管理。因此在当前形势下，思科公司的解决方案非常适合我们。”

　　XB 网络公司的骨干网络是基于思科 12000 系列路由器构建的，该系列路由器的带宽范围为 2.5 Gbps/插槽到40Gbps/ 插槽，可以支持电信级的 IP/ 多协议标签交换 (IP/MPLS) 核心网络和边缘网络。思科12000系列路由器通过一条千兆光纤链路和思科 7200 系列路由器相连，而思科7200系列路由器是业界在企业边缘应用方面应用得最为广泛的通用服务路由器。思科 7200 系列路由器通过千兆以太网或者 155Mbps链路(STM-1) 将流量传递到部署了大量思科接入路由器的客户所在地。根据客户需求的差异，接入路由平台可以有 Cisco 800、Cisco 1700 、 Cisco 2600 和 Cisco 3700 系列路由器等多种选择。

　　对订购了 XB 网络所提供的可管理安全产品的客户来说，思科路由器、安全设备管理器 (SDM)2.0 和思科 IOS防火墙都运行在CPE 边缘路由器上。思科IOS软件集成了非常先进的防火墙功能和入侵防护功能，特别适合网络边缘应用。它提供了很多强大的安全功能，如基于状态和应用的过滤功能;动态的每用户鉴权和授权功能;网络攻击防御功能;java阻塞功能;以及实时告警功能。它不仅支持网络边缘的单点保护，而且通过思科IOS防火墙的部署，安全策略已经成为网络本身的固有部件。

　　“我们已经使用了思科 IOS 软件所提供的标准访问控制目录功能，而现在我们还可以使用思科提供的高级功能集”， XB网络的技术主管Marcel Knol 说。“通过将状态包过滤功能和思科网络准入控制(NAC)策略以及其他功能相结合，我们可以轻松地防御来自内部和外部的威胁。”

　　思科 IOS 防火墙提供基于上下文的访问控制 (CBAC) 功能，该功能是一个先进的流量过滤技术，可以智能地对传输控制协议(TCP)包和用户数据报协议(UDP)包进行过滤，并判断它们是否含有恶意的病毒或者蠕虫。只有当连接是从网络内部发起至被保护节点的时候，才可以配置CBAC以允许某些指定的 TCP 和 UDP 流量通过防火墙。如果不具备CBAC功能，则流量过滤仅限于执行访问控制目录，即只在网络层或者传输层对信息包进行检查。CBAC则除了在网络层和传输层对信息包进行检查之外，还会检查应用层协议信息以获知 TCP 或者 UDP 会话的状态。此外，思科IOS防火墙的另外一个功能――每用户防火墙功能，通过在鉴权、授权和计费(AAA)服务器中使用一个用户文件，允许以每用户为单位下载防火墙、访问控制目录(ACL)和其他设置，从而可以让服务提供商能够为客户提供可管理的防火墙解决方案。

　　与思科 SDM2.0 和思科 IOS 防火墙一起联合运行的是思科入侵防护系统( IPS )。思科IPS扫描那些可以指示恶意活动的流量类型和信息包，并通过在网络中集成安全措施来防御病毒、蠕虫和其他安全威胁。IPS对通过网络的流量进行扫描并与思科公司负责维护的“指纹数据库”进行对比，使得恶意活动在网络的边缘就被阻塞掉。这种解决方案通过在网络中集成安全措施，让通信网络可以免受病毒、蠕虫和其他安全威胁的攻击。通过全网范围内的安全集成，不仅可以提供全面的安全防御，同时也不会影响合法用户的正常访问，因此在基于IP技术的通信网络领域保持了强大的生命力。

　　“来自思科的支持让我们能够确保威胁数据库始终处于思科公司的高效维护下”， vanLaar解释说。“作为一个可管理安全服务的提供商，我们需要与业界最优秀的伙伴合作来保卫客户网络的安全，而思科解决方案正是我们所提供的整体可管理安全服务包的关键部分。”

　　“我们可以在一个平台上提供视频、声音和数据服务，并能够提供安全解决方案，这些安全解决方案已经成功地与那些专注于安全领域的大型服务提供商所提供的昂贵安全产品展开了竞争。思科安全解决方案帮助我们在市场上证明，我们是值得客户信赖的。”

　　-XB 网络的管理董事 Erik van Laar