内置、集成的网络解决方案安全性讨论 (4)

关于身份识别，有两个非常重要的组成部分。第一是制定身份识别策略。第二是实施策略。在思科的身份识别服务中，策略定义功能是由访问控制服务器执行的，它可以与一个基于服务器的用户目录进行互动（通过LDAP）。而身份识别的策略实施功能由交换机、路由器或者其他网络设备执行。

所有策略和实施的集成让思科的身份识别服务具有与众不同的特点。例如，思科的交换机和无线接入点可以与思科访问控制服务器（ACS）合作，精确、动态地提供基于端口的安全。一个通过思科交换机或者接入点连接到网络的用户可以利用802.1x进行身份认证。思科对于802.1x协议的扩展非常重要。用户可以被纳入某个特定的VLAN，并分配特定的访问权限。通过802.1x，即使用户在整个网络中四处移动，从一个物理地点转移到另外一个，安全策略也会随着他一同移动。无论用户身在何处，用户都可以获得统一的安全策略和访问权限。

Cisco ACS加强了802.1x的部署，为从基于Web的图形化界面对所有用户进行身份认证、授权和记帐提供了一个集中的命令和控制平台。它还可以将这些控制分发到网络中的数百个或者数千个访问网关。利用Cisco ACS，机构可以通过IEEE 802.1x访问控制协议，管理用户对于Cisco IOS路由器、VPN、防火墙、拨号和宽带DSL、有线电缆接入解决方案、IP语音（VoIP）、思科无线解决方案和Cisco Catalyst 交换机的访问权限。另外，机构还可以利用相同的Cisco ACS访问框架，控制所有支持TACACS 的网络设备的管理员权限和配置。

安全监控和管理

只有在网络具有集成化的策略、管理和监控系统的情况下，集成化的安全基础设施才能真正地发挥作用。

管理子系统需要具有四项功能：

• 它必须提供对网络中单个设备和系统的组件管理。
• 它必须支持策略的制定和控制，即所谓的"智能规则"概念。
• 它必须提供对网络，以及网络中发生的任何安全事件的主动监控。
• 它必须提供能够支持网络安全的长期设计和结构改进的分析功能。

CiscoWorks VPN/安全管理解决方案（VMS）提供了所有这四项功能，并将其作为一个单一集成化产品的组成部分。CiscoWorks MS结合了各种用于配置、监控和诊断基于Cisco IOS软件的VPN、思科防火墙、网络与主机入侵检测系统的Web工具。

管理基础设施和它的所有连接都必须得到保护，并且必须通过集中式的、基于职责的访问控制功能，严格地控制管理权限。思科在从一个集中地点保护组件、基础设施、权利和权限方面具有独特的优势。

管理框架必须可扩展。这种功能是通过自动升级服务器（AUS）提供的，它也是CiscoWorks VMS的组成部分。它让设备，甚至远程或者动态寻址的设备，可以定期地"致电"到某个升级服务器，并"获取"Cisco PIX防火墙软件的最新安全配置。如果没有这种自动升级功能，用户就必须手动升级所有远程设备。除了更加方便、更加快速的策略升级以外，自动升级服务器还可以提供统一的策略部署。

思科一直致力于拓展它的安全功能。CiscoWorks主机托管解决方案引擎（HSE）是一个综合的、基于硬件的解决方案，用于思科所支持数据中心中的电子商务系统。它可以提供关于网络基础设施和第四到第七层服务的最新故障和性能信息，从而节约日常业务所需的时间和资源。它还可以为不同机构的服务器管理人员提供层次化的用户权限，以便将特定的服务器加入服务或者从服务中抽出。它还可以提供第四到第七层托管服务的配置信息。对于IT部门，CiscoWorks HSE可以实现集中的网络和服务管理，并由各个业务部门自行进行应用管理。它可以方便地与现有上层NMS/OSS集成，同时可以将可管理性拓展到电子商务系统。

示例--实际工作中的集成

本文介绍了对于集成的需求和怎样将安全内置到网络中。本节将介绍一些特定的例子，以说明怎样部署集成化安全。这些例子介绍了一些只有集成化解决方案才能提供有效对策的安全威胁。

• 保障基于Web的应用的安全--基于Web的应用的部署速度正在迅速加快。但是怎样保护这些应用所涉及的交易、用户和服务器？对应用流量进行SSL加密是第一步。但是这种方式会给服务器带来很高的CPU占用率。网络还需要检测可能有害的SSL负载。一个集成安全解决方案可以：
  • 某个内容服务器分担SSL解密任务，例如Cisco CSS 11500内容服务交换机或者用于Cisco Catalyst 6500系列的内容交换模块（CSM）
  • 经过解密的流量可以利用IDS保护后端服务器
  • 任务分担功能还可以通过第四到第七层负载均衡实现优化，包括全球服务器负载均衡（GSLB）解决方案，例如由Cisco CSS 4480提供的方案

• 防范未经授权的访问--802.1x是一种基于客户端－服务器端的控制和身份认证协议。它可以阻止未经授权的设备通过公共端口连接到某个LAN。每个连接到交换机端口的用户设备在访问任何服务之间都必须进行身份认证。在认证之后，RADIUS会向交换机发送一个针对某个特定用户的VLAN分配命令。该交换机随后可以将附加端口分配给指定的VLAN。总而言之，经过身份认证的802.1x端口会根据连接到该端口的用户的用户名，分配到某个VLAN。例如，RADIUS服务器、交换机和802.1x客户端必须可以互操作，以提供强大的安全性。
• 保障从分支机构到总部的连接--思科可以为所有价格－性能－容量需求提供集成化的访问解决方案：

在远程机构，一个基于Cisco IOS软件的解决方案（例如Cisco 830或者SOHO 90系列路由器）可以将安全性、VPN和IP服务整合到一起；基于设备的解决方案（例如Cisco PIX 506防火墙）则可以结合防火墙、VPN和入侵检测功能。

对于分支机构，Cisco 2600、3600和3700系列路由器现在可以配备能够提供DES、3DES、AES和硬件压缩功能的下一代VPN模块。这可以将VPN的吞吐量提高5到10倍，同时将CPU的占用率降低一半。因为这些模块安装在路由器的AIM主板上，所以路由器为语音、WAN和LAN接口提供了开放的插槽。

结论

本白皮书详细地分析了市场对于集成、内置的安全的需求。总而言之，只有一个集成、内置的解决方案才可以保护目前获得广泛部署、范围广泛、开放、复杂的网络。 本文还介绍了您的机构为了保护网络所需的关键性网络安全技术的多个重叠层。 最后，本文介绍了思科的集成化网络安全解决方案。思科一直是很多机构建设网络基础设施的积极合作伙伴。思科所提供的集成、内置的安全可以防止他们免受当前和未来的网络安全威胁。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有