内置、集成的网络解决方案安全性讨论 (3)

[page]

思科SAFE发展计划

思科SAFE发展计划为安全部署提供了一系列指导方针。该发展计划可以为那些积极寻求部署集成、内置的安全的机构提供实用的步骤。思科SAFE发展计划白皮书是从一个独立于产品的角度撰写的，这意味着它们并没有专门建议用户将思科设备作为安全部署的基础。它们还假定存在一个多样化的环境。

思科现在已经发布了面向大型企业和中小型企业的思科SAFE白皮书。有些专门的白皮书涵盖了VPN、安全无线和安全IP电话的部署。

例如，思科为那些将网络分为多个模块（因为模块化方式有助于简化部署和节约预算）的大型企业专门提供了一个发展计划。根据这些模块，思科SAFE发展计划建议了一个有助于确保可靠网络安全的最佳设计。企业互联网模块可以提供从园区核心到不可靠互联网域的访问。为了提供全面的网络安全，网络可以采用由提供访问控制的安全路由器、扫描攻击特征的网络和主机入侵检测系统，和VPN隧道启动及端接设备组成的重叠层。

思科安全产品线

本节将详细地介绍应当内置于网络中，并且集成到构成网络基础设施的产品中的五种核心网络安全技术。这些安全技术必须同时部署，形成互相重叠的安全措施，以实现所谓的"深度防御"。如果某种防御方式受到威胁，网络并不会失去全部的保护层。

扩展的周边安全

今天的防火墙所扮演的角色已经不再仅限于防止企业网络受到未经授权的外部访问。防火墙还可以防止未经授权的用户访问企业网络中的某个特定的子网、工作组或者LAN，保护被称为"扩展周边"的边界。周边不再只表示可靠的内部网络和不可靠的外部网络之间的边界，FBI的统计表明，70%的安全问题都来自于机构内部。思科提供了下列三个防火墙解决方案：

• Cisco PIX 500系列防火墙可以通过一个便于安装、高性能的集成化安全设备提供强大的安全功能。Cisco PIX防火墙系列覆盖了整个安全工具领域，从用于远程办公人员和小型机构的、注重成本的桌面防火墙，到用于要求最严格的大型企业和电信运营商环境的电信级千兆位防火墙。Cisco PIX防火墙可以最多提供多达50万个并发连接和将近1.7Gb/s（Gbps）的总吞吐量--同时提供世界级的安全、可靠性和客户服务。
• Cisco IOS软件可以提供强大的防火墙、入侵检测和VPN功能。这种集成化的安全解决方案让用户可以轻松地在整个网络中实施策略和在思科基础设施中利用机构以前的投资。
• 安装在Cisco Catalyst 6500系列交换机或者Cisco 7600系列互联网路由器内部的防火墙服务模块让设备上的任何端口都可以充当防火墙端口，在网络基础设施内部集成状态防火墙安全功能当机架空间较为不足时，这种模块化特性尤为重要。

Cisco Catalyst 6500是那些需要智能服务（例如防火墙服务、入侵检测和虚拟专用网）和多层LAN、WAN和MAN交换功能的客户的主要IP服务交换机。因为它可以通过一个机箱提供高达20Gbps的防火墙吞吐量，所以它还是那些需要最高等级防火墙性能的客户的首选产品。

入侵防范

入侵防范系统必须为发现和阻止未经授权的入侵、恶意的互联网蠕虫病毒，以及针对带宽和电子商务应用的攻击提供全面的安全解决方案。

目前主要有两种入侵防范：

• 网络防范，通过在流量经过各个网段时对其进行严格的检查，为各个网段提供安全性
• 主机入侵检测，可以为网络中的主机和服务提供一种有效的防护

思科入侵防范产品线包括下列组成部分：

• 思科IDS检测器，它可以支持范围最广泛的网络部署--从小型企业到需要高速、弹性的解决方案的大型企业和电信运营商环境。这种检测器采用了先进的检测技术，包括状态模式识别、协议分段、启发式检测和异常检测，从而可以针对已知和未知的网络威胁提供全面的防护。
• 用于Catalyst 6500系列的入侵检测系统模块，适用于分布式部署和数据中心部署。它可以为阻止未经授权的入侵、恶意的互联网蠕虫病毒，以及针对带宽和电子商务应用的攻击提供一个全面、深入的安全解决方案。
• 思科IDS主机检测器可以利用一组行为规则和特征防范已知的和未知的攻击，而不是在攻击发生之后才发现和报告它们，从而可以有效地保障服务器的安全。思科IDS主机检测器标准版代理可以在处理用户对于Web应用、Web服务器应用编程界面（API）和操作系统的请求之前，对它们进行严格的评估，从而主动地保护Web服务器应用的安全。它结合了操作系统和Web应用保护，为防御已知和未知的攻击提供了一种独一无二的深度防御。
• 基于Cisco PIX防火墙的系统和基于Cisco IOS软件的系统都可以提供入侵防范功能。

安全连接

在流量经过未受保护的域和网段时，必须对它们进行保护。可以提供安全连接的两项主要的技术是：

• VPN。VPN可以提供网络层的安全连接。目前最主要的VPN协议是IPSec，它可以提供身份认证、加密和地址隐藏功能。它可以用于两地间安全连接和对总部连接的远程访问。
• 安全套接字层（SSL），它是一种由Netscape开发的协议，用于通过互联网传输私人文件。SSL的工作方式是用一个公共密钥来加密通过SSL连接传输的数据。Netscape Navigator和Internet Explorer都支持SSL，很多站点也利用该协议来获取保密的用户信息，例如信号卡号码。按照惯例，需要SSL连接的URL会以https开头，而不是http。SSL可以在客户端和服务器之间建立安全连接，用户可以在这条连接上安全地传输大量的数据。互联网工程任务小组（IETF）已经将其批准为一项标准。

思科提供了范围广泛的网络平台系列，它们都可以提供LAN和WAN连接。很多思科路由器和交换机已经集成了安全连接功能。

Cisco PIX 500系列防火墙中也内置了VPN功能。此外，对于优先考虑可扩展性和管理的方便性的专用远程访问VPN部署而言，Cisco VPN 3000集中器可以扮演一个非常关键的角色。Cisco 7100系列VPN路由器可以提供硬件加速的VPN吞吐量和先进的数据、语音和视频VPN网络。

另外，思科还可以通过SSL插件模块，在它的网络交换机上，以及多种专用的SSL设备和内容交换机上提供SSL卸载和端接功能。

身份识别

身份识别是安全基础设施的关键组成部分。基于身份识别的网络服务让系统可以根据各种参数（例如用户名、IP地址和MAC地址）识别用户的身份，进而为其提供特定的访问权限--例如对网络的特定部分、特定应用或者特定网络服务的访问。身份识别方面的重要趋势包括访问权限的精确度的不断提高和动态、主动地分配访问权限的能力。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有