| 出版日期:2004-03-22 总期号:1298 本年期号:19 |
|
 |
思科联合产业巨头从网络底层开始建立自防御网络
CISCO当老大 绍瑜 3月15日,思科联合防病毒厂商和业界巨头IBM,在京启动了自防御网络(SDN)计划,思科系统公司市场总监Daniel Hession阐述了自防御网络计划的核心理念、未来方向和实现途径。 安全形势严峻 过去,网络病毒和网络攻击较少,网络攻击主要针对计算机终端;上网的人员大都是IT专业人士,相对来说,安全意识比较强,能够经常杀毒,网络的安全问题不是那么突出。而现在,网络攻击频繁发生,这种攻击不但针对服务器和计算机终端,而且对网络基础设施,如路由器、交换机等也进行攻击,容易造成整个网络瘫痪。 所以,现在用户对网络安全的需求是全网的安全,需要对网络的接入到计算机终端进行端对端的一体化防御。思科的自防御网络计划(SDN)就是在这样的背景下产生的。 Daniel Hession说,网络在给人类的信息沟通和交流带来极大方便的同时,也给各种病毒、恶意攻击的横行带来了可趁之机,一个新病毒从发作到传遍全球的网络,只需要几十分钟的时间。安全威胁给人类造成了大量的损失,思科作为网络界的领导厂商,希望通过努力改变这种局面,让网络回到和谐的环境,这是自防御网络计划出台的原因。 需要全网的安全 思科的自防御网络计划是一个全方位的端对端一体化防御的网络安全战略,其目标是提高网络发现、防御和对抗安全威胁的能力。Daniel Hession做了一个形象的比喻,自防御网络体系就像人的免疫系统,人的免疫能力能保护人的五脏六腑,保护人的全身免遭病毒的侵害,即使得了病,也能很快痊愈,因此,人要少得病,就要想办法提高自身的免疫力。在当前病毒泛滥,黑客攻击频繁,网络安全威胁愈演愈烈的情况下,开发网络安全技术,让网络对病毒、黑客攻击具有自我防御能力,是符合人类行为科学发展的要求。只有当网络具备了这种能力,网络才能长治久安,健康发展,大家能够放心地使用网络,使网络给人类带来更多便利。 自防御网络的架构与现在的银行安全监控系统相似,是一个集成化的安全体系。银行的大门有摄像头进行扫描,通过银行中央闭路电视监控室制定的安全和策略管理进行监控,如果发现进来的人有问题,通知银行保安拒绝外来人进来取钱;如果没问题,通过读卡器,输入账号、密码,进行身份认证,把钱取出来,通过运钞车,把钱运走。自防御网络的架构首先通过防火墙、路由器、IDS进行检测和控制,通过安全和策略管理,如果发现不符合要求的访问者,就及时隔离;如果符合要求,还要通过访问服务器,进行身份识别、AAA认证及证书认证,方允许访问。用户为了安全地传输数据,可通过VPN加密,发送数据。 现在的网络安全威胁是全方位的,因此,自防御网络除对网络的基础设施如路由器、交换机进行保护,添加流量管理、IDS、防火墙等功能模块,还对网络的计算机终端进行保护。为此,思科与防病毒厂商、PC厂商结成安全联盟,推出了网络准入控制计划(NAC)。以前,思科提出过SAFE蓝图,主要是对网络的基础设施进行保护;现在,思科在SAFE蓝图基础上,加入了网络准入控制计划,使自防御网络体系更加全面,也更加有效。 联合推出NAC 可以看出,网络准入控制计划(NAC)是思科自防御网络计划的一个重要组成部分,其宗旨是控制大量涌现的病毒和蠕虫等安全威胁,使其不造成危害。通过NAC,用户可以允许符合安全条件的设备(如PC、服务器、PDA)访问进入网络,让不符合条件的设备限制访问。目前,NAC的联合发起厂商包括:Cisco、Network Associates、Symantec、Trend Micro和IBM。Daniel Hession说,安全厂商和PC厂商加入NAC的条件是,看他们产品的市场普及率,市场普及率高的厂商都可以加入,思科欢迎微软这样的大厂商加入,一起来动态地提供网络发现、防御和适应安全威胁的能力,使网络具有自适应感知能力。 那么,思科网络准入控制是如何运作呢?思科网络准入控制体系由终端安全软件、思科网络接入设备、思科策略服务器、反病毒厂商的策略服务器组成,通过思科安全代理软件(Cisco Security Agent)与防病毒厂商的防病毒软件的结合,将思科对网络恶意行为的防御能力延伸到服务器和PC端。今年2月,思科又与IBM达成类似的合作,IBM将在其笔记本电脑和Tivoli网络软件中集成思科的安全代理软件,支持自防御网络计划。 NAC方案的一个重要内容是增加网络终端的安全准入权限,拒绝或隔离不符合要求的计算机进入网络。终端计算机安全准入权限确认的具体过程如下:终端系统计算机如果集成了思科安全代理软件,主机采用EAP(UDP或802.1x)数据包向访问设备如交换机送出证书,访问设备用RADIUS转送证书到策略服务器(ACS),策略服务器验证用户名和密码传递反病毒信息到反病毒厂商的服务器,反病毒厂商服务器反馈是否符合安全要求的信息,策略服务器将访问权限和VLAN分配反馈给访问设备,访问设备接受权限,把允许或拒绝或隔离信息通知终端计算机,并在与终端计算机相连的访问设备端口上采取相应的措施。如果被允许,开放端口;如果被隔离,就放在特定的VLAN里,进行隔离;如果被拒绝,就断开端口。 安全服务应运而生 目前,NAC计划主要是防病毒,今后将增加防垃圾邮件等功能。思科网络接入控制是一个长远的计划,将分三个步骤实现:第一步,在2004年中期,思科接入路由器和中档路由器如Cisco 3700系列,将支持网络接入控制,并将思科安全代理(CSA)软件集成到思科相应的网络设备中,以及合作厂商的软件产品。第二步,网络接入控制将扩展到多种思科产品,包括交换机、无线接入设备和安全设备。第三步,将PC和服务器端点与网络的安全互操作能力扩展,形成端到端的一体化、全面的防御体系。 随着全方位的安全体系的建立,安全技术将越来越复杂,而行业用户中,IT技术人员,尤其是网络安全人员缺乏,迫切需要安全厂商能提供安全策略设计、安全设备的维护以及具体安全问题的及时解决。因此,今后的安全服务将是一个大市场。思科可以提供安全培训,培训人员通过考试,获得安全认证证书,这些安全人才能为运营商和企业的网络安全服务。对用户的网络安全,思科与代理商一起为用户提供服务。思科还通过网站和电话咨询为用户提供服务。 
NAC方案: 让网络智能地增强基于端点安全的准入权限 |
||||||||||||||||||||||||||
