网络时代的到来使得安全问题成为一个迫切需要解决的问题。病毒、黑客以及各种各样系统漏洞的存在,使得安全任务在网络时代变得无比艰巨。尤其对于一些企业级的计算机网络,人为或者非人为的因素使得系统屡次被病毒感染或者被入侵,系统管理员的任何一次疏忽都可能酿成大祸。
企业网络的安全成为非常棘手的问题。如何才能使得企业网络得到真正的安全保障?当然人们最渴望的就是网络自己具有抵抗力,就像人一样,网络对一些外来的侵蚀有一种自然的抵抗力,而且随着环境的变化,这种抵抗力还能增加和进化。
思科系统公司最近提出了一项名为“自防御网络(Self-Defending Network,SDN)”的计划,就是这种思路的体现。思科的自防御网络计划是一种全新的多阶段安全计划,它能够大大提高网络发现、预防和对抗安全威胁的能力。
思科认为,安全解决方案的发展趋势不仅是让系统得到端到端的保护,而且还应该对各种应用进行保护,要使网络有“自愈”功能,从而形成全面集成的安全解决方案。在第三代的思科安全解决方案中,思科把安全的概念融会到路由器、交换机、终端、防火墙+VPN+IDS产品中,并采用了集成化管理软件。这就形成了思科自防御网络的体系框架。
思科与国际上主要防病毒厂商趋势科技、赛门铁克以及美国网络联盟(NAI)在全球宣布的网络准入控制(NAC,Network Admission Control)计划,就是思科自防御网络(SDN)行动的一个步骤。
思科的网络准入控制是思科自防御网络计划中重要的组成部分,也是未来发展阶段的基础组件之一。从终端方面的网络准备控制(NAC),到交换机上的防火墙、入侵检测、流量分析与监控、内容过滤,思科以网络巨头的身份介入网络安全,形成全面的网络安全防御体系。
根据思科网络准入控制计划,未来的网络设备将具备安全智能,能自动检测接入设备中是否采取了安全措施,一旦检测到没有安装安全产品,网络设备将自动拒绝这些“非安全”的终端设备的接入。目前,思科公司正在积极研究NAC的技术标准。
思科的网络准入控制的宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其他设备接入。在初始阶段,当端点设备进入网络时,NAC能够帮助思科路由器实施访问权限。此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。网络将按照客户制定的策略实行相应的准入控制决策:允许、拒绝、隔离或限制。一开始,NAC将支持运行Microsoft Windows NT、XP和2000操作系统的端点设备。
SDN能利用网络智能地根据终端安全状况提供访问权限,它具有如下特点:能适应所有连接方法,提供统一的解决方案;智能地验证所有主机;可以充分利用客户对于思科网络和防病毒解决方案的投资;能够提供隔离和恢复服务,并且能进行可扩展性的部署。
除了引入战略合作伙伴以外,思科自身的全线产品和技术也都被纳入到SDN的框架之内。其中包含有思科防火墙技术和网络IDS/IPS技术,这两项技术都曾应用在思科的独立产品以及高档交换机中。SDN还集成了思科安全代理(CSA)技术,在每个客户端保障网络的安全。内容安全、安全管理、智能分析以及IOS 基础设施安全等高级技术也都被通通包容在SDN这个框架之中。
更多内容请看PCdog.com--Sniffer安全技术 互联网安全 路由安全配置专题
