思科網路安全新概念:自防禦網路(轉)

post0發表於2007-08-12
思科網路安全新概念:自防禦網路(轉)[@more@]

  2004年7月29日思科系統中國公司在南寧明園飯店召開了“思科網路專家神州行”全國巡迴研討會。

    在會上思科系統中國公司華南區商業市場事業部技術銷售經理徐海成就“建設自防禦網路系統”議題進行了主旨演講,闡述了思科的自防禦網路戰略。該項戰略旨在大幅提高網路識別、防止和適應威脅的能力。

思科啟動自防禦網路計劃:

    具有自防禦能力的網路如同具有免疫能力的人體,能夠自動免受網路病毒、駭客的侵害。3月15日,思科在中國正式啟動了“自防禦網路”(Self-Defending Network,SDN)計劃,向主動防禦邁出了關鍵的一步。如今很多傳統安全產品還僅僅停留在被動防禦階段,就是侵害產生時,才進行相關安全機制的更新,查殺病毒和封補漏洞,這是一種被動安全。

    而思科公司並不侷限於此,適時推出主動安全的劃時代的轉折點――自防禦網路計劃。在釋出自防禦網路計劃的同時,思科還發布了這個計劃的關鍵環節――“網路准入控制”(Network Admission Control,NAC),用來解決外部和內部計算機的信任問題。

  

什麼是自防禦網路?

    自防禦網路計劃是思科致力於網路安全的一個長遠規劃。該計劃的目標在於提高網路發現、防禦和對抗安全威脅的能力,使網路對於病毒傳播、駭客攻擊具有自我防禦能力。思科自防禦網路計劃是一個創新的的網路安全戰略。

    網路准入控制(Network Admission Control)是思科自防禦網路計劃的重要組成部分。其核心思想是,控制訪問許可權,有效阻止不符合安全

    條件的裝置及訪問進入網路,並將其置於某個隔離區域之外,或者僅獲得對計算資源的有限訪問許可權。網路接入控制與思科公司關於網路安全的其它技術,如入侵檢測、防火牆、網路管理與流量分析、VPN等加在一起,就構成了自防禦網路的全部內涵。

    思科安全戰略演進的步驟:最初,思科是在路由器上提供最基本的安全保護,進而發展到單點的安全、深度的防護和整合化的安全,最終才是SDN。

    SDN是未來網路安全發展的方向,能夠實現自動化、預應式、系統的端到端保護,整合到網路的多個層次。SDN實現動態的安全,及時響應,實現端點的強制安全,實現不同安全元素間的溝通。思科自己的全線產品和技術將被納入到SDN計劃的框架中。

  

網路准入控制是自防禦網路的第一步:

    網路准入控制是網路透過認證確定即將接入網路的計算機是否存在已知的安全問題(如病毒、木馬程式等),只有確定訪問者是可信任的,才允許計算裝置接入網路。

    其核心思想是,控制訪問許可權,有效阻止不符合安全條件的裝置及訪問進入網路,並將其置於某個隔離區域之外,或者僅獲得對部分資源的有限訪問許可權。

    網路准入控制是一個分散式控制、集中安全策略的安全架構。由接入裝置(如接入路由器、交換機、無線AP)完成分散式控制工作,允許透過認證的計算機進入網路。沒有透過認證的計算機將不能進入網路。

    集中的安全策略依賴“思科策略伺服器”和“反病毒策略伺服器”組成,前者將生成安全策略,後者則用來完成反病毒策略評估,確定進入的計算機是否安全。PC安全軟體包括:客戶端反病毒軟體、思科信任代理和思科安全代理軟體。

    PC的反病毒軟體(與思科合作的防毒軟體廠商)將整合思科的信任代理。在計算機接入到部署思科方案的網路中時,思科信任代理將與思科策略伺服器和反病毒廠商的策略伺服器進行通訊,互動資訊,驗證計算機上的反病毒軟體是否存在,是否升級到了最新版本等。只有策略伺服器認為PC可以信任才會被允許接入網路。

    思科的安全代理軟體能夠對計算機的日常操作進行監控,一旦計算機出現異常的行動(如某類流量突然增長)就會提供報警。這一軟體可以對計算機提供主動性的防禦,在新病毒出現而病毒廠商尚未提供病毒程式碼或作業系統相應的補丁程式沒有釋出之前,能夠對各種非法操作提供警告。

  

思科“自防禦網路計劃聯盟”初現:

    思科網路接入控制是透過與業界廠商合作實現的。2003年11月,思科宣佈與防病毒廠商趨勢科技、賽門鐵克以及美國網路聯盟(NAI)三家反病毒軟體廠商合作,透過思科安全代理軟體(Cisco Security Agent CSA)與防病毒軟體的配合,將思科的防禦能力延伸到伺服器和PC上。

    2004年2月,思科又與IBM達成合作,在IBM膝上型電腦和Tivoli網路軟體中支援思科的自防禦網路計劃。思科還計劃今後還將把網路接入控制計劃向更多的廠商和機構開放。

    思科網路接入控制計劃將分三步實現:

    第一步,在2004年中期,思科接入路由器和中檔路由器將支援網路接入控制,並將思科安全代理(CSA)軟體整合到思科相應的網路裝置及軟體產品中;

    第二步,網路接入控制將擴充套件到多種思科產品,包括交換機、無線接入裝置和安全裝置;

    第三步,將PC和伺服器與網路的安全互操作能力擴充套件,這一功能在思科的交換機、路由器、無線區域網中實現,主要依賴軟體來完成。

    不過,思科也承認網路接入控制現在還不能與其他安全認證結合在一起,要想完成WLAN、NAC或其他接入認證的完全結合尚待時日。可以看出思科將在未來的時期內深化與其他業界安全產品廠家合作,以推進它的“自防禦網路計劃”聯盟。

  小結:

    思科的自防禦網路計劃是為了應對目前普遍存在的“被動響應、分立式、基於單個產品支援”的網路安全被動防禦模式,轉變到即將到來的“自動響應、整合多層防禦、系統服務支援”的網路安全自動防禦模式的客觀需求而出現的。

    它將能從容應對下一代以“秒級”的響應要求,解決類似於基礎設施駭客攻擊、瞬間威脅、大規模蠕蟲、DDOS等網路攻擊。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/8225414/viewspace-951184/,如需轉載,請註明出處,否則將追究法律責任。

相關文章