公司刊物

着眼未来的全面防御 -- 思科SDN自防御网络

着眼未来的全面防御 -- 思科SDN自防御网络

“网络是客户的战略性资产,保护其关键业务应用和资源成了客户的首要任务。SDN(第三阶段ATD)的发布体现了思科的长期承诺,即在保护客户长期网络投资的前提下,为满足全球性客户从网络设计到网络架构方面不断增长的需求,提供更加安全的产品线。”

——思科系统公司总裁兼首席执行官约翰·钱伯斯

网络安全新课题

某公司的员工小吴经常出差,某些工作就不得不在办公室以外完成,他习惯于用移动硬盘把一些资料从公司的电脑拷到自己的笔记本电脑中,从而方便自己在旅馆里或者星巴克咖啡馆里继续工作。

但是,小吴没有意识到,他的这种行为为公司的网络安全带来了很大的隐患。

Gartner在一份报告中说,小型携带存储设备能够避开电子邮件服务器上的防火墙、防病毒软件等防御系统,给企业带来特洛伊木马软件或者病毒等恶意程序。

Gartner公司据此建议,企业应当禁止在PC上使用不受控制、私有的携带性装置,并使用防火墙限制透过USB端口进行的操作。

报告并指出,企业应当确保采用合适的技术来安全地管理移动硬盘等携带性存储装置,这将有助于减少恶意程序造成的损失、机密资料和知识产权的遗失等损失。

Gartner公司的警告并非空穴来风,随着IT系统逐渐渗透进人们的生活、学习、工作和娱乐,IT系统受到病毒的攻击,以及人们操作不当所带来的网络安全威胁越来越频繁,而从发现网络受到攻击到遭受损失之间的时间则越来越短,1980年代的时候是几个月,1990年代的时候是几天,现在则是几分钟甚至是几秒钟!到网络管理人员检测到病毒、蠕虫、特洛伊木马或其它非法入侵时,可能早已为时已晚,回天乏术,无从避免网络瘫痪等导致的业务处理或销售等方面的巨大损失。

这就为我们的网络带来了新的课题,通过终端防病毒软件以弥补网络安全漏洞和抵御病毒攻击的传统方式多少显得力不从心。而在思科与客户的共同成长过程中,思科发现只有从基础网络层面开始的多层防御才能使整个网络消除安全隐患和威胁。

“这也正是安全之所以演变为系统性战略问题的主要原因。”思科公司安全产品与系统部门主管Kevin Flynn指出,“目前安全早已与其它IT和网络操作密不可分。”

网络复杂程度的不断提高,决定了单一机制已无法确保网络安全。现代网络需要分布式安全性能,以及能够在主机行为与状态变化时感知关联终端安全凭证、并确保这些安全凭证可信的授权机制。

“自防御网络”的演进

实际上,思科很久以前就提出了“集成化网络和安全管理”的理念。思科将早已闻达于业界的“SAFE”蓝图进行了延伸,提出了“自防御网络”(SDN)的概念。作为一个创新、多方面的安全战略,SDN旨在提高网络发现、防御和对抗安全威胁的能力。使今后的计算机网络不但要具有保护网上主机系统、网上终端系统、网上应用系统的能力,更关键的是使网络本身也具有自我保护能力、自我防御能力、自我修复和愈合的能力。在SDN的重要步骤—网络接入控制(NAC)中,思科联盟了IBM、赛门铁克和趋势科技等安全厂商,结合了自身关于网络安全的其它技术,如入侵检测、防火墙、网络管理与流量分析、VPN等融合在一起,构成了自防御网络完整而丰富的内涵。

2005年上半年,思科又推出了其“自防御网络”安全战略的全新阶段——自适应威胁防御(ATD),以帮助客户更加有效地管理、消除其联网业务系统和应用所面临的安全威胁。

在自适应威胁防御(ATD)阶段,网络将会动态地消除OSI七层协议中多个层次的安全威胁,加强对网络流量、终端、用户和应用的控制,从而最大限度地减少安全风险。自适应威胁防御还可以通过将多种技术整合到少量设备上,提高运营和架构效率。这种创新的方法需要战略性地融合安全性能、多层智能、应用保护、网络控制和威胁隔离,以提供高性能的解决方案。自适应威胁防御是自防御网络安全战略的一项重要进展,可以帮助客户建立稳固的业务系统。

 
阶段 第一阶段 第二阶段 第三阶段
项目名称 集成安全 协作安全 自适应威胁防御
推出时间 2000年 2003年 2005年3月
主要内容 "安全性能嵌入交换机与路由器等网络部件中。
内嵌安全性能通过网络协作并延伸至用户端。
网络具备保护每一数据包与流程的能力,并可在发源地消除攻击。"

完善网络协防机制

自适应威胁防御由Anti-X 防御、应用安全,以及网络控制与隔离三个关键部分组成,从而形成了更加协调的威胁防御机制。

Anti-X防御是利用一系列面向流量和内容的安全服务来防御和制止网络威胁的新型解决方案。核心的安全实施技术包括防火墙、入侵检测系统(IPS)技术和异常检测,以及多种应用检测服务,例如防网络病毒、防间谍软件、防垃圾邮件、防诈骗、防范分布式拒绝服务(DDoS)和URL过滤。这种融合可以为关键的网络安全实施点提供精确的流量检测服务,从而在恶意流量扩散到整个网络之前将其隔离。

应用安全则提供先进的业务应用保护功能。这些功能包括应用级访问控制、应用监控,以及适当的应用使用策略、Web应用控制和交易隐私保护的实施。

网络控制和隔离采用网络智能和虚拟安全技术提供了先进的审核和关联功能,让客户能够通过主动的管理和威胁消除机制,控制和保护任何网络组件或者服务,例如IP语音(VoIP)。

由三个阶段组成的思科自防御网络战略目前已添加了满足不同阶段需求的众多新组件。思科自适应威胁防御阶段的目标是保护网络中的每一数据包及每一包流程。

为什么保护每一数据包与流程的安全已成为当务之急呢?这其中的一个主要原因是越来越多的攻击来自于使用HTTP 80端口进行通讯的WEB应用。

思科公司安全技术高级副总裁Jayshree Ullal指出,“由于WEB应用流量在流经多个网络的过程中,可能会感染恶意代码,因此WEB应用在为用户提供便利的同时,也为应用滥用打开了方便之门。” 因此,思科公司推出了多款旨在防止这类应用滥用、以及识别并防御第7层入侵、直至消除攻击源的新产品。

这其中的翘楚则是思科自适应安全设备(ASA)5500系列,它的推出标志着思科SDN战略第三阶段自适应威胁防御已经进入安全实现阶段。

这一可扩展的多功能应用设备集成了防火墙、VPN(包括IPSec IP安全和SSL安全套接层技术)、在线式实时入侵防御系统等思科多种领先安全技术。

Cisco ASA 5500系列多功能安全应用设备包括可提供650 Mbps防火墙吞吐量的ASA 5540高端型号、以及ASA 5520中端型号和ASA 5510低端型号,这些平台均提供了应用防火墙服务和灵活的IPSec与SSL VPN连接。据该产品线主管Michael Jones称,可选的AIP-SSM(Advanced Inspection and Prevention Security Services Module)高级检测与防御安全服务模块还可以支持IPS入侵防御与网络病毒、蠕虫和间谍软件防护。

称为“AIM(Adaptive Identification and Mitigation)自适应识别与防御”的独特的可扩展服务架构是Cisco ASA 5500系列安全应用设备设计的核心。这一架构可使网络操作人员针对每一流程模式应用特定的安全与网络服务,从而提供全面的策略控制。此外,AIM服务架构还可实现着眼于未来的威胁识别与防御服务,不仅能够保护用户投资,而且可使用户有效防范各类新出现的安全威胁。

Cisco ASA 5500系列安全应用设备可满足不同安全需求的特性决定了该产品可有效降低部署与运营成本。Jones称,“这一单一的应用设备可满足用户包括防火墙、VPN连接、入侵防御等在内的多方面安全需求。”同时,可实现所有ASA功能管理的统一WEB用户界面也有效简化了管理,降低了系统总体运营成本。

Jones认为,“对于正着手构建网络或为现有网络增加新服务的用户而言,可将多种服务集于一身的ASA 5500系列自适应安全应用设备当属理想之选。”

“传统的安全服务部署方式会导致产品‘孤岛’,迫使机构在运营效率和整体安全之间做出取舍”,Current Analysis公司的企业基础设施首席分析师Joel Conover表示,“通过将多种技术集成到ASA 5500之中,可以解决多个设备的安全管理问题,提高在更多的网络地点部署全面的安全服务的运营效率和经济性。”

返回

联系我们