內(nèi)置、集成的安全性討論
思科的集成戰(zhàn)略
思科SAFE發(fā)展計(jì)劃

思科網(wǎng)絡(luò)安全思想：內(nèi)置在網(wǎng)絡(luò)中，集成于產(chǎn)品中

無(wú)論從所覆蓋的地理范圍和所互聯(lián)的內(nèi)部、外部群體而言，今天的網(wǎng)絡(luò)都非常龐大。它們更加復(fù)雜，支持多種應(yīng)用和服務(wù)，可以在有線和無(wú)線連接上傳輸集成化的數(shù)據(jù)、語(yǔ)音和視頻流量。它們還在變得越來(lái)越開(kāi)放--它們可以使用不可靠的公共網(wǎng)絡(luò)，連接合作伙伴，是一種能夠連接客戶和供給商的業(yè)務(wù)工具。事實(shí)上，專(zhuān)用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的界限已經(jīng)變得非常模糊。

網(wǎng)絡(luò)環(huán)境的廣泛性、復(fù)雜性和開(kāi)放性提升了人們對(duì)于強(qiáng)大、全面的安全的需要，因?yàn)楸仨殞?duì)網(wǎng)絡(luò)所接觸到的所有地點(diǎn)進(jìn)行保護(hù)，同時(shí)也要防范從這些地點(diǎn)對(duì)網(wǎng)絡(luò)發(fā)動(dòng)的攻擊。

本文將探討和介紹內(nèi)置、集成的安全性，并認(rèn)為它是保護(hù)網(wǎng)絡(luò)的唯一有效的方法。本文將概括介紹采用集成化方式的主要原因，隨后還將介紹思科集成化網(wǎng)絡(luò)安全解決方案的一些現(xiàn)有的和新推出的補(bǔ)充產(chǎn)品。本文主要面向技術(shù)決策的制定者。

首先，讓我們回顧一下集成安全和內(nèi)置安全的定義：

內(nèi)置、集成的安全性必須防止網(wǎng)絡(luò)受到來(lái)自外部和內(nèi)部的威脅，在對(duì)于訪問(wèn)的需求和對(duì)于保護(hù)的需求之間保持均衡。這意味著安全功能必須在網(wǎng)絡(luò)任何地方內(nèi)置和集成--從園區(qū)核心到網(wǎng)絡(luò)終端，同時(shí)它還必須對(duì)于用戶和應(yīng)用保持透明。

我們的最終目標(biāo)是部署一套可以共同創(chuàng)建一個(gè)"智能化自衛(wèi)網(wǎng)絡(luò)"的安全功能，這種網(wǎng)絡(luò)可以在發(fā)生攻擊時(shí)及時(shí)檢測(cè)到異常情況，發(fā)出必要的警報(bào)，并可以在無(wú)須用戶參與的情況下自動(dòng)做出反應(yīng)。

實(shí)現(xiàn)集成的主要驅(qū)動(dòng)因素

本節(jié)將介紹促使人們使用集成、內(nèi)置的網(wǎng)絡(luò)安全性的主要驅(qū)動(dòng)因素。

不斷增多的網(wǎng)絡(luò)威脅


網(wǎng)絡(luò)正在日益成為攻擊的目標(biāo)和源頭：

• 實(shí)時(shí)信息保護(hù)公司Riptech最近的一項(xiàng)調(diào)查表明，從2001年下半年到2002年上半年，網(wǎng)絡(luò)安全漏洞增加了28%。
• FBI在2002年發(fā)布的一份報(bào)告指出，在他們所調(diào)查的企業(yè)中，有85%的企業(yè)在過(guò)去12個(gè)月中都曾檢測(cè)到計(jì)算機(jī)安全漏洞。

網(wǎng)絡(luò)威脅可能來(lái)自于不可靠的外界攻擊者或者可靠的內(nèi)部員工。FBI在2001年的調(diào)查中發(fā)現(xiàn)，91%的受訪者都報(bào)告存在內(nèi)部用戶濫用網(wǎng)絡(luò)的情況。

網(wǎng)絡(luò)威脅可能來(lái)自于機(jī)構(gòu)深處，或者來(lái)自于網(wǎng)絡(luò)邊緣。這意味著必須在網(wǎng)絡(luò)的所有節(jié)點(diǎn)，而不僅僅是網(wǎng)絡(luò)周邊或者不可靠區(qū)域的入口/出口采取安全措施。只有內(nèi)置的、完全集成的安全才能提供這種普遍深入的防御。

機(jī)構(gòu)動(dòng)力

機(jī)構(gòu)人員在安全策略、部署和采購(gòu)方面所肩負(fù)的職責(zé)已經(jīng)發(fā)生了很大的變化。網(wǎng)絡(luò)治理（NetOps）和安全治理（SecOps）團(tuán)隊(duì)不再以一種孤立的方式工作。

NetOps傳統(tǒng)的部署模式是購(gòu)買(mǎi)和組建網(wǎng)絡(luò)基礎(chǔ)設(shè)施，而SecOps擁有的預(yù)算和資源相對(duì)較少，因而只能充當(dāng)一個(gè)分散的、非常專(zhuān)業(yè)的團(tuán)隊(duì)。這兩個(gè)團(tuán)隊(duì)扮演的是兩種完全不同的角色--NetOps的作用是提供訪問(wèn)，而SecOps的任務(wù)是限制訪問(wèn)。

這導(dǎo)致了機(jī)構(gòu)內(nèi)部相互牽制。但是，隨著威脅等級(jí)和人們對(duì)于保障新技術(shù)（例如無(wú)線和IP電話）的需求的不斷提升，SecOps和NetOps已經(jīng)開(kāi)始更加密切地展開(kāi)合作。此外，CxO級(jí)別的治理層也開(kāi)始越來(lái)越多地參與到安全戰(zhàn)略和部署工作中，而高層治理人員的加入也促使NetOps和SecOps更加緊密地團(tuán)結(jié)在一起。

在思科于2002年8月對(duì)400名思科客戶展開(kāi)的一項(xiàng)調(diào)查中，當(dāng)被問(wèn)及誰(shuí)負(fù)責(zé)安全事務(wù)時(shí)，45%的受訪者表示由SecOps和NetOps共同負(fù)責(zé)（36%的受訪者回答由NetOps負(fù)責(zé)，7%回答SecOps，2%則回答由應(yīng)用治理團(tuán)隊(duì)負(fù)責(zé)）。目前的趨勢(shì)是SecOps負(fù)責(zé)制定策略，而NetOps負(fù)責(zé)實(shí)施策略。

機(jī)構(gòu)內(nèi)部的整合推動(dòng)了對(duì)于集成、內(nèi)置的安全的需求。假如SecOps和NetOps聯(lián)合部署安全，那么當(dāng)安全解決方案是是一個(gè)集成化方案時(shí)，部署任務(wù)就會(huì)大大簡(jiǎn)化。

整體運(yùn)營(yíng)成本

安全部署是所有機(jī)構(gòu)優(yōu)先考慮的問(wèn)題。但是由于目前的經(jīng)濟(jì)形勢(shì)，企業(yè)的預(yù)算都很緊張。集成化安全可以提供最低的整體運(yùn)營(yíng)成本：

• 向一個(gè)已經(jīng)部署的網(wǎng)絡(luò)設(shè)備添加安全服務(wù)意味著可以繼續(xù)使用現(xiàn)有的機(jī)箱、電源、LAN/WAN卡和其他組件。假如網(wǎng)絡(luò)設(shè)備本身是模塊化的，可以提供可擴(kuò)展的性能，那么運(yùn)營(yíng)成本還可以進(jìn)一步降低。
• 現(xiàn)有的治理和監(jiān)控系統(tǒng)可以治理新的安全服務(wù)。
• 現(xiàn)有的支持合同可以涵蓋，或者通過(guò)經(jīng)濟(jì)有效的擴(kuò)展，涵蓋新的安全功能。
• 由于可以"繼續(xù)使用"現(xiàn)有的系統(tǒng)作為安全平臺(tái)，可以降低對(duì)人員進(jìn)行培訓(xùn)的需求。
• 在將負(fù)載均衡部署為集成化安全解決方案的一部分時(shí)，機(jī)構(gòu)可以降低服務(wù)器和安全系統(tǒng)（例如防火墻）的數(shù)量，從而減少在這方面的投資。

不斷擴(kuò)大的規(guī)模

本文已經(jīng)介紹了網(wǎng)絡(luò)范圍的不斷擴(kuò)大，這是規(guī)模問(wèn)題的一個(gè)重要方面。今天的網(wǎng)絡(luò)必須能夠滿足不斷增加的用戶、地點(diǎn)和服務(wù)的需要。它必須能夠處理不斷增多的流量，無(wú)論是數(shù)據(jù)、語(yǔ)音還是視頻。現(xiàn)在的網(wǎng)絡(luò)包括有線和無(wú)線連接。

如何在可能的情況下有效地治理這種環(huán)境是一個(gè)非常具有挑戰(zhàn)性的問(wèn)題。 唯一的方法就是采用一種集成化的方法。例如，假如某個(gè)基于一個(gè)統(tǒng)一身份識(shí)別框架的集成化治理系統(tǒng)可以治理一個(gè)由集成化設(shè)備組成的網(wǎng)絡(luò)，那么規(guī)模問(wèn)題就會(huì)大大減輕。

產(chǎn)品可用性

在2000年到2002年之間，出現(xiàn)了從單一功能的網(wǎng)絡(luò)和安全設(shè)備向多功能系統(tǒng)發(fā)展的重要趨勢(shì)。網(wǎng)絡(luò)設(shè)備（例如路由器和交換機(jī)）現(xiàn)在可以通過(guò)添加成熟的安全服務(wù)而提供增強(qiáng)的連接和網(wǎng)絡(luò)服務(wù)。

同時(shí)，單一功能的安全設(shè)備（例如防火墻和VPN集中器）可以受益于附加的安全服務(wù)，例如入侵檢測(cè)。總而言之，可以提供集成化功能的產(chǎn)品的出現(xiàn)有助于推動(dòng)，或者至少是滿足市場(chǎng)對(duì)于集成的需求。

解決方案集成

最終，網(wǎng)絡(luò)的所有組件都必須可以互操作，并能夠作為一個(gè)統(tǒng)一的整體發(fā)揮作用。

• 首先讓我們考慮一下數(shù)據(jù)中心。它包含多個(gè)通過(guò)交換機(jī)和路由器連接到外界環(huán)境的服務(wù)器。這些服務(wù)器必須獲得保護(hù)。路由器和交換機(jī)必須擁有它們自己的防御措施。此外，整個(gè)架構(gòu)必須具有足夠的可用性和可擴(kuò)展性，并具有一個(gè)用于控制它的集成化治理子系統(tǒng)。
• 接著讓我們考慮一下基于LAN的無(wú)線部署。很多安全威脅都是由這種日益流行的技術(shù)帶來(lái)的。無(wú)線流量必須獲得保護(hù)，以防止被阻截。網(wǎng)絡(luò)必須像防御無(wú)線威脅一樣防范無(wú)線入侵者。此外，由于對(duì)企業(yè)缺乏了解而創(chuàng)建的無(wú)用接入點(diǎn)可能缺乏強(qiáng)大的保護(hù)措施。只有集成化的網(wǎng)絡(luò)安全方式才能保護(hù)這種環(huán)境。有線等效加密（WEP）、思科輕型可擴(kuò)展身份認(rèn)證協(xié)議（LEAP）和IPSec可以提供更高級(jí)別的訪問(wèn)控制和加密，從而為無(wú)線接入點(diǎn)提供安全的通道。部署在接入點(diǎn)之后的VLAN可以將流量限制在適當(dāng)?shù)挠蛑畠?nèi)。入侵保護(hù)和防火墻功能可以在流量被解密之后提供保護(hù)。

思科的集成戰(zhàn)略

在整個(gè)網(wǎng)絡(luò)中進(jìn)行安全集成是思科的開(kāi)發(fā)和市場(chǎng)戰(zhàn)略的重要組成部分。思科的集成計(jì)劃包括下列組件：

• 在Cisco IOS軟件中集成越來(lái)越多的安全功能。該軟件覆蓋了思科的所有平臺(tái)--從遠(yuǎn)程辦公人員和遠(yuǎn)程分支機(jī)構(gòu)解決方案直至網(wǎng)絡(luò)終端。
• 在分散的安全設(shè)備和集成化的網(wǎng)絡(luò)設(shè)備中提供安全功能，這些網(wǎng)絡(luò)設(shè)備同時(shí)也可以提供LAN和WAN連接。
• 提供一個(gè)能夠方便地部署集成、內(nèi)置的安全性的治理和監(jiān)控基礎(chǔ)設(shè)施。
• 提供一個(gè)可擴(kuò)展、高度可用的安全框架。網(wǎng)絡(luò)現(xiàn)在已經(jīng)成為一個(gè)可以不停工作的重要業(yè)務(wù)工具。
• 最后，為希望部署集成、內(nèi)置的安全的客戶和機(jī)構(gòu)提供一種部署模式。這就是Cisco SAFE發(fā)展計(jì)劃的作用。

Cisco IOS中的集成化浪潮

Cisco IOS軟件是一種控制著思科所有路由器和交換機(jī)的增值軟件。它具有范圍廣泛的安全功能，而且這些功能還在隨著每個(gè)新版本的推出而不斷增加。Cisco IOS功能已經(jīng)從最初的答應(yīng)－拒絕接入技術(shù)（例如訪問(wèn)控制列表（ACL））發(fā)展到支持多種VPN類(lèi)型、入侵防范，先進(jìn)的身份識(shí)別服務(wù)和防火墻功能。

Cisco IOS軟件現(xiàn)在可以提供三層功能：

• 強(qiáng)大的安全服務(wù)
• 全面的IP服務(wù)，例如路由、服務(wù)質(zhì)量（QoS）、組播和IP語(yǔ)音（VoIP）
• 安全治理，保護(hù)設(shè)備上的治理流量和Cisco IOS軟件治理功能

這三個(gè)層次的集成讓Cisco IOS軟件具有與眾不同的特點(diǎn)。思科語(yǔ)音和視頻增強(qiáng)IPSec VPN（V3PN）解決方案就是各種能夠從Cisco IOS軟件的集成性獲得很大利益的解決方案的一個(gè)典型例子。這種解決方案可以利用Cisco IOS軟件中新推出的低延時(shí)QoS功能，為加密的語(yǔ)音和視頻流量提供值得信賴(lài)的質(zhì)量和彈性，并可以通過(guò)IPSec狀態(tài)故障切換功能消除丟棄呼叫。

集成化工具和網(wǎng)絡(luò)設(shè)備

安全工具是一種針對(duì)用途定制的安全系統(tǒng)，集成了一種或者多種安全功能--例如，一個(gè)同時(shí)支持VPN或者入侵檢測(cè)功能的防火墻。Cisco PIX防火墻支持一種VPN模塊插件，以及VPN和入侵檢測(cè)系統(tǒng)（IDS）軟件。

集成化網(wǎng)絡(luò)設(shè)備可以提供網(wǎng)絡(luò)連接（LAN、WAN或者兩者兼而有之）、IP服務(wù)和安全服務(wù)--例如，同時(shí)可以提供防火墻功能的路由器。Cisco SOHO 90和831路由器是思科新推出的、可以提供集成化安全和以太網(wǎng)、ADSL連接的遠(yuǎn)程分支機(jī)構(gòu)解決方案。（如圖1所示）

Cisco IOS軟件中的集成化功能的另外一個(gè)例子是同時(shí)可以提供第二層和第三層交換和安全功能的智能化交換機(jī)。Cisco Catalyst 6500交換機(jī)現(xiàn)在可以支持入侵防范、防火墻、VPN、安全套接字層（SSL）和其他安全模塊。

今天的機(jī)構(gòu)可以在一個(gè)工具和一個(gè)集成化網(wǎng)絡(luò)設(shè)備之間進(jìn)行選擇。在決定時(shí)，必須考慮下列因素：

• 預(yù)算。在現(xiàn)有的網(wǎng)絡(luò)設(shè)備上部署安全功能可以提供最低的部署成本和最低的長(zhǎng)期整體運(yùn)營(yíng)成本。此外，現(xiàn)有的治理基礎(chǔ)設(shè)施可以繼續(xù)用于治理附加的安全功能。
• 簡(jiǎn)便性。單一功能或者專(zhuān)用的安全設(shè)備可能最便于部署和治理。顧名思義，多功能設(shè)備擁有多個(gè)需要配置和治理的組成部分，這可能會(huì)提高發(fā)生配置錯(cuò)誤的可能性。相比之下，單一功能安全工具需要設(shè)置的功能少得多。
• 模塊性。對(duì)于一個(gè)分支地點(diǎn)來(lái)說(shuō)，可以通過(guò)單一平臺(tái)提供安全性和連接性的集成化網(wǎng)絡(luò)設(shè)備可能是最理想的選擇。但是對(duì)于頭端或者更大規(guī)模的部署而言，更適于采用一種模塊化的方法。例如，Cisco Catalyst 6500擁有一個(gè)靈活、自適應(yīng)、模塊化的架構(gòu)，因而可以適應(yīng)未來(lái)的需要。
• 機(jī)構(gòu)控制。SecOps可能需要一個(gè)只有該團(tuán)隊(duì)才能監(jiān)控、設(shè)置和治理的平臺(tái)，這可能會(huì)促使該團(tuán)隊(duì)選擇一個(gè)工具，而不是一個(gè)集成化的網(wǎng)絡(luò)設(shè)備。相比之下，當(dāng)NetOps負(fù)責(zé)安全部署時(shí)，該團(tuán)隊(duì)可能會(huì)選擇一個(gè)集成化的網(wǎng)絡(luò)設(shè)備，以便于部署。

可擴(kuò)展、可用的網(wǎng)絡(luò)

一個(gè)可擴(kuò)展的網(wǎng)絡(luò)可以隨著需求的變化而不斷發(fā)展。可用性確保了用戶一直能夠使用要害性的應(yīng)用和服務(wù)，而不會(huì)出現(xiàn)服務(wù)中斷的情況。從業(yè)務(wù)運(yùn)營(yíng)的角度來(lái)說(shuō)，必須使用一個(gè)彈性的網(wǎng)絡(luò)。今天的機(jī)構(gòu)可以通過(guò)很多方法來(lái)提供可擴(kuò)展、高度可用的基礎(chǔ)設(shè)施：

• 在多個(gè)交換機(jī)和服務(wù)器，甚至數(shù)據(jù)中心之間對(duì)網(wǎng)絡(luò)流量和服務(wù)請(qǐng)求進(jìn)行負(fù)載均衡。這樣做的好處包括能夠滿足流量高峰期的需要，降低支持某個(gè)特定流量負(fù)載所需要的網(wǎng)絡(luò)設(shè)備的數(shù)量。負(fù)載均衡解決方案的例子包括用于Cisco Catalyst 6500交換機(jī)、Cisco CSS 11000和11500內(nèi)容交換機(jī)的模塊。
• 狀態(tài)故障切換有助于在某個(gè)設(shè)備發(fā)生故障時(shí)提供備份，從而不會(huì)讓與終端用戶的連接發(fā)生任何明顯的中斷。Cisco IOS路由器和Cisco VPN 3000集中器平臺(tái)是可以提供狀態(tài)故障切換功能的產(chǎn)品的典型例子。 狀態(tài)故障切換功能可以提供一種備份功能，但是可能會(huì)在故障切換時(shí)丟失連接。
• 冗余。冗余是指設(shè)備的備用品。因此，在發(fā)生故障時(shí)，網(wǎng)絡(luò)設(shè)備--或者多個(gè)冗余網(wǎng)絡(luò)設(shè)備中的冗余模塊可以接替這些發(fā)生故障的設(shè)備的工作。
• 災(zāi)難恢復(fù)。可以利用Cisco GSS 4480 Global Site Selector中提供的全球服務(wù)器負(fù)載均衡（GSLB）功能，進(jìn)行多地點(diǎn)災(zāi)難恢復(fù)。通過(guò)不斷地監(jiān)控Cisco服務(wù)器負(fù)載均衡工具的負(fù)載和運(yùn)行狀況，假如某個(gè)主數(shù)據(jù)中心發(fā)生過(guò)載或者中斷，用戶可以被迅速地路由到某個(gè)備用的數(shù)據(jù)中心。

更多的請(qǐng)看：http://www.qqread.com/windows/2003/index.Html

思科SAFE發(fā)展計(jì)劃

思科SAFE發(fā)展計(jì)劃為安全部署提供了一系列指導(dǎo)方針。該發(fā)展計(jì)劃可以為那些積極尋求部署集成、內(nèi)置的安全的機(jī)構(gòu)提供實(shí)用的步驟。思科SAFE發(fā)展計(jì)劃白皮書(shū)是從一個(gè)獨(dú)立于產(chǎn)品的角度撰寫(xiě)的，這意味著它們并沒(méi)有專(zhuān)門(mén)建議用戶將思科設(shè)備作為安全部署的基礎(chǔ)。它們還假定存在一個(gè)多樣化的環(huán)境。

思科現(xiàn)在已經(jīng)發(fā)布了面向大型企業(yè)和中小型企業(yè)的思科SAFE白皮書(shū)。有些專(zhuān)門(mén)的白皮書(shū)涵蓋了VPN、安全無(wú)線和安全I(xiàn)P電話的部署。

例如，思科為那些將網(wǎng)絡(luò)分為多個(gè)模塊（因?yàn)槟K化方式有助于簡(jiǎn)化部署和節(jié)約預(yù)算）的大型企業(yè)專(zhuān)門(mén)提供了一個(gè)發(fā)展計(jì)劃。根據(jù)這些模塊，思科SAFE發(fā)展計(jì)劃建議了一個(gè)有助于確保可靠網(wǎng)絡(luò)安全的最佳設(shè)計(jì)。企業(yè)互聯(lián)網(wǎng)模塊可以提供從園區(qū)核心到不可靠互聯(lián)網(wǎng)域的訪問(wèn)。為了提供全面的網(wǎng)絡(luò)安全，網(wǎng)絡(luò)可以采用由提供訪問(wèn)控制的安全路由器、掃描攻擊特征的網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)系統(tǒng)，和VPN隧道啟動(dòng)及端接設(shè)備組成的重疊層。

思科安全產(chǎn)品線

本節(jié)將具體地介紹應(yīng)當(dāng)內(nèi)置于網(wǎng)絡(luò)中，并且集成到構(gòu)成網(wǎng)絡(luò)基礎(chǔ)設(shè)施的產(chǎn)品中的五種核心網(wǎng)絡(luò)安全技術(shù)。這些安全技術(shù)必須同時(shí)部署，形成互相重疊的安全措施，以實(shí)現(xiàn)所謂的"深度防御"。假如某種防御方式受到威脅，網(wǎng)絡(luò)并不會(huì)失去全部的保護(hù)層。

擴(kuò)展的周邊安全

今天的防火墻所扮演的角色已經(jīng)不再僅限于防止企業(yè)網(wǎng)絡(luò)受到未經(jīng)授權(quán)的外部訪問(wèn)。防火墻還可以防止未經(jīng)授權(quán)的用戶訪問(wèn)企業(yè)網(wǎng)絡(luò)中的某個(gè)特定的子網(wǎng)、工作組或者LAN，保護(hù)被稱(chēng)為"擴(kuò)展周邊"的邊界。周邊不再只表示可靠的內(nèi)部網(wǎng)絡(luò)和不可靠的外部網(wǎng)絡(luò)之間的邊界，F(xiàn)BI的統(tǒng)計(jì)表明，70%的安全問(wèn)題都來(lái)自于機(jī)構(gòu)內(nèi)部。思科提供了下列三個(gè)防火墻解決方案：

• Cisco PIX 500系列防火墻可以通過(guò)一個(gè)便于安裝、高性能的集成化安全設(shè)備提供強(qiáng)大的安全功能。Cisco PIX防火墻系列覆蓋了整個(gè)安全工具領(lǐng)域，從用于遠(yuǎn)程辦公人員和小型機(jī)構(gòu)的、注重成本的桌面防火墻，到用于要求最嚴(yán)格的大型企業(yè)和電信運(yùn)營(yíng)商環(huán)境的電信級(jí)千兆位防火墻。Cisco PIX防火墻可以最多提供多達(dá)50萬(wàn)個(gè)并發(fā)連接和將近1.7Gb/s（Gbps）的總吞吐量--同時(shí)提供世界級(jí)的安全、可靠性和客戶服務(wù)。
• Cisco IOS軟件可以提供強(qiáng)大的防火墻、入侵檢測(cè)和VPN功能。這種集成化的安全解決方案讓用戶可以輕松地在整個(gè)網(wǎng)絡(luò)中實(shí)施策略和在思科基礎(chǔ)設(shè)施中利用機(jī)構(gòu)以前的投資。
• 安裝在Cisco Catalyst 6500系列交換機(jī)或者Cisco 7600系列互聯(lián)網(wǎng)路由器內(nèi)部的防火墻服務(wù)模塊讓設(shè)備上的任何端口都可以充當(dāng)防火墻端口，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施內(nèi)部集成狀態(tài)防火墻安全功能當(dāng)機(jī)架空間較為不足時(shí)，這種模塊化特性尤為重要。

Cisco Catalyst 6500是那些需要智能服務(wù)（例如防火墻服務(wù)、入侵檢測(cè)和虛擬專(zhuān)用網(wǎng)）和多層LAN、WAN和MAN交換功能的客戶的主要IP服務(wù)交換機(jī)。因?yàn)樗梢酝ㄟ^(guò)一個(gè)機(jī)箱提供高達(dá)20Gbps的防火墻吞吐量，所以它還是那些需要最高等級(jí)防火墻性能的客戶的首選產(chǎn)品。

入侵防范

入侵防范系統(tǒng)必須為發(fā)現(xiàn)和阻止未經(jīng)授權(quán)的入侵、惡意的互聯(lián)網(wǎng)蠕蟲(chóng)病毒，以及針對(duì)帶寬和電子商務(wù)應(yīng)用的攻擊提供全面的安全解決方案。

目前主要有兩種入侵防范：

• 網(wǎng)絡(luò)防范，通過(guò)在流量經(jīng)過(guò)各個(gè)網(wǎng)段時(shí)對(duì)其進(jìn)行嚴(yán)格的檢查，為各個(gè)網(wǎng)段提供安全性
• 主機(jī)入侵檢測(cè)，可以為網(wǎng)絡(luò)中的主機(jī)和服務(wù)提供一種有效的防護(hù)

思科入侵防范產(chǎn)品線包括下列組成部分：

• 思科IDS檢測(cè)器，它可以支持范圍最廣泛的網(wǎng)絡(luò)部署--從小型企業(yè)到需要高速、彈性的解決方案的大型企業(yè)和電信運(yùn)營(yíng)商環(huán)境。這種檢測(cè)器采用了先進(jìn)的檢測(cè)技術(shù)，包括狀態(tài)模式識(shí)別、協(xié)議分段、啟發(fā)式檢測(cè)和異常檢測(cè)，從而可以針對(duì)已知和未知的網(wǎng)絡(luò)威脅提供全面的防護(hù)。
• 用于Catalyst 6500系列的入侵檢測(cè)系統(tǒng)模塊，適用于分布式部署和數(shù)據(jù)中心部署。它可以為阻止未經(jīng)授權(quán)的入侵、惡意的互聯(lián)網(wǎng)蠕蟲(chóng)病毒，以及針對(duì)帶寬和電子商務(wù)應(yīng)用的攻擊提供一個(gè)全面、深入的安全解決方案。
• 思科IDS主機(jī)檢測(cè)器可以利用一組行為規(guī)則和特征防范已知的和未知的攻擊，而不是在攻擊發(fā)生之后才發(fā)現(xiàn)和報(bào)告它們，從而可以有效地保障服務(wù)器的安全。思科IDS主機(jī)檢測(cè)器標(biāo)準(zhǔn)版代理可以在處理用戶對(duì)于Web應(yīng)用、Web服務(wù)器應(yīng)用編程界面（API）和操作系統(tǒng)的請(qǐng)求之前，對(duì)它們進(jìn)行嚴(yán)格的評(píng)估，從而主動(dòng)地保護(hù)Web服務(wù)器應(yīng)用的安全。它結(jié)合了操作系統(tǒng)和Web應(yīng)用保護(hù)，為防御已知和未知的攻擊提供了一種獨(dú)一無(wú)二的深度防御。
• 基于Cisco PIX防火墻的系統(tǒng)和基于Cisco IOS軟件的系統(tǒng)都可以提供入侵防范功能。

安全連接

在流量經(jīng)過(guò)未受保護(hù)的域和網(wǎng)段時(shí)，必須對(duì)它們進(jìn)行保護(hù)。可以提供安全連接的兩項(xiàng)主要的技術(shù)是：

• VPN。VPN可以提供網(wǎng)絡(luò)層的安全連接。目前最主要的VPN協(xié)議是IPSec，它可以提供身份認(rèn)證、加密和地址隱藏功能。它可以用于兩地間安全連接和對(duì)總部連接的遠(yuǎn)程訪問(wèn)。
• 安全套接字層（SSL），它是一種由Netscape開(kāi)發(fā)的協(xié)議，用于通過(guò)互聯(lián)網(wǎng)傳輸私人文件。SSL的工作方式是用一個(gè)公共密鑰來(lái)加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)。Netscape Navigator和Internet EXPlorer都支持SSL，很多站點(diǎn)也利用該協(xié)議來(lái)獲取保密的用戶信息，例如信號(hào)卡號(hào)碼。按照慣例，需要SSL連接的URL會(huì)以https開(kāi)頭，而不是http。SSL可以在客戶端和服務(wù)器之間建立安全連接，用戶可以在這條連接上安全地傳輸大量的數(shù)據(jù)。互聯(lián)網(wǎng)工程任務(wù)小組（IETF）已經(jīng)將其批準(zhǔn)為一項(xiàng)標(biāo)準(zhǔn)。

思科提供了范圍廣泛的網(wǎng)絡(luò)平臺(tái)系列，它們都可以提供LAN和WAN連接。很多思科路由器和交換機(jī)已經(jīng)集成了安全連接功能。

Cisco PIX 500系列防火墻中也內(nèi)置了VPN功能。此外，對(duì)于優(yōu)先考慮可擴(kuò)展性和治理的方便性的專(zhuān)用遠(yuǎn)程訪問(wèn)VPN部署而言，Cisco VPN 3000集中器可以扮演一個(gè)非常要害的角色。Cisco 7100系列VPN路由器可以提供硬件加速的VPN吞吐量和先進(jìn)的數(shù)據(jù)、語(yǔ)音和視頻VPN網(wǎng)絡(luò)。

另外，思科還可以通過(guò)SSL插件模塊，在它的網(wǎng)絡(luò)交換機(jī)上，以及多種專(zhuān)用的SSL設(shè)備和內(nèi)容交換機(jī)上提供SSL卸載和端接功能。

身份識(shí)別

身份識(shí)別是安全基礎(chǔ)設(shè)施的要害組成部分。基于身份識(shí)別的網(wǎng)絡(luò)服務(wù)讓系統(tǒng)可以根據(jù)各種參數(shù)（例如用戶名、IP地址和MAC地址）識(shí)別用戶的身份，進(jìn)而為其提供特定的訪問(wèn)權(quán)限--例如對(duì)網(wǎng)絡(luò)的特定部分、特定應(yīng)用或者特定網(wǎng)絡(luò)服務(wù)的訪問(wèn)。身份識(shí)別方面的重要趨勢(shì)包括訪問(wèn)權(quán)限的精確度的不斷提高和動(dòng)態(tài)、主動(dòng)地分配訪問(wèn)權(quán)限的能力。

關(guān)于身份識(shí)別，有兩個(gè)非常重要的組成部分。第一是制定身份識(shí)別策略。第二是實(shí)施策略。在思科的身份識(shí)別服務(wù)中，策略定義功能是由訪問(wèn)控制服務(wù)器執(zhí)行的，它可以與一個(gè)基于服務(wù)器的用戶目錄進(jìn)行互動(dòng)（通過(guò)LDAP）。而身份識(shí)別的策略實(shí)施功能由交換機(jī)、路由器或者其他網(wǎng)絡(luò)設(shè)備執(zhí)行。

所有策略和實(shí)施的集成讓思科的身份識(shí)別服務(wù)具有與眾不同的特點(diǎn)。例如，思科的交換機(jī)和無(wú)線接入點(diǎn)可以與思科訪問(wèn)控制服務(wù)器（ACS）合作，精確、動(dòng)態(tài)地提供基于端口的安全。一個(gè)通過(guò)思科交換機(jī)或者接入點(diǎn)連接到網(wǎng)絡(luò)的用戶可以利用802.1x進(jìn)行身份認(rèn)證。思科對(duì)于802.1x協(xié)議的擴(kuò)展非常重要。用戶可以被納入某個(gè)特定的VLAN，并分配特定的訪問(wèn)權(quán)限。通過(guò)802.1x，即使用戶在整個(gè)網(wǎng)絡(luò)中四處移動(dòng)，從一個(gè)物理地點(diǎn)轉(zhuǎn)移到另外一個(gè)，安全策略也會(huì)隨著他一同移動(dòng)。無(wú)論用戶身在何處，用戶都可以獲得統(tǒng)一的安全策略和訪問(wèn)權(quán)限。

Cisco ACS加強(qiáng)了802.1x的部署，為從基于Web的圖形化界面對(duì)所有用戶進(jìn)行身份認(rèn)證、授權(quán)和記帳提供了一個(gè)集中的命令和控制平臺(tái)。它還可以將這些控制分發(fā)到網(wǎng)絡(luò)中的數(shù)百個(gè)或者數(shù)千個(gè)訪問(wèn)網(wǎng)關(guān)。利用Cisco ACS，機(jī)構(gòu)可以通過(guò)IEEE 802.1x訪問(wèn)控制協(xié)議，治理用戶對(duì)于Cisco IOS路由器、VPN、防火墻、撥號(hào)和寬帶DSL、有線電纜接入解決方案、IP語(yǔ)音（VoIP）、思科無(wú)線解決方案和Cisco Catalyst 交換機(jī)的訪問(wèn)權(quán)限。另外，機(jī)構(gòu)還可以利用相同的Cisco ACS訪問(wèn)框架，控制所有支持TACACS+的網(wǎng)絡(luò)設(shè)備的治理員權(quán)限和配置。

安全監(jiān)控和治理

只有在網(wǎng)絡(luò)具有集成化的策略、治理和監(jiān)控系統(tǒng)的情況下，集成化的安全基礎(chǔ)設(shè)施才能真正地發(fā)揮作用。

治理子系統(tǒng)需要具有四項(xiàng)功能：

• 它必須提供對(duì)網(wǎng)絡(luò)中單個(gè)設(shè)備和系統(tǒng)的組件治理。
• 它必須支持策略的制定和控制，即所謂的"智能規(guī)則"概念。
• 它必須提供對(duì)網(wǎng)絡(luò)，以及網(wǎng)絡(luò)中發(fā)生的任何安全事件的主動(dòng)監(jiān)控。
• 它必須提供能夠支持網(wǎng)絡(luò)安全的長(zhǎng)期設(shè)計(jì)和結(jié)構(gòu)改進(jìn)的分析功能。

CiscoWorks VPN/安全治理解決方案（VMS）提供了所有這四項(xiàng)功能，并將其作為一個(gè)單一集成化產(chǎn)品的組成部分。CiscoWorks MS結(jié)合了各種用于配置、監(jiān)控和診斷基于Cisco IOS軟件的VPN、思科防火墻、網(wǎng)絡(luò)與主機(jī)入侵檢測(cè)系統(tǒng)的Web工具。

治理基礎(chǔ)設(shè)施和它的所有連接都必須得到保護(hù)，并且必須通過(guò)集中式的、基于職責(zé)的訪問(wèn)控制功能，嚴(yán)格地控制治理權(quán)限。思科在從一個(gè)集中地點(diǎn)保護(hù)組件、基礎(chǔ)設(shè)施、權(quán)利和權(quán)限方面具有獨(dú)特的優(yōu)勢(shì)。

治理框架必須可擴(kuò)展。這種功能是通過(guò)自動(dòng)升級(jí)服務(wù)器（AUS）提供的，它也是CiscoWorks VMS的組成部分。它讓設(shè)備，甚至遠(yuǎn)程或者動(dòng)態(tài)尋址的設(shè)備，可以定期地"致電"到某個(gè)升級(jí)服務(wù)器，并"獲取"Cisco PIX防火墻軟件的最新安全配置。假如沒(méi)有這種自動(dòng)升級(jí)功能，用戶就必須手動(dòng)升級(jí)所有遠(yuǎn)程設(shè)備。除了更加方便、更加快速的策略升級(jí)以外，自動(dòng)升級(jí)服務(wù)器還可以提供統(tǒng)一的策略部署。

思科一直致力于拓展它的安全功能。CiscoWorks主機(jī)托管解決方案引擎（HSE）是一個(gè)綜合的、基于硬件的解決方案，用于思科所支持?jǐn)?shù)據(jù)中心中的電子商務(wù)系統(tǒng)。它可以提供關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施和第四到第七層服務(wù)的最新故障和性能信息，從而節(jié)約日常業(yè)務(wù)所需的時(shí)間和資源。它還可以為不同機(jī)構(gòu)的服務(wù)器治理人員提供層次化的用戶權(quán)限，以便將特定的服務(wù)器加入服務(wù)或者從服務(wù)中抽出。它還可以提供第四到第七層托管服務(wù)的配置信息。對(duì)于IT部門(mén)，CiscoWorks HSE可以實(shí)現(xiàn)集中的網(wǎng)絡(luò)和服務(wù)治理，并由各個(gè)業(yè)務(wù)部門(mén)自行進(jìn)行應(yīng)用治理。它可以方便地與現(xiàn)有上層NMS/OSS集成，同時(shí)可以將可治理性拓展到電子商務(wù)系統(tǒng)。

示例--實(shí)際工作中的集成

本文介紹了對(duì)于集成的需求和怎樣將安全內(nèi)置到網(wǎng)絡(luò)中。本節(jié)將介紹一些特定的例子，以說(shuō)明怎樣部署集成化安全。這些例子介紹了一些只有集成化解決方案才能提供有效對(duì)策的安全威脅。

• 保障基于Web的應(yīng)用的安全--基于Web的應(yīng)用的部署速度正在迅速加快。但是怎樣保護(hù)這些應(yīng)用所涉及的交易、用戶和服務(wù)器？對(duì)應(yīng)用流量進(jìn)行SSL加密是第一步。但是這種方式會(huì)給服務(wù)器帶來(lái)很高的CPU占用率。網(wǎng)絡(luò)還需要檢測(cè)可能有害的SSL負(fù)載。一個(gè)集成安全解決方案可以：
  • 某個(gè)內(nèi)容服務(wù)器分擔(dān)SSL解密任務(wù)，例如Cisco CSS 11500內(nèi)容服務(wù)交換機(jī)或者用于Cisco Catalyst 6500系列的內(nèi)容交換模塊（CSM）
  • 經(jīng)過(guò)解密的流量可以利用IDS保護(hù)后端服務(wù)器
  • 任務(wù)分擔(dān)功能還可以通過(guò)第四到第七層負(fù)載均衡實(shí)現(xiàn)優(yōu)化，包括全球服務(wù)器負(fù)載均衡（GSLB）解決方案，例如由Cisco CSS 4480提供的方案

• 防范未經(jīng)授權(quán)的訪問(wèn)--802.1x是一種基于客戶端－服務(wù)器端的控制和身份認(rèn)證協(xié)議。它可以阻止未經(jīng)授權(quán)的設(shè)備通過(guò)公共端口連接到某個(gè)LAN。每個(gè)連接到交換機(jī)端口的用戶設(shè)備在訪問(wèn)任何服務(wù)之間都必須進(jìn)行身份認(rèn)證。在認(rèn)證之后，RADIUS會(huì)向交換機(jī)發(fā)送一個(gè)針對(duì)某個(gè)特定用戶的VLAN分配命令。該交換機(jī)隨后可以將附加端口分配給指定的VLAN。總而言之，經(jīng)過(guò)身份認(rèn)證的802.1x端口會(huì)根據(jù)連接到該端口的用戶的用戶名，分配到某個(gè)VLAN。例如，RADIUS服務(wù)器、交換機(jī)和802.1x客戶端必須可以互操作，以提供強(qiáng)大的安全性。
• 保障從分支機(jī)構(gòu)到總部的連接--思科可以為所有價(jià)格－性能－容量需求提供集成化的訪問(wèn)解決方案：

在遠(yuǎn)程機(jī)構(gòu)，一個(gè)基于Cisco IOS軟件的解決方案（例如Cisco 830或者SOHO 90系列路由器）可以將安全性、VPN和IP服務(wù)整合到一起；基于設(shè)備的解決方案（例如Cisco PIX 506防火墻）則可以結(jié)合防火墻、VPN和入侵檢測(cè)功能。

對(duì)于分支機(jī)構(gòu)，Cisco 2600、3600和3700系列路由器現(xiàn)在可以配備能夠提供DES、3DES、AES和硬件壓縮功能的下一代VPN模塊。這可以將VPN的吞吐量提高5到10倍，同時(shí)將CPU的占用率降低一半。因?yàn)檫@些模塊安裝在路由器的AIM主板上，所以路由器為語(yǔ)音、WAN和LAN接口提供了開(kāi)放的插槽。

結(jié)論

本白皮書(shū)具體地分析了市場(chǎng)對(duì)于集成、內(nèi)置的安全的需求。總而言之，只有一個(gè)集成、內(nèi)置的解決方案才可以保護(hù)目前獲得廣泛部署、范圍廣泛、開(kāi)放、復(fù)雜的網(wǎng)絡(luò)。 本文還介紹了您的機(jī)構(gòu)為了保護(hù)網(wǎng)絡(luò)所需的要害性網(wǎng)絡(luò)安全技術(shù)的多個(gè)重疊層。 最后，本文介紹了思科的集成化網(wǎng)絡(luò)安全解決方案。思科一直是很多機(jī)構(gòu)建設(shè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的積極合作伙伴。思科所提供的集成、內(nèi)置的安全可以防止他們免受當(dāng)前和未來(lái)的網(wǎng)絡(luò)安全威脅。