《《精编》网络安全:内置在网络中集成于产品中》由会员分享,可在线阅读,更多相关《《精编》网络安全:内置在网络中集成于产品中(22页珍藏版)》请在金锄头文库上搜索。
1、网络安全:内置在网络中,集成于产品中无论从所覆盖的地理范围和所互联的内部、外部群体而言,今天的网络都非常庞大。它们更加复杂,支持多种应用和服务,可以在有线和无线连接上传输集成化的数据、语音和视频流量。它们还在变得越来越开放-它们可以使用不可靠的公共网络,连接合作伙伴,是一种能够连接客户和供应商的业务工具。事实上,专用网络和公共网络之间的界限已经变得非常模糊。网络环境的广泛性、复杂性和开放性提升了人们对于强大、全面的安全的需要,因为必须对网络所接触到的所有地点进行保护,同时也要防范从这些地点对网络发动的攻击。 本文将探讨和介绍内置、集成的安全性,并认为它是保护网络的唯一有效的方法。本文将概括介绍
2、采用集成化方式的主要原因,随后还将介绍思科集成化网络安全解决方案的一些现有的和新推出的补充产品。本文主要面向技术决策的制定者。 首先,让我们回顾一下集成安全和内置安全的定义: 集成安全 表示在某个网络设备(例如路由器、交换机或者无线接入点)上提供的安全功能。当流量经过某个网络设备时,网络设备必须对其进行一定的扫描和分析,决定让其继续传输、隔离或者拒绝。这要求集成安全设备具有足够的智能、性能和可扩展性。 内置安全 表示分布在网络基础设施的某些关键位置的安全功能-例如终端用户工作站、远程分支机构、园区和数据中心。 内置、集成的安全性必须防止网络受到来自外部和内部的威胁,在对于访问的需求和对于保护的
3、需求之间保持均衡。 这意味着安全功能必须在网络任何地方内置和集成-从园区核心到网络终端,同时它还必须对于用户和应用保持透明。 我们的最终目标是部署一套可以共同创建一个智能化自卫网络的安全功能,这种网络可以在发生攻击时及时检测到异常情况,发出必要的警报,并可以在无须用户参与的情况下自动做出反应。 实现集成的主要驱动因素本节将介绍促使人们使用集成、内置的网络安全性的主要驱动因素。 不断增多的网络威胁网络正在日益成为攻击的目标和源头: 实时信息保护公司Riptech最近的一项调查表明,从2001年下半年到2002年上半年,网络安全漏洞增加了28%。 FBI在2002年发布的一份报告指出,在他们所调查
4、的企业中,有85%的企业在过去12个月中都曾检测到计算机安全漏洞。 网络威胁可能来自于不可靠的外界攻击者或者可靠的内部员工。FBI在2001年的调查中发现,91%的受访者都报告存在内部用户滥用网络的情况。 网络威胁可能来自于机构深处,或者来自于网络边缘。这意味着必须在网络的所有节点,而不仅仅是网络周边或者不可靠区域的入口/出口采取安全措施。只有内置的、完全集成的安全才能提供这种普遍深入的防御。 机构动力机构人员在安全策略、部署和采购方面所肩负的职责已经发生了很大的变化。网络管理(NetOps)和安全管理(SecOps)团队不再以一种孤立的方式工作。 NetOps传统的部署模式是购买和组建网络基
5、础设施,而SecOps拥有的预算和资源相对较少,因而只能充当一个分散的、非常专业的团队。这两个团队扮演的是两种完全不同的角色-NetOps的作用是提供访问,而SecOps的任务是限制访问。 这导致了机构内部相互牵制。但是,随着威胁等级和人们对于保障新技术(例如无线和IP电话)的需求的不断提升,SecOps和NetOps已经开始更加密切地展开合作。此外,CxO级别的管理层也开始越来越多地参与到安全战略和部署工作中,而高层管理人员的加入也促使NetOps和SecOps更加紧密地团结在一起。 在思科于2002年8月对400名思科客户展开的一项调查中,当被问及谁负责安全事务时,45%的受访者表示由Se
6、cOps和NetOps共同负责(36%的受访者回答由NetOps负责,7%回答SecOps,2%则回答由应用管理团队负责)。目前的趋势是SecOps负责制定策略,而NetOps负责实施策略。 机构内部的整合推动了对于集成、内置的安全的需求。如果SecOps和NetOps联合部署安全,那么当安全解决方案是是一个集成化方案时,部署任务就会大大简化。 整体运营成本安全部署是所有机构优先考虑的问题。但是由于目前的经济形势,企业的预算都很紧张。集成化安全可以提供最低的整体运营成本: 向一个已经部署的网络设备添加安全服务意味着可以继续使用现有的机箱、电源、LAN/WAN卡和其他组件。如果网络设备本身是模块
7、化的,可以提供可扩展的性能,那么运营成本还可以进一步降低。 现有的管理和监控系统可以管理新的安全服务。 现有的支持合同可以涵盖,或者通过经济有效的扩展,涵盖新的安全功能。 由于可以继续使用现有的系统作为安全平台,可以降低对人员进行培训的需求。 在将负载均衡部署为集成化安全解决方案的一部分时,机构可以降低服务器和安全系统(例如防火墙)的数量,从而减少在这方面的投资。 不断扩大的规模本文已经介绍了网络范围的不断扩大,这是规模问题的一个重要方面。今天的网络必须能够满足不断增加的用户、地点和服务的需要。它必须能够处理不断增多的流量,无论是数据、语音还是视频。现在的网络包括有线和无线连接。 如何在可能的
8、情况下有效地管理这种环境是一个非常具有挑战性的问题。 唯一的方法就是采用一种集成化的方法。例如,如果某个基于一个统一身份识别框架的集成化管理系统可以管理一个由集成化设备组成的网络,那么规模问题就会大大减轻。 产品可用性在2000年到2002年之间,出现了从单一功能的网络和安全设备向多功能系统发展的重要趋势。网络设备(例如路由器和交换机)现在可以通过添加成熟的安全服务而提供增强的连接和网络服务。 同时,单一功能的安全设备(例如防火墙和VPN集中器)可以受益于附加的安全服务,例如入侵检测。总而言之,可以提供集成化功能的产品的出现有助于推动,或者至少是满足市场对于集成的需求。 解决方案集成最终,网络
9、的所有组件都必须可以互操作,并能够作为一个统一的整体发挥作用。 首先让我们考虑一下数据中心。它包含多个通过交换机和路由器连接到外界环境的服务器。这些服务器必须获得保护。路由器和交换机必须拥有它们自己的防御措施。此外,整个架构必须具有足够的可用性和可扩展性,并具有一个用于控制它的集成化管理子系统。 接着让我们考虑一下基于LAN的无线部署。很多安全威胁都是由这种日益流行的技术带来的。无线流量必须获得保护,以防止被阻截。网络必须像防御无线威胁一样防范无线入侵者。此外,由于对企业缺乏了解而创建的无用接入点可能缺乏强大的保护措施。只有集成化的网络安全方式才能保护这种环境。有线等效加密(WEP)、思科轻型
10、可扩展身份认证协议(LEAP)和IPSec可以提供更高级别的访问控制和加密,从而为无线接入点提供安全的通道。部署在接入点之后的VLAN可以将流量限制在适当的域之内。入侵保护和防火墙功能可以在流量被解密之后提供保护。 思科的集成战略在整个网络中进行安全集成是思科的开发和市场战略的重要组成部分。思科的集成计划包括下列组件: 在Cisco IOS软件中集成越来越多的安全功能。该软件覆盖了思科的所有平台-从远程办公人员和远程分支机构解决方案直至网络终端。 在分散的安全设备和集成化的网络设备中提供安全功能,这些网络设备同时也可以提供LAN和WAN连接。 提供一个能够方便地部署集成、内置的安全性的管理和监
11、控基础设施。 提供一个可扩展、高度可用的安全框架。网络现在已经成为一个可以不停工作的重要业务工具。 最后,为希望部署集成、内置的安全的客户和机构提供一种部署模式。这就是Cisco SAFE发展计划的作用。 Cisco IOS中的集成化浪潮Cisco IOS软件是一种控制着思科所有路由器和交换机的增值软件。它具有范围广泛的安全功能,而且这些功能还在随着每个新版本的推出而不断增加。Cisco IOS功能已经从最初的允许拒绝接入技术(例如访问控制列表(ACL)发展到支持多种VPN类型、入侵防范,先进的身份识别服务和防火墙功能。 Cisco IOS软件现在可以提供三层功能: 强大的安全服务 全面的IP
12、服务,例如路由、服务质量(QoS)、组播和IP语音(VoIP) 安全管理,保护设备上的管理流量和Cisco IOS软件管理功能 这三个层次的集成让Cisco IOS软件具有与众不同的特点。思科语音和视频增强IPSec VPN(V3PN)解决方案就是各种能够从Cisco IOS软件的集成性获得很大利益的解决方案的一个典型例子。这种解决方案可以利用Cisco IOS软件中新推出的低延时QoS功能,为加密的语音和视频流量提供值得信赖的质量和弹性,并可以通过IPSec状态故障切换功能消除丢弃呼叫。 集成化工具和网络设备安全工具是一种针对用途定制的安全系统,集成了一种或者多种安全功能-例如,一个同时支持
13、VPN或者入侵检测功能的防火墙。Cisco PIX防火墙支持一种VPN模块插件,以及VPN和入侵检测系统(IDS)软件。 集成化网络设备可以提供网络连接(LAN、WAN或者两者兼而有之)、IP服务和安全服务-例如,同时可以提供防火墙功能的路由器。Cisco SOHO 90和831路由器是思科新推出的、可以提供集成化安全和以太网、ADSL连接的远程分支机构解决方案。(如图1所示) 图1 Cisco 831安全宽带路由器:2Mbps硬件加速加密,增强的QoS功能、VPN和路由功能Cisco IOS软件中的集成化功能的另外一个例子是同时可以提供第二层和第三层交换和安全功能的智能化交换机。Cisco
14、Catalyst 6500交换机现在可以支持入侵防范、防火墙、VPN、安全套接字层(SSL)和其他安全模块。 今天的机构可以在一个工具和一个集成化网络设备之间进行选择。在决定时,必须考虑下列因素: 预算。在现有的网络设备上部署安全功能可以提供最低的部署成本和最低的长期整体运营成本。此外,现有的管理基础设施可以继续用于管理附加的安全功能。 简便性。单一功能或者专用的安全设备可能最便于部署和管理。顾名思义,多功能设备拥有多个需要配置和管理的组成部分,这可能会提高发生配置错误的可能性。相比之下,单一功能安全工具需要设置的功能少得多。 模块性。对于一个分支地点来说,可以通过单一平台提供安全性和连接性的
15、集成化网络设备可能是最理想的选择。但是对于头端或者更大规模的部署而言,更适于采用一种模块化的方法。例如,Cisco Catalyst 6500拥有一个灵活、自适应、模块化的架构,因而可以适应未来的需要。 机构控制。SecOps可能需要一个只有该团队才能监控、设置和管理的平台,这可能会促使该团队选择一个工具,而不是一个集成化的网络设备。相比之下,当NetOps负责安全部署时,该团队可能会选择一个集成化的网络设备,以便于部署。 可扩展、可用的网络一个可扩展的网络可以随着需求的变化而不断发展。可用性确保了用户一直能够使用关键性的应用和服务,而不会出现服务中断的情况。从业务运营的角度来说,必须使用一个弹性的网络。今天的机构可以通过很多方法来提供可扩展、高度可用的基础设施: 在多个交换机和服务器,甚至数据中心之间对网络流量和服务请求进行负载均衡。这样做的好处包括能够满足流量高峰期的需要,降低支持某个特定流量负载所需要的网络设备的数量。负载均衡解决方案的例子包括用于Cisco Catalyst 6500交换机、Cisco CSS 11000和11500内容交换机的模块。 状态故障切换有助于在某个设备发生故障时提供备份,从而不会让与终端用户的连接发生任何明显的中断。Cisco IOS路由器和Cisco VPN 3000集中器平台是可以提供状态故障切换功能的产品的典型例子。 状态故障切换功能
