| 出版日期:2005-03-28 总期号:1398 本年期号:21 |
|
 |
融合安全 网络 无贼
罗峻 在当今的商业环境中,网络安全问题已经成为IT部门所面临的最大压力。 随着企业业务的增长和用户的增多,多数企业的资源规模日益庞大, 组成也日益复杂,同安全相关的问题也在以几何速度增长。 为了对这些资源进行有效的保护,对不断发展的威胁和恶意攻击风险进行管理,所有的企业都在积极地寻求一种有效的方法。 网络安全就像一场“现代战争”。在以往的“战争”中,安全威胁往往都是“单兵作战”,即每次的安全行为都只能对网络产生一种安全隐患,因此我们可以通过单一的安全手段(一种产品或者针对性很强的解决方案)来打赢这些战争。但是随着时间的推移,我们越来越能清楚地看到,今天的“网络安全战争”是一场“复合战”,让“防火墙(网络传输)+杀毒软件(终端用户)”的堆砌措施束手无策,只能被动挨打。网络安全应朝着多元化的趋势发展。一个网络安全事件中可能包含多个安全行为,如果我们目前还是仅抱着原来的网络安全防护的“老黄历”,那么我们在现在以及未来的安全战争中必将一败涂地。针对这样的现状,只有有效地进行网络与安全防护技术的融合,在一套网络安全方案中包含针对不同安全行为的防护方法,把单兵作战改造成多兵种协调组合、统一调动、分工合作的“军队”,同时通过统一的安全管理平台来进行调度控制,才能打造全局化、一体化、可持续发展的安全解决方案体系。 网络与安全的融合 其实,网络与安全不断融合的根本动因在于客户需求。当业务需要经济、集成化、安全的企业网络能够覆盖其所有地点时,网络必须通过集成化、多功能、经济的平台提供简化、安全的远程访问,实现多个站点和远程用户之间的互连。当业务需要具有弹性的网络确保即使受到攻击仍能保持可用,网络必须防御各种未知的攻击,保护网络不发生崩溃,避免代价高昂的生产力丧失和业务功能故障。当业务正越来越移动化、对安全要求也越来越苛刻时,网络必须为有线网络提供安全的无线接入扩展,必须易于部署与管理,经过出色的集成且保持透明。这些因素,都显示了网络与安全融合的必要性。 目前,很多厂商在网络与安全的融合中做了很多尝试。例如,防火墙可以防范来自于外网的攻击,而没有办法实现对内部用户安全攻击的控制。在核心交换机实现防火墙功能,则可以实现内网用户安全攻击的控制。IDS能实现对部分业务的监测,而不能实现对所有业务的监测和控制,通过接入交换机的感知反馈则可以实现对所有业务的监控。防病毒软件可以控制主机上病毒的传播,而难以控制病毒在网络内的传播,通过交换机与防病毒软件的配合可以抑制病毒在网络中的传播。可以看出,网络与安全融合的必要性就在于这种融合可以解决全网安全问题。 网络安全解决之道 近几年,网络安全问题防不胜防,整体上呈现两个特点:一是病毒的攻击性越来越强,已经严重威胁到网络的安全。自1988年莫里斯从实验室放出第一个蠕虫病毒以来,计算机网络的安全便不断受到威胁,蠕虫病毒传播速度快、隐蔽性强、危害性大。2004年的震荡波病毒更是给全球带来了300亿美元的经济损失。蠕虫病毒发展到一定的程度,造成网络流量巨幅增加、网速变慢、故障丛生,更严重的情况下会使网络的汇聚层、核心层的交换机因为不堪重负而宕机,致使整个网络陷入瘫痪。另一特点是,安全威胁的来源从以外网为主转变成以内网为主。由于网络技术、网络应用的迅速发展,网络的规模也不断在扩大,如面积广、网络设备多、节点多等。教育行业最为典型,神州数码网络安全产品部王经理认为:“校园网拥有成千上万的接入点的情况很常见,在管理和监测上难度大大增加,病毒感染和黑客攻击比以往任何时候都更容易威胁整个网络的安全,壁垒很容易从内部被攻破。” 在这种情况下,单点的安全防护手段已经不能完全解决日益猖狂的网络病毒和DDoS攻击等安全问题,网络安全不再是专业安全厂商的责任,Cisco、神州数码等传统的网络设备厂商也开始关注网络安全问题。除了提高交换机本身的路由交换性能外,对路由交换机等设备本身的病毒防护能力也进行了提升,让网络当中的每一台设备都具备病毒防护和预防黑客攻击的能力,同时研发生产自有品牌的防火墙、IDS等安全产品,逐渐涉足安全产品领域。而像赛门铁克、NetScreen等传统的安全厂商也通过在防火墙内增加交换功能,提供虚拟防火墙等技术,开始向网络设备领域渗透。可以看出,网络和安全厂商之所以逐步走向融合,是因为病毒技术的进化和人们在对网络有很强依赖性的情况下,对网络安全问题的重视。 目前,技术上的融合显现二种趋势:从思科与趋势科技的合作,到Juniper公司收购NetScreen,都说明未来的网络设备与安全产品将融为一体。解决用户的重复投资问题,这既是用户的普遍呼声也是网络设备供应商的未来发展方向。针对这样的变化,国内专业的网络安全厂商也感受到较大的压力,一方面把防火墙设备朝着安全网关方向发展,在一台防火墙上集成了越来越多的其它安全功能,比如垃圾邮件过滤、病毒过滤、网址过滤、入侵检测、VPN等,这种面向中小企业用户的整合式安全解决方案得到了市场的认可;另一方面,专业的安全公司在努力提高防火墙产品性能的同时为防火墙增加了越来越多的网络接口,在某些应用中防火墙甚至被当作三层交换机来使用。这些现象又从另一个侧面反映了网络与安全的融合趋势。 系统化的网络安全 病毒和攻击手段的发展成就了防火墙、防病毒网关、IDS等安全设备的进步,但这几种设备均基于对已知攻击手段的防范,无法有效防范未知攻击手段。另外,攻击对象也从攻击主机、网络设备而改为对网络资源攻击为主要特征,例如早期的DDoS和近期出现的MSN木马,对于以威胁网络资源安全为主体的多种未知手段,依靠单一的防火墙等安全设备是无法完全解决的,主要的问题是这些设备只有“控制”手段或只有“判断”能力,而没有灵敏的“感知”能力。而组建网络的交换机等设备恰恰具备对数据流的“感知”能力。 网络的安全威胁有两个方面:一是主机(包括用户主机和应用服务器等)的安全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。传统的网络安全在处理方式上,一般采用诸如防火墙、入侵检测、杀毒软件等单点被动式防御手段。在日益严峻的安全挑战面前,这些方式已经开始让人显得力不从心。因此,现在的网络安全体系应该由单点被动式防御向立体主动自御方向转化,对保护整个网络和数据不再是简单地处理攻击,而是更关注网络性能、物理访问和灾难响应等多个方面。安全产品不再是独立的产品领域,而是集成到核心基础设施部分里的一组特性,把带宽整形、访问控制和命令传输等功能转移到基础设施中,以应对面向基础设施的入侵,这将是涵盖产品、技术、策略等所有方面的改变,网络安全将成为一种系统化的工程。 根据这种发展方向,将对网络设备安全功能提出更高的要求,网络中不能简单专门依靠网络安全设备来对网络进行安全维护和管理,而是网络中的网络设备全员都具有安全防护和处理功能,并且能够相互配合,实现网络中安全设备保护、节点设备自身保护以及网络自愈保护立体防护体系。即使当网络中的某个节点或某一网络设备在安全设备和其自身保护都失败的情况下,网络由于具有其自愈功能,因此并不影响整个网络其它业务的运行。这就需要网络安全必须从物理层面、传输层面、数据链路层面、网络层面等,以及从接入层、汇聚层、核心层等进行立体化全方位的保护。像物理冗余备份、网络拓扑保护、链路冗余备份、自身抗攻击力、入网强制安全、嵌入式安全机制、分布式策略控制、安全策略自学习、动态带宽分配等技术将集成到网络设备当中,网络设备在网络中不再是孤立的个体,而是整个网络安全防护体系中的一份子。这就需要在技术上能够实现各种技术的相互融合,解决程序和基础设施之间的融合,各种接口之间的互通以及标准的制定统一等。因此安全和基础设施厂商之间建立联盟,共同促进网络和安全的融合是非常重要的,安全标准机构应尽快制定相关技术标准对加快推动网络和安全的融合也十分必要。 
2005~2009年中国网络安全产品市场规模及增长率预测 
2004年中国网络安全产品市场产品结构 安全厂商观点 CA:网络安全,主动出击 网络与安全的融合在2005年会有一个很大的发展。像CA的安全管理平台包括威胁管理、身份识别与访问管理、安全信息管理三个解决方案。 随着企业资产的扩张和业务的增长,企业要面对各种各样的用户——从员工到客户再到竞争对手等,同时也包括那些可怕的黑客们。在这种形势下,简单的安全控制方法已经难堪重任,企业需要一种能够对安全环境实施主动管理的完善的解决方案。这样就可以全面地解决各种问题,包括身份识别与访问控制、威胁管理,以及集中控制的安全信息管理等。有效对抗信息资产威胁和保持员工的工作效率意味着可以在安全基础设施的每一个层面上“随需应变”地进行反应。部署一个完善的网络安全管理解决方案能够带来很多好处,包括降低成本、减少宕机时间、提高工作效率、改善规则兼容能力等。最重要的是,在信息资产和资源的安全性得到充分保障的条件下,企业可以没有后顾之忧地开展业务活动。 CA的eTrust Network Forensics是一个被动式的监测解决方案,它将安全、网络管理和连续的网络活动纪录,集成到一个易于查询的知识库中,为用户提供一个网络通信的全面视图。因此,网络安全专家可以构建重要的网络智能架构,有助于从安全计划、部署到恢复几乎各个阶段节约时间和金钱。 eTrust Network Forensics为企业网络和安全数据提供了一个公共的环境。通过及早探测误用和非正常行为,它还有助于确保审计符合法律和企业的政策。通过收集、可视化以及分析网络流量,可以查出安全缺口、暴露出未知弱点,由此能够了解安全事件如何影响业务资产。eTrust Network Forensics有助于在安全方面的投资获得稳固回报。 此外,用户在身份识别和访问控制中,其登录方式由以前的单一登录向Web登录转换。在今年下半年,CA将以eTrust TransactionMinder为基础,推出一款全面的Web服务安全解决方案,把以身份识别为核心的功能与以网络及应用程序为核心的安全机制融合在一起。其主要的新功能将包括方案验证、智能过滤和拒绝服务式攻击拦截。eTrust TransactionMinder将支持Unicenter WSDM,从而为用户提供了一套集成的Web服务安全和管理解决方案,使客户能够即时定义和处理相关政策,并将以身份识别为核心的交易和服务水平事务集成起来。 在网络与安全的融合中,CA提出了安全与网络融合的壁垒。从技术层面,目前网络与安全融合的技术还不太成熟。体现在信息的集成技术、规则引擎(譬如对信息进行汇总、选择,再提练出重要信息价值)、信息相关性等方面。从市场层面,目前的融合壁垒还是成本控制问题。支出比较大。从服务层面,安全系统的审计与评估还有待加强。 (罗峻) 网络与安全融合的挑战 当今,网络与安全的融合应包括底层技术的融合、硬件平台的融合、方案层面的融合、管理平台的融合。底层技术的融合使各厂家需要增加新的研发方向和投入;硬件平台的融合为网络设备厂商进入安全领域提供了机会,同时也为一些传统安全厂商继续发展提出了挑战;方案层面的融合和管理平台的融合促使各厂商加大合作力度,提供更安全的方案。从中可以看出,融合对安全市场的竞争格局、技术发展方向、硬件平台的发展方向、商务模式等方面均产生了深入的影响。 还有一点需要注意的就是,在决定采取新系统之前,用户往往担心会与以前购买的网络和安全设备产生冲突,并因此损害他们的IT投资利益。这就要求技术厂商在设计方案的时候,必须考虑到新系统与用户原有网络的兼容性问题。 另外,网络与安全融合的壁垒还有标准化的问题,这个问题也是融合所带来的。合作所带来的解决方案可以满足用户的需求,但各个部件之间的协议全部为私有协议,例如交换机与IDS系统的联动。由于交换机与IDS之间的协议是私有协议,目前没有标准化的协议来规范各厂商的功能实现。标准化的障碍只有在市场发展到一定程度,相关协议经过事实检验,形成一定事实标准,在国家主管部门的组织下才有可能成为业界统一的标准规范。 目前许多网络厂商提出的安全性是建立在一个封闭的圈子里。他们所指的安全模式和标准是基于自己的产品本身而定的,导致用户必须使用其从高端到低端的整套解决方案。而像惠普网络这样的厂商所做的是在建立一种国际开放标准,通过标准化来解决安全问题,因此惠普网络有完全不同的价值观念。它通过跟一流的合作伙伴合作使它的过程标准化,使其产品客户能承受得起,而许多厂商与他们的合作伙伴合作是用来支持其自己的产品。 不管怎样,网络基础平台的构建水平对网络安全的技术发展也起着至关重要的作用。譬如目前谈到的“可信网络”,其网络平台是否可信?其实不然。现阶段的所谓“可信网络”是基于IPv4平台的,其稳定性有待加强。真正理想的、可依赖的“可信网络”应该是基于IPv6的平台。而从IPv4到IPv6有一个转变的过程。现阶段只能够弥补这个差距。作为网络领域的领头羊,思科推出的网络安全产品——自防御网络(SDN)就是其中之一。由此可见,网络安全技术的突破还在于网络底层的障碍。 最后,网络与安全的融合壁垒还在于传统网络设备的安全性能能否提升;整个网络系统的不同安全部分是否能协同工作;怎样让网络更智能化、有自动防御的能力,能自适应抵御各种网络威胁。 (罗峻) 江民、华为“联手”网络安全准入控制 Internet的广泛使用为企业的管理、运营和统计等带来了前所未有的高效和快捷。但与此同时,计算机网络的安全隐患也日益突出。 不同领域的网络、安全厂商技术和产品的融合是近年来安全市场的趋势。以江民为例,近年来与天融信、华为等安全和网络厂商进行了紧密合作。继与天融信等防火墙厂商联合为用户提供安全解决方案后,又与国内最大的网络接入设备提供商华为3COM合作研发安全客户端软件。这种安全客户端用于处理安全客户端对防病毒端软件应用程序的状态查询,它可自动监控特定的防病毒端的运营情况,并能够向其发出指令分配任务,确保系统的安全接入。也就是说,如果该主机存在漏洞或病毒,那么将被隔离,直至修补完善方可进入网络,因而它防止了蠕虫和病毒源进入整个网络,大大提高了网络的安全性。此项目研发成功后,将成为我国首个集成化的安全解决方案,全面提高企业级网络用户的安全级别和防御威胁的能力。 安全产品与技术融合的理念与江民杀毒软件“立体联动、深层防毒”的理念不谋而合。此前,在江民发布首款系统杀毒软件KV2005时,即已提出此理念。KV2005将杀毒与防火墙联动防毒,通过KV安全中心对电脑的安全状态进行实时监控,在安全中心以及KV杀毒软件控制中心,都可对防火墙进行启动和设置,以确保系统处于最佳安全状态。这正是融合理念的一种体现。 信息安全是关系国家安全的特殊行业,江民选择与国内最大的网络设备供应商华为3COM合作,目的很明确,就是要做一个我国自有的网络安全标准。 (格格) 
江民、华为3COM联合研发国内自主产权的网络安全准入系统 网络安全方案展示 惠普:网络安全在“边缘” 
HP ProCurve Networking访问控制解决方案的部署实例 网络与安全的融合填补了网络的巨大漏洞。惠普ProCurve Networking的适应性边缘架构让网络步入了安全时代。身份驱动管理(IDM)会对每一位访问者进行身份确认,为网络把好第一道关。从预防/保护方面来讲,在病毒进入网络,破坏其安全之前,内置在边缘架构交换机中的“Virus Throttling”在第一时间做出响应,及时控制网络信息流量,并把信息报告给管理员,使其有足够的时间研究病毒破解方案。而Virus Throttling机制也会跟踪病毒,在它破坏网络之前将其隔离。另外,Virus Throttling机制会根据流量决定是否需要关闭某一端口以阻挡病毒的侵入。因此,这形成了一个紧密无缝的安全性周期保护。 惠普的适应性边缘架构是一种安全性框架。它是由交换机、AP和WAN设备组成的安全物理基础, 它能鉴别基础设施设备,安全的管理通信,以及保存基础设施设备免受攻击。它有两点重要原则:第一是把安全智能推向网络的边缘;二是通过网络管理中心把所要执行的政策以及要传送的信息通过网络传送到边缘。适应性边缘架构的核心是中心命令、边缘控制。 那么在边缘如何保证网络的安全呢?惠普率先提出了“病毒扼制”这种机制。把这种“病毒扼制”内置到其经典的5300系列交换机里,根据数据流量的异常来检测病毒,并及时通知网络管理员。说到防病毒,也许并不新鲜,但却没有人关注这样一个漏洞:从发现病毒到找出相应的措施将其灭杀这段时间,实际上是网络的危险期。病毒往往是钻这样的空挡,在瞬间侵袭网络。ProCurve Networking by HP的病毒扼制技术,就是针对这个空档,在发现网络的流量突变时,对其进行检测并跟踪,在它要侵袭网络之前,将其隔离。这样,网络管理员就有足够的时间研究破解病毒的方法。 ProCurve Networking by HP另一成功之处是它的“身份驱动管理(IDM)”。ProCurve Networking首创的一种新的网络管理和访问简化模式,是将智能从网络中心推到了连接用户和实施策略的网络边缘。这样,就可以通过IDM实施智能化的网络访问。通过IDM验证,网络会确定用户是谁,在什么位置(交换机/端口),用户与哪一个社区相关,社区连接了哪些资源,社区有哪些属性。然后为每一位用户提供适当的资源和访问级别。这种新方法使任何交换机和任何端口都适用于每一个人。身份驱动的网络管理模式使得网络的安全性得到显著提高,对识别特定用户特别有用,而不再是用户试图访问网络时使用的客户端。而且,用户经过验证后才能接入网络,而不是在接入网络并引导至核心路由交换机后才开始验证。 峰火网络:构筑立体网络防线 
“环网保护+节点自御”的立体防护体系 烽火网络的交换机产品在网络中占据着重要的地位。因此解决交换机安全问题至关重要。运营商市场、企业市场、行业市场都不例外。烽火网络在交换机的研发上为客户提供多方面的安全保护功能,强化交换机的稳定性,使其从核心到接入都能够得到全范围的安全保护。在其2~3层交换机上全面实现了安全功能,在业界首次推出“环网保护+节点自御”的立体防护体系。设置了以太网环、病毒过滤、CPU保护、抗DoS攻击构建的四重保护体系,在网络拓扑层面和设备内部层层保护,构筑坚固的立体网络防线。 拓扑层面的环网保护 当网络上出现线路级的重大故障,如何保证业务的不中断?在数据网络中一般采用多路径的生成树、路由收敛或多机热备来解决,但是由于切换时间要以秒和分钟来计算,达不到电信或高可靠性行业的要求,往往要借助SDH传输网来保证保护切换时间达到毫秒级,这样实现的成本太高,已经丧失了以太网的经济性的优势。烽火网络则从以太网本身来解决问题,创造性地采用以太网环来很好地实现这种目标。烽火网络自主的ESR(以太网业务环)技术支持环形组网,一方面大大减少了对光纤线路的占用,另一方面减少了设备的投入,更重要地是达到了与SDH环媲美的毫秒级倒换速度。在网络中组环网还可以达到链路冗余备份和流量分担的作用。 设备层面的节点自御三重保护 CPU保护功能:烽火网络的系列二、三层交换机采用的CPU保护技术使得设备本身更聪明,能在非常恶劣的情况下依然正常识别病毒包,保护设备心脏只接受和执行有效命令,保证设备的核心——CPU的正常工作,有效规避了CPU负担过重导致的宕机。 病毒过滤技术:烽火网络的系列二、三层交换机在设备自身保护方面采用了多种保护技术来过滤如TCP和UDP端口扫描、冲击波这样的病毒。在控制网络病毒的传播保护网络安全方面,烽火网络的系列二、三层交换机提供二到七层灵活多样的ACL功能,ACL条目多达1000条,可以根据病毒特征灵活地进行控制以过滤病毒。 抗DoS攻击技术:如果攻击对象是交换设备时,没有防攻击功能的设备会停止对用户的数据进行处理。烽火网络的系列二、三层交换机采用的防DoS攻击技术能有效地防范和解决该问题。 港湾:网络安全需“联动” 
融合内网安全解决方案 对于安全市场,港湾公司于2004年中期推出了自主研发的SmartHammer防火墙产品,包括全面的千兆、百兆防火墙。10月份推出了用于BigHammer6800交换机的防火墙模块。由于网络安全是一个体系架构,因此港湾公司也推出了安全联动解决方案,通过与第三方IDS厂商的合作,实现智能以太网交换机设备与IDS的联动,对威胁到网络安全的网络病毒进行有效的隔离,确保网络的安全。港湾沿着“自主研发+合作”的方式进入了安全领域,为用户提供的是“融合的内网安全解决方案”,而不仅是简单的安全产品。 港湾公司内网安全解决方案主要由BigHammer6800系列核心交换机、μHammer3550E系列智能接入交换机、SmartHammer系列智能防火墙、启明星辰IDS、防病毒服务器和安全管理控制中心等构成,其典型组网如图所示。该内网解决方案可以有效防止外部攻击、内部用户攻击、内网病毒扩散等,可以在最大程度上确保内网数据和网络资源的安全。 1、防止外部攻击并保障出口带宽。通过在网络出口位置部署SmartHammer系列智能防火墙,可以有效防止外部各种攻击行为;通过SmartHammer内置的NetFlow功能可以对应用流进行监控,并做出有效控制。 2、核心交换机防火墙模块确保内网用户安全攻击的控制。通过在BigHammer6800核心交换机上部署防火墙模块,可以控制任意两个VLAN、任意两个用户间的数据流,有效解决了占安全问题70%以上的内网安全问题,保证内网信息和资源的安全。 3、交换机和IDS联动实现检测全面化。通过IDS和以太网交换机的配合,可以准确定位并控制内网攻击。主机发起攻击(如图中②所示),μHammer3550E系列智能交换机检测到网络流量异常,随即将异常上报IDS(如图中③所示),IDS检测确定为攻击,通知以太网交换机切断主机(如图中④所示),从而确保网络资源的安全。 4、μHammer3550E智能以太网交换机可以与防病毒软件/网关一起联动防止病毒扩散。当用户登录网络时,μHammer3550E交换机可以强制用户登录由AAA服务器、防病毒服务器、安全策略服务器组成的受控域(如图⑤中所示),并对用户进行病毒检查,在确认用户满足防毒要求时,才会通知安全管理中心开放用户访问权限(如图中⑥所示)。 思科:让网络具备抵抗力 
思科SDN网络安全解决方案的工作原理 思科认为,安全解决方案的发展趋势不仅是让系统得到端到端的保护,而且对各种应用进行保护,还要使得网络有自愈功能,从而形成全面集成的安全解决方案。在第三代的思科安全解决方案中,思科把安全的概念融会到路由器、交换机、终端、防火墙 + VPN + IDS产品中,并采用了集成化管理软件。这就形成了思科自防御网络的体系框架。 从安全威胁的特点和安全防范的需求来看,SDN应该在网络管理和分析的基础上,通过安全连接系统、威胁防御安全系统,以及信任和身份管理系统三个方面来维护整个系统的安全。 SDN安全体系以当前占据网络技术主流的IP技术为基础,符合各种网络协议和技术的规范,满足IP网络和安全技术之间的协作,可以无缝地集成到数据、语音、视频、无线、存储等多种IP服务中。SDN可以灵活、定制地部署,充分利用现有的投资。从设备方面看,它可以采用专用安全装置,也可以是基于路由器、交换机的安全; 从技术上看,它兼容了VPN、防火墙、威胁防范、AAA、URL过滤、802.1x等多种技术。SDN安全体系可以全面覆盖网络的各个环节,既覆盖PC和服务器平台,又能跨越无线、LAN、园区、城域网,以及边缘、服务供应商、分支机构等所有网络。 早在2003年11月,思科就与国际上主要防病毒厂商趋势科技、赛门铁克以及美国网络联盟(NAI)在全球宣布的网络准入控制(NAC,Network Admission Control)计划,就是思科自防御网络(SDN)行动的一个步骤。 思科网络准入控制是思科自防御网络计划中重要的组成部分,也是未来发展阶段的基础组件之一。从终端方面的网络准备控制(NAC),到交换机上的防火墙、入侵检测、流量分析与监控、内容过滤,思科以网络巨头的身份介入网络安全,形成全面的网络安全防御体系。 根据思科网络准入控制计划,未来的网络设备将具备安全智能,能自动检测接入设备中是否采取了安全措施。一旦检测到没有安装安全产品,网络设备将自动拒绝这些“非安全”的终端设备的接入。目前,思科公司正在积极研究NAC的技术标准。 思科网络准入控制的宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成的危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。在初始阶段,当端点设备进入网络时,NAC能够帮助思科路由器实施访问权限。此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。网络将按照客户制定的策略实行相应的准入控制决策:允许、拒绝、隔离或限制。NAC支持运行Microsoft Windows NT、XP和2000操作系统的端点设备。 思科SDN的工作原理如图所示。 SDN能利用网络智能地根据终端安全状况提供访问权限,它具有如下特点:能适应所有连接方法,提供统一的解决方案; 智能地验证所有主机; 可以充分利用客户对于思科网络和防病毒解决方案的投资; 能够提供隔离和恢复服务,并且能进行可扩展性地部署。 思科的SDN全面集成了各种安全技术,其中包含有思科防火墙技术和网络 IDS/IPS技术,这两项技术都曾应用在思科的独立产品以及高档交换机中。SDN还集成了思科安全代理 (CSA)技术,在每个客户端保障网络的安全。内容安全、安全管理、智能分析以及IOS 基础设施安全等高级技术也都被通通包容在SDN这个框架之中。 剀创:网络安全要“可信” 
剀创安全网络可信客户端系统 IT管理员通常明白很多工作站和其它连接至企业信息系统的网络设备都没有最新的安全补丁,这些端系统形成的漏洞会给恶意攻击以可趁之机,从而危害关键的信息资源,导致业务破坏,直至影响企业的收入。Enterasys的可信客户端系统(Trusted End-System, TES)是可以解决这些安全挑战的解决方案,TES增强了企业IT的整体安全性,以提供最大的网络可用性和业务的效率保障。 TES解决方案用于对每个LAN连接用户布署经济而有效的访问控制手段,它是安全网络解决方案的一个重要部分,集成了先进的安全和管理技术,对整个网络架构进行集中、自动、准确的控制。TES不仅可以有效地降低由于网络设备漏洞产生的破坏,而且可以为已经具有最新安全配置的可信用户提供“无疑宾”访问;通过自动地隔离可疑的设备来预防目前大部分的网络威胁,大大简化布署网络更新的过程,整个过程不需要用户的参与。TES采用了强大的集中式、基于策略的管理,同时非常方便布署和维护。 一个端系统必须要有正确和最新的安全配置,TES才能为它提供企业IT资源的访问。当网络端系统尝试连接网络时,TES首先验证这些系统的安全级别,如安全应用配置、OS补丁、防病毒特征库等。如果对端系统的验证失败或已受破坏,TES首先验证其隔离直至其采取相应的纠正措施。TES是集中管理和配置的,因此可以完全与企业的安全策略相吻合,优化IT资源的利用,并可以快速扩展新用户或新的设备。Enterasys提供了两类相互补充的TES实现手段,以满足不同类型和规模的企业需求:基于代理的TES(Agent-Based TES)和基于网络的TES(Network-Based TES)。 TES防护是无缝的,对可信的业务用户透明。更重要的是,TES对已经布署的安全网络解决方案提供了增强的功能,提供了经济的升级,同时提供了一系列快速配置和优化TES的专业服务。和Enterasys所有的安全网络解决方案一样,TES采用了标准化设计,可在多厂商环境下协同工作,提供了布署的简洁性、内建的可扩展性和全面的投资保护。 锐捷:关注全局安全网络 
GSN全局安全网络解决方案 2004年底,锐捷网络率先发布了集自动防御(自御)、自动修复(自愈)与自动学习(自育)等三大自“YU”功能于一体的GSN全局安全网络解决方案。GSN强调“多兵种协同作战”,通过嵌入式安全机制、分布式处理、动态带宽分配等技术将专用的安全防护机制应用到网络设备和工具中,将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),从而形成一个全局化的网络安全综合体系。GSN“多兵种协同作战”覆盖网络各个层面,使它不仅能够满足现阶段网络安全环境的需求,同时也为今后可能发生的安全威胁做准备。在成功研发GSN全局安全网络解决方案的基础上,锐捷网络还将沿着技术标准化/设备兼容/软硬件产品结合的发展道路前进。 锐捷网络GSN全局安全网络解决方案在设计之初,着重考虑到国内用户的网络应用现状。在实现全局安全的同时,GSN很好兼顾了与其它网络产品、杀毒软件的融合。用户可以在选择GSN的同时,不同程度保留原有的网络架构,根据自己的情况从网络核心层、汇聚层、终端层全部或部分采用GSN的安全措施,例如将原有的网络设备(交换机、路由器、VPN、防火墙等)与GSN的安全模块相互搭配组合,以及在同一台网络终端上并列采用GSN嵌入式安全机制和其它杀毒软件。 锐捷网络的GSN全局安全网络解决方案的核心理念是将用户强制安全、统一策略管理、动态带宽分配、嵌入式安全机制集成到一个体系中,实现全局化、一体化的网络安全部署。目前已纳入GSN体系当中的锐捷网络技术产品包括安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-WALL防火墙等。 GSN旨在实现高度可控、全面整和、弹性管理的自学习型网络。 神州数码:网络安全“内外兼修” 2004年,神州数码网络提出了“内外兼修”的网络安全解决方案——D2SMP(分布式安全域管理策略)。 在D2SMP网络中,“安全域”是一个非常重要的概念。“安全域”是指具有不同网络风险的区域。也就是说,把具有相同网络风险或相同安全权限的用户放到一起的一个逻辑域。 变管设备为管人 与来自外部的攻击相比,来自企业网内部的攻击更为可怕、威胁更大。“安全域”的提出就主要是为了通过多种手段解决网络内部安全的问题。在“安全域”的构建上,神州数码网络率先提出了基于用户的VLAN划分的策略。这样无论企业内部的员工从哪个交换机端口进入网络,都可以实现对于其网络安全的管理。使得网络管理从设备管理上升到对人的管理。 在“安全域”的基础上,神州数码网络的“分布式安全域管理策略”可分解成关键的两个方面:分布式的策略部署和集中式的全面管理。 D2SMP基于分布安全管理的策略 分布式部署是为了能够将网络的负载做分担,同时也保证各种策略能够在网络的各个枝节上发挥作用,而不是仅仅依靠一两台安全设备来保证全网的安全。 首先在核心交换机上也具有很多防止攻击的策略来保护自身的安全,此外,还需要在产品自身硬件水平的安全上下功夫。神州数码的核心交换机都设计了严格的冗余性能,保证高可靠性运营。 其次,在接入交换机上融入安全监控功能。接入交换机是用户进入网络的第一道关口,在这里必须严格控制用户的身份和安全域,而不是把这个工作放到核心交换机上去做,以保证用户接入交换机的时候就已经确认了身份和安全级别。 再次,在网络出口上,利用DCFW-1800E防火墙等进行控制。这是对外防护的功能,已经十分成熟。这种“分布式”的好处就是可以让网络的各个部分分别发挥作用,对自身最重要的功能进行严格控制,从而保障“端到端”的网络安全。 D2SMP要求集中式的全面管理 当然,有了这种“分布式”的结构,下一个问题就是这种结构能做什么?之所以建立“分布式”的安全结构,也是为了便于各级安全策略的部署。 首先是设备管理。神州数码网络的LinkManager网管软件可以实现对交换机端口流量的监控和自动重分配,保证带宽根据使用情况合理分配,最大限度地保证网络的使用效率。 其次是链路管理。LinkManager的性能管理功能可以对网络中的任何链路进行监控。而监控的指标和阀值可以设置。 再次是丰富灵活的用户身份识别和管理。这主要依靠神州数码的DCBI管理软件实现。它可以解决非法DHCP、IP盗用、上网代理等问题。 
分布式安全域管理策略(D2SMP) |
||||||||||||||||||||||
