從Cisco IOS XR靜態(tài)NetFlow功能中衍生出來的帶內(nèi)分組監(jiān)聽采用了與靜態(tài)NetFlow相同的功能，例如類似于ACL的過濾，且還可以搜集樣本，并將它們轉(zhuǎn)發(fā)到某個指定的目的地 。
治理面板保護(hù)
治理面板是所有與路由平臺的系統(tǒng)治理有關(guān)的流量的邏輯路徑 。在一個分布式、模塊化的環(huán)境中，治理面板可以提供新的復(fù)雜度等級，因而提高了對于確保安全訪問的要求 。這種安全訪問最好通過下列手段實現(xiàn)：
拒絕缺省訪問——一個已知的、常見的系統(tǒng)漏洞是在缺省情況下啟用某些協(xié)議 。這些開放的端口導(dǎo)致了一些讓入侵者有可乘之機的安全漏洞 。為了滿足服務(wù)供給商的要求，CRS-1采用了專門的設(shè)計，即在缺省配置下關(guān)閉所有這些服務(wù)，直到由操作人員手動啟用這些服務(wù) 。
身份驗證、授權(quán)和記帳（AAA）和加密協(xié)議——所有對路由器的訪問和路由器對外的訪問都應(yīng)當(dāng)被加密和控制 。Cisco CRS-1支持AAA身份驗證和加密協(xié)議SSH、SSL、IPSec和SNMPv3 。利用ACL，還可以使用其他的控制功能，將訪問權(quán)限只限制于特定的源主機 。每個用戶都可以被明確歸于某個AAA區(qū)域，以反映用戶的訪問權(quán)限 。
隔離治理端口——核心路由器和交換機通常都帶有專用的治理以太網(wǎng)端口，它們可能會導(dǎo)致對設(shè)備的不安全訪問 。Cisco CRS-1以太網(wǎng)治理端口都是可以路由的，因而可以通過AAA訪問控制和加密進(jìn)行控制 。隔離數(shù)據(jù)和控制面板流量可以防止它們不會“干擾” 。ACL可以被用于阻塞干擾，而且治理員利用Cisco Craft Works界面（CWI），只需點擊幾下鼠標(biāo)就可以在多個端口之間有效地部署ACL 。CWI是一個專門為多機架路由器治理而設(shè)計的增值GUI工具 。
基于角色的權(quán)限模式——因為未經(jīng)授權(quán)的或者缺乏經(jīng)驗的網(wǎng)絡(luò)操作人員可能會對系統(tǒng)的可用性造成威脅，服務(wù)供給商需要用靈活的方法，根據(jù)用戶所設(shè)定的標(biāo)準(zhǔn)分配操作人員的權(quán)限 。
Cisco IOS XR軟件可以通過一種方便、靈活的方法，向特定的操作人員或團(tuán)隊分配適當(dāng)?shù)脑L問權(quán)限，從而實現(xiàn)一種基于角色的權(quán)限模式 。它可以將各項操作業(yè)務(wù)設(shè)置為不同的任務(wù) 。例如，BGP配置是一項任務(wù)，而開放最短路徑優(yōu)先（OSPF）是另外一項任務(wù) 。系統(tǒng)重啟也是另外一項任務(wù) 。每項任務(wù)都具有一個與眾不同的標(biāo)識號——任務(wù)ID，并且具有指定的讀取或者寫入權(quán)限 。用戶可以與任務(wù)組關(guān)聯(lián)，以繼續(xù)相應(yīng)的訪問權(quán)限 。為了確保安全，任務(wù)ID可以與AAA服務(wù)器配合，為訪問路由器提供最大限度的集中控制 。
總結(jié)
DoS和DDoS攻擊是互聯(lián)網(wǎng)現(xiàn)狀的重要組成部分，也是服務(wù)供給商的盈利能力面臨的最嚴(yán)重的威脅之一 。為了保護(hù)利潤，服務(wù)供給商必須在具有嵌入式安全檢測功能的下一代路由系統(tǒng)的基礎(chǔ)上建設(shè)一個自我防御網(wǎng)絡(luò) 。服務(wù)供給商應(yīng)當(dāng)確保該系統(tǒng)的成功，并在整個網(wǎng)絡(luò)中采用最佳實踐 。
Cisco CRS-1的分布式、模塊化架構(gòu)通過內(nèi)存保護(hù)，邏輯路由器內(nèi)部的服務(wù)隔離，以及治理、控制和數(shù)據(jù)面板之間的流程隔離，支持高度安全的、不間斷的系統(tǒng)運營 。
除了CRS-1的內(nèi)嵌功能和推薦的最佳實踐以外，思科產(chǎn)品安全事件響應(yīng)團(tuán)隊（PSIRT）是一個全球性的專家小組，天天24小時待命 。他們能夠迅速地解決涉及到思科產(chǎn)品的客戶安全事件和消除產(chǎn)品的安全漏洞 。借助于思科在網(wǎng)絡(luò)市場上的領(lǐng)先優(yōu)勢，思科客戶可以獲得業(yè)界獨一無二的、主動、迅速的響應(yīng)服務(wù) 。

推薦閱讀

• 

  萵筍變紅能不能吃
• 

  LOL最高幾級
• 

  農(nóng)村為什么不允許建房 現(xiàn)在農(nóng)村為什么不允許建房
• 

  什么叫模式識別受體 模式識別受體的概念和種類
• 

  狗狗糙養(yǎng)的好處 狗狗糙養(yǎng)的好處是什么
• 

  姜撞奶為什么不凝固
• 

  電腦固態(tài)是什么意思
• 

  攜程旅行APP設(shè)置免密支付的方法
• 

  諾基亞E70中存儲器的定義及其用途
• 

  天涯明月刀什么是霸體傷害
• 

  葉輕眉的身份，揭露范閑母親葉輕眉身份以及留下的箱子
• 

  北方的冬天怎么取暖更暖和
• 

  雍正皇帝簡介 雍正皇帝是不是篡位
• 

  充電寶哪個品牌最好,現(xiàn)在什么牌子的充電寶好
• 

  大眾朗逸儀表燈亮代表什么故障
• 

  求五胡亂華書籍

• Cisco 1800、2800 和3800 集成多業(yè)務(wù)路由器的安全特性
• Cisco 675 路由器Web管理拒絕服務(wù)漏洞
• Netopia 650-T ISDN路由器用戶名和口令泄露漏洞
• Cisco千兆交換路由器ACL被繞過以及拒絕服務(wù)攻擊
• 路由器VS防火墻 ROUTER典型防火墻設(shè)置
• 路由器“黑洞”威脅互聯(lián)網(wǎng)絡(luò)安全
• 配置NetScreen208＋C3550VLAN間路由
• 防毒別忘了路由器
• 北電網(wǎng)絡(luò)安全路由技術(shù)
• Cisco路由器安全配置