ccidnet????

出版日期:2004-05-17 总期号:1313 本年期号:34

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
华东专刊
华南专刊
西北专刊
东北专刊
西南专刊
 安全从终端入手

潘慧英

  面对当前网络安全的严峻现状,

  思科去年推出宏伟的自防御网络(SELF-DEFENDING NETWORK,SDN)计划,

  思科内部评价SDN将像IP一样为网络带来再一次革命,

  而NAC(Network Admission Control)是这项浩大工程的第一步。

  NAC的宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。根据NAC,未来的网络设备将具备安全智能,能自动检测接入设备中是否采取了安全措施,一旦检测到没有安装安全产品,网络设备将自动拒绝这些“非安全”终端设备的接入,思科公司正在积极研究NAC的技术标准。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。在初始阶段,当端点设备进入网络时,NAC能够帮助思科路由器实施访问权限。此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。网络将按照客户制定的策略实行相应的准入控制决策:允许、拒绝、隔离或限制。NAC为网络管理者提供一个加强的主机接入政策,规范那些不服从者和潜在的易受伤害的系统,隔离其接入环境,使用限制的方法或者干脆禁止接入。通过这些手段达到减少病毒和蠕虫损害的目的,大大提升网络的安全性。


  包括四大组件


  思科可信代理(Cisco trust agent,CTA)软件:存在于终端系统中,CTA收集不同客户的安全软件的安全状态信息,例如是否安装防病毒软件、软件版本以及是否安装补丁等等,然后传递这些信息到支持NAC的网元设备(路由器、交换机等等),进行强迫的允许接入控制,其中没有进行适当升级的主机将被限制或者拒绝接入整个网络。

  网元设备:强迫性地控制那些请求接入的设备以执行安全性措施,包括路由器、交换机、无线接入终端和安全性设备。这些设备需要那些试图通过它们接入网络的主机提供 “credentials”,并且根据事先制定好的接入政策,决定这个主机的网络许可,是允许接入、还是拒绝、隔离或者限制等等。

  策略服务器:评估主机传来的安全性信息,以便决定对于它们的接入请求采取何种许可措施。思科系统安全接入控制服务器(ACS),是一种基于RADIUS的AAA(鉴定、授权和记录)服务器。它还可以同网络安全产品供应商的服务器协同运行,以提供更深层次的信任确认,例如反病毒策略服务器、网络安全产品供应商的服务器——反病毒策略服务器、补丁服务器等等。

  NAC整合了现有的网络安全技术,并且提供一种强制的手段,让接入网络的用户使用这些安全技术。企业可以通过网络设备,如路由器、交换机等等,来加强他们的防病毒软件的使用。NAC对于已有的广泛应用的经典的安全技术,例如网关的防火墙、基础防御体系、用户签名和传输安全,是一个补充而不是替代。

  使用NAC的终端计算机接入网络的具体流程如下:集成CTA软件的主机采用EAP(UDP或802.1x)数据包向访问设备如交换机送出证书,访问设备用RADIUS转送证书到策略服务器(ACS),策略服务器验证用户名和密码传递反病毒信息到反病毒厂商的服务器,反病毒厂商服务器反馈是否符合安全要求的信息,策略服务器将访问权限和VLAN分配反馈给访问设备,访问设备接受权限,把允许或拒绝或隔离信息通知终端计算机,并在与终端计算机相连的访问设备端口上采取相应的措施,如果被允许,开放端口,如果被隔离,就放在特定的VLAN里,进行隔离,如果被拒绝,就断开端口。


  有待成为业界标准
   思科系统NAC 将在2004 年的上半年投入实施,此时思科系统路由器将通过联合思科系统信任代理提供网络许可控制。路由器接入控制列表(ACLs)将在网络中限制和不服从主机和其它的系统的通信—例如,只允许同一个防病毒服务器通信以便下载新的模式文件。在实施之初,思科系统NAC将支持在终端运行的Microsoft Windows NT、XP和2000操作系统。

  思科系统NAC的第一版主要包括两项迫切需要的服从性检查试验—防病毒软件的状态和操作系统的信息。这些包括防病毒卖主的软件的版本、引擎水平、签名文件水平、以及操作系统的种类、修补水平和hot fix。思科系统NAC可能首先使用监视模式,这样只评估主机达到的水平,而对接入不作任何限制。

  2003年11月,思科与国际上主要防病毒厂商趋势科技、赛门铁克以及美国网络联盟(NAI)在全球宣布的网络准入控制(NAC,Network Admission Control)达成合作意向。2004年2月,思科又与IBM达成类似的合作,IBM将在其笔记本电脑和Tivoli网络软件集成思科的安全代理软件,支持自防御网络计划。思科今后还将把网络接入控制计划向更多的厂商和机构开放,制定相应的标准协议,与业界广泛合作,共同编织出一张抵御任何恶意行为的防护网。


  SDN网络安全解决方案的工作原理