ios操作系統安全體系結構介紹

本文主要是對ios操作系統安全體系結構的介紹，有需要的朋友可以參考一下。

防火牆

Cisco通過建議客戶道德定義他們的安全政策來解決這一問題。一旦定義了這些政策，就可以采用多個安全組件來滿足政策要求。Cisco IOS安全體系機構的組件包括：防火牆、訪問管理、宿主安全、加密。

過去幾年，路由器一般是企業的智能資產與其網絡之間的唯一東西。路由器被獨特地定位、設計和配備，以用來在各種級別的開放系統互連(例如OSI reference model)模型中控制及報告數據流。隨著今天網絡的可訪問性及功能的提高、以及公司通過經濟有效的遠程訪問設備連接，風險程度逐步降低。如果一個路由器被安排提供網絡外圍安全，那麼它通常是指“防火牆路由器”。防火牆路由器內維護訪問控目錄(ACL)，ACL的主要功能是提供過濾。IOS安全提供大量的工具來幫助報靠ACL違規(即非法訪問)

ACL違規記賬

IOSACL違規記賬：隨著時間的推移，企業需要一個歷史透視圖來弄清哪些ACL已經經過測試。這種知識給網絡管理人員提供了對入侵者是如何嘗試進入某企業網絡的一個了解。ACL違規記賬提供來源和目的地地址信息、來源和目的地端口號碼以及包個數。

ACL違規日志記錄

IOS在今天的網絡世界，提供強大的防火牆功能已不足以解決問題，網絡管理人員需要一個集中化報告選項。過去，網絡管理人員在發生損害之前不知道他們已經受到黑客的攻擊。唯一可用的早期告區工具是掃描主機日志文件。盡管這仍然是一種優異的安全診斷方法，但是它不能很好地擴展。ACL報告工具通過提供違規信息和網絡周邊預防，給管理人員提供幫助。IOS包含ACL違規日志記錄，給管理人員提供定期的系統日志記錄，可以實時確實ACL違規。

網絡地址轉換

網絡地址轉換(NAT)：與全球Internet連接的網絡數量急劇增加，造成了未來連接可用地址的迅速消耗。而World Wide Web對這種耗盡又起到了推波助瀾的作用;而Internet正以每年30%到50%的速度發展。根據目前的估計，3到10年內，剩下的氖 Internet地址將全部用完。

Cisco IOS框架

專用 網絡服務

IOS可以概念化為一個操作系統，為一個全面的協議族提供全面的網絡服務。網絡服務可以被分成許多不同的功能;下圖將它們分成通用和專用服務。專用服務包括交換、路由以及幾乎適用於跨局域網、廣域網和IBM/SNA環境的所有數據聯網協議的專門化服務。

通用網絡服務

通用網絡服務包括支持IOS體系結構的增值功能，並提供企業級解決方案，來滿足客戶對安全、服務質量、VLANs配置管理和路由以及(通信)流量管理的需求，進而提高網絡性能和可靠性。通用網絡服務還提供協議處理服務，例如轉換、加密和壓縮。

路由協議

通過網絡互聯，IOS支持許多路徑恢復協議以及其他路由協議特性供基於政策的路由配置和管理。

安全

安全：重點強調特性要求，例如通過防火牆提供的資源保護，訪問控制，以及與用戶驗證機制(例如鎖定和密鑰安全)的集成。

服務質量

服務質量：介紹在互聯網內提供服務質量的IOS特性和功能。服務質量對多媒體應用程序支持至關重要。這裡所講座的IOS特性包括幾種排隊機制(這些可能在流量管理部分討論)和資源保護協議(RSVP)。

虛擬局域網

VLANs：簡要介紹Cisco在VLANs配置中部署路由和交換的IOS支持。

流量管理

流量管理：包括根據用戶(來源和目的地)、局域網和廣域網記迪斯科以及RMON標准支持進行的流量模式測量。本部分將討論Cisco的NetFlow Switching(盡管理論上說可能屬於服務質量部分)。

協議處理

協議處理：介紹多媒體和協議類型的集成、協議轉換、加密和壓縮以及IBM SNA和TCP/IP網際互連(取決於多協議路由和轉換)的一般類別。SNA的TCP/IP集成在InterWorks Business Unit部分討論。本部分將圍繞壓縮和協議轉換介紹IOS特性。

總結

作為本單元的一個總結，我們將提供IOS市場模型。該模型包括5個功能性領域，所有領域都有許多相關的特性。它簡單的提供了在一個網際互連解決方案的上下文內位IOS特性的另一種方法。

Cisco IOS處理辦法集

從IOS Granularity到特性級

上圖總結了IOS向解決方案集的發展過程。由於許多專門的網絡服務特性已經從IOS核心分離，因而解決方案集是可能的。盡管Cisco目前能夠提供它所說的特性集-例如企業特性集或桌面特性集，但是這些都是受到IOS核心和子系統相關性限制的預封裝解決方案。隨著解決方案集的發展，它們將獲得得更加高級的層次地址：作為專門的特性實體，而且是作為核心或子系統定義去發展(不過，一般總會有某些級別的子系統定義。)

客戶為重點的解決方案

IOS成為一咱以客戶為重點的技術;它提供專門滿足客戶主要的技術及商業需求的網際互連功能和特性。客戶可以在IOS基本平台之上有效地設計他們自己的特性體系結構。

可伸縮性和投資保護

由於客戶選擇滿足他們要所需的核心特性，因此可以大幅度降低IOS開銷。IOS可以利用客戶現有的硬件和基礎設施投資進行更好地擴展，從而提供投資保護以及更好的網絡壽命周期擁有成本。

降低復雜性

IOS復雜性降低，並進而帶為客戶互聯網絡復雜性的降低。由於IOS系統及特性間相關性減少，因此解決方案集有助於使統一系統中可能發生的並行損害最小化。實際上，許多與一個全面特性IOS的實現相關的要求都可以實現最小化。

安全介紹

Cisco從幾個方面考慮安全問題。在企業設備中、安全通常基於安全保護、閉路電視和卡密鑰入口系統。有了這些措施，企業可以放心，他們的物理及智力資產將得到保護。Cisco的安全方案允許企業通過使基於政策的組件及IOS安全體系結構，來擴展這一模型。IOS安全體系機構已經經過10多年的技術革新發展歷程、它為企業的安全政策提供基礎。IOS安全基於多個重疊的解決方案，這些解決方案一起維護企業的安全完整性。

企業必須決定何時在用戶的訪問和工作效率與可能被用戶視為限制的安全措施之間進行折衷。一方是訪問和工作效率，另一方是安全。一個好的設計的目標是提供一個平衡，同時從用戶的角度看盡可能少增加限制。有些非常合理的安全措施，例如加密，不限制訪問和效率。另一方面，低劣的安全計劃可能造成用戶效率和性能的降低。那麼，企業在維護安全的努力中要冒多大的訪問和效率風險呢

設計目標

IOS是圍繞下列目標設計的：

模塊性：IOS為大量的協議和協議族提供支持，運行於多平台並堅持獨立於硬件的設計標准(硬件隔離)。

速度最快：IOS能使Cisco為網絡協議提供最快的平台實現。

網絡互連：IOS支持包括路由、橋接和交換技術的需求。

高性能平台：IOS由多個RISC處理器體系結構(MIPSRxxxx、Motorola680xx)支持。

分布式：IOS為分布式體系結構的部署提供基礎。

環境：IOS提供一個支持大型企業需求的軟件開發環境。

多維支持

IOS為LAN介質，WAN協議，以及各種功能，包括路由、交換、集令、IBM、協議轉換及許多其他服務提供支持。

設計結果

IOS設計為客戶提供完成下列任務的能力：

建立特大規模的網絡。

在遠程訪問鏈接中，維護多協議支持。

全面集成IBM/SNA和互聯網絡環境。

開發基於IOS功能的廣泛的安全策略。

在互聯網絡內設計和維護優良的流量控制和服務質量參數。

優化網絡帶寬和操作資源。

支持互聯網絡上的多媒體應用。

路由器IOS 的升級方法

將系統軟件備份到TFTP服務器 copy flash：tftp

將TFTP服務器中的系統軟件下載到路由器中 copy tftp flash：

TFTP 軟件可以從Cisco網站上下載，文件名為 Tftpstv.exe 此軟件可在Windows 95/98/2000/NT上安裝，在升級IOS前必須先運行此軟件，並通過菜單設置Root 目錄為新系統文件所在目錄。

設置PC機IP地址與路由器以太網端口IP地址在相同網段

假設計算機的IP地址為：e.e.e.e

假設IOS文件放在C：\IOS 子目錄下

在這台計算機上運行TFTP Server 軟件，把文件目錄設置為：C：\ios

在這台路由器上進入特權模式

Router#copy tftp flash

Address or name of remote host []?e.e.e.e

Source filename []?c5300-is-mz.121-2.bin

Destination filiname [c5300-is-mz.121-2.bin]?

Accessing tftp：//e.e.e.e/c5300-is-mz.121-2.bin …

Erase flash ：before copying ?[confirm]

Erasing the flash filesystem will remove all file!Continue?[confirm]

Erasing device … eeeeeeeeeeeeeeeeeeeeeeee….erased

Loading c5300-is-mz.121-2.bin from e.e.e.e (via fastethernet 0/0)

認識Cisco IOS的訪問權限

許多工作在Cisco IOS之上的網絡管理員從未費心去考慮過他們正在使用的權限等級或這些等級的意義。然而，Cisco IOS實