| 出版日期:2004-03-22 总期号:1298 本年期号:19 |
|
 |
华为3Com时间、空间、网络三纬度架构
贯穿全过程 刘 面对当前日益复杂的网络环境,华为3Com公司提出“i3安全”解决方案,即时间、空间、网络层次三个纬度端到端集成安全体系架构。在该架构中,除了可以从熟悉的网络层次视角来看待安全问题外,还可以从时间及空间的角度来审视安全问题,从而拓展了安全的思路与视觉,具备全面考虑与实施安全防护的模型与能力。 在华为3Com“i3安全”三维度端到端集成安全体系架构中,“i”代表intelligence(智能)、integrated(集成)、individuality(个性化);“3”代表时间、空间及网络层次三个维度的端到端;“安全”代表所有IP信息网络的安全架构。 网络层次(网络层、用户层、业务层)端到端安全理念 网络的各层次均存在安全威胁的可能,华为3Com的集成安全架构充分体现了网络安全防范的分层思想,根据不同网络层次的特点进行有针对性的防范。 其中,在网络层保障网络路由、网络地址等基础网络的安全;在用户接入层确保合法的用户接入、访问合法的网络范围,并保障用户信息的隔离等用户接入网络的安全;在业务层保证用户访问内容的合法性与安全性。 华为3Com的“i3安全” 集成安全架构针对传统网络在用户层防范比较薄弱的缺陷,采取了大量的增强措施,如用户接入认证、地址防盗用、访问控制等能力。 时间(事前、事后)端到端安全理念 以前业界更关注网络的事前防范能力,而对事后跟踪能力考虑很少。在安全事件发生前后,要求网络所能提供的支持也是不同的,其花费的代价与技术实现难度有非常大的差别:事前防范主要通过数据隔离、加密、过滤、管理等技术,加强整个网络的健壮性;而事后跟踪是通过对用户上网端口、时间、访问的记录,全面提供用户上网的追溯能力,从而为后期的分析提供第一手的资料。 实际上,日志记录等功能是一个非常良好的追溯手段,在出现问题时可以根据记录迅速查找源头,防止事态进一步扩大;同时,可以通过法律惩治罪犯,以警后人。但原来的日志记录都仅限于在应用层的服务器做。这个方案最大的问题就是宽带网络提供灵活的接入手段使得接口分布广泛,仅在应用层做记录无法定位用户的位置,特别是当出现应用层账号、密码盗用时,给后期的进一步追查带来很大的困难。而华为3Com的“i3安全”架构提供在网络级做日志记录的能力,可以定位到端口,从而确定物理地点与时间,将会给后期进一步查明真相带来很大的帮助。特别是针对我国IP地址比较少,公有地址和私有地址混合组网等随处可见的情况,具有在私有地址环境下的追溯能力。 空间(外网、内网)端到端安全理念 以往的安全体系侧重在外网防范上下工夫,而对内网安全考虑很少。接入Internet的外网与办工系统的内网所面临的网络环境、安全防范的目标、对用户的管理力度都有很大的差异。所以,必须针对外网与内网的不同特点制定有效的安全策略:在外网,通过VPN、加密等保证信息安全,通过网络防火墙、病毒防火墙等防范网络攻击,侧重的是防范;在内网,通过对用户的识别,保证合法的用户访问合法的网络范围,并做好访问记录,侧重的是监控。 
i3安全模型 |
||||||||||||||||||||||||||
