思科安全代理 CSA 概述

通过推出思科安全代理终端安全软件，思科可以为它的客户提供最全面的网络安全威胁防范产品，以保护大型企业网络。

新一代思科安全代理网络安全软件可以为服务器和台式机计算系统（也被称为“终端”）提供威胁防范功能。思科安全代理与传统的终端安全解决方案的不同之处在于，它可以在恶意行为发生之前发现和阻止它们，进而消除潜在的已知和未知安全风险，防止其威胁到企业网络和应用的安全。因为思科安全代理采用的是分析行为而不是特征匹配的方法，因而这个解决方案能够以较低的运营成本提供强大的保护。

优势

汇聚和拓展多种终端安全功能——思科安全代理可以在同一个代理产品中提供主机入侵防范、分布式防火墙、恶意移动代码防范、操作系统完整性保障和审核日志整合等功能。
提供针对所有类型的攻击的防范，包括端口扫描、缓冲区溢出、特洛伊木马、畸形分组、恶意HTML请求和电子邮件蠕虫。
针对已知和未知的攻击提供“零升级”防范。
为基于Unix和Windows平台的服务器和台式机提供业界领先的保护功能
为Web服务器和数据库提供针对特定应用的保护
开放的、可扩展的架构可以提供根据企业策略定义和执行安全功能的能力
提供一个可以在整个企业范围内扩展的架构；思科安全代理解决方案可以通过拓展让一个管理器管理数千个代理
通过Cisco PIX、Cisco Secure IDS和Cisco VPN安全设备提供集成化的管理
通过“你在那吗”（AYT）功能与思科VPN集成

抵御新的和未知的攻击

最近一些引起广泛关注的攻击（例如红色代码和SQL Slammer蠕虫）表明，传统技术在消除新的、不断发展的攻击手段所带来的影响方面能力非常有限。客户需要可以在攻击的所有阶段进行阻止并针对新的、未知的威胁提供重要防范措施的主机安全产品。

网络系统入侵通常分为多个阶段。思科意识到，只有一种层次化的方法才可以有效地消除在攻击的任何阶段出现的安全漏洞——从网络周边到服务器，或者到文件级别。思科安全代理可以在入侵的所有阶段主动防御对主机的攻击，而其他技术只能在入侵的早期提供保护（而且只有在知道特征的情况下）。思科安全代理采用了特殊的设计，可以抵御拥有未知特征的新型攻击（如图1所示）。

图1 攻击的生命周期

Ping 地址
扫描端口
邮件附件
缓冲区溢出
ActiveX控制
网络安装
压缩消息
后门
猜测密码
猜测邮件用户
创建新的文件
修改现有文件
弱化注册表安全设置
安装新的服务
设置陷阱后门
攻击的邮件复本
Web连接
IRC
FTP
感染文件共享
删除文件
修改文件
设置安全漏洞
导致计算机崩溃
拒绝服务
窃取机密

思科防范

探测
进入
持续
传播
发作

思科安全代理解决方案

思科安全代理包括多个基于主机的代理，它们部署在关键任务型台式机和服务器上，向运行在CiscoWorks VPN/安全管理解决方案（VMS）上的管理中心进行报告。这些代理采用HTTP和安全套接字层（SSL）协议（128位SSL）建立管理接口和进行主机、管理中心之间的通信。所有配置都通过CiscoWorks VMS进行，而警报通过CiscoWorks安全监视器（SecMon）与来自于其他思科安全产品的警报集成到一起。

代理架构

思科安全代理位于应用和内核之间，它可以在最大限度地减少对底层操作系统的稳定性和性能的影响的情况下，最大限度地提高应用的可见性。这种代理的独特架构可以阻截操作系统对文件、网络、注册表资源和动态运行时间资源（例如内存页、共享库模块和COM对象）的所有调用。思科安全代理能够利用独特的智能，根据某个特定应用或者所有应用的不当或者不可接受行为的规则，关联这些系统调用的行为。正是这种关联和在此基础上对应用行为的理解使得软件——按照安全管理人员的指示——可以防止新型的入侵。

当某个应用试图执行某项操作时，思科安全代理将根据应用的安全策略检查操作，实时地做出是否允许或者拒绝这项操作的决策，并判断是否需要记录该请求。安全策略是IT和/或安全管理人员针对受保护的服务器和台式机或者对整个企业制定的一组规则。这些规则提供了对必要资源的安全应用访问。通过在缺省的服务器和台式机策略中集成采用了分布式防火墙、操作系统锁定、完整性保障、恶意移动代码防范和审核实践关联功能的安全策略，思科安全代理可以为存在对外连接的企业系统提供深层保护。

因为保护建立在阻止恶意行为的基础上，所以缺省策略无需升级就可以防止已知的和未知的攻击。关联是在代理和管理中心控制台上进行的。基于代理的关联可以大幅度提高准确性，在不影响正常活动的情况下发现实际的攻击或者网络滥用行为；在管理中心进行的关联可以发现全局式攻击，例如网络蠕虫或者分布式扫描。

集中式管理

思科安全代理的管理中心可以通过CiscoWorks VMS平台集中地为所有的代理提供所有的管理功能。它的基于角色的、基于Web浏览器的、“从任何地方进行管理的”访问方式使管理人员可以方便地创建代理软件分发包、创建或者修改安全策略、监控警报或者生成报告。因为它预置了超过20多种完整的缺省策略，管理人员将能够方便地在整个企业中部署数以千计的代理。管理中心还可以让客户在“IDS模式”下部署代理。在这种模式下，活动会引发警报，但是不会被制止。

思科安全代理的管理中心提供了虽然简单但是十分强大的定制功能。例如其中的调整向导让管理员可以迅速地根据他们的环境修改缺省的策略。管理员可以方便地修改规则或者创建新的规则，以满足特定的需求。为了支持适应性审核需求，一个“解释规则”功能将提供关于特定的规则或者策略的功能的说明。

代理由思科安全代理管理中心直接部署到服务器和台式机上，并可以通过这个管理中心进行控制和升级。每个代理都可以独立运行——如果无法与管理中心通信（例如，某个远程笔记本用户还没有通过VPN接入网络），代理仍然可以执行安全策略。所有安全警报都暂存在代理中，当通信恢复时再被上载到管理中心。

思科还提供了附加的思科安全代理调节器。它是思科安全代理管理中心的一个内嵌应用，可以针对特定的应用和环境提供一个全面的数据分析的策略创建工具。该调节器可以分析实际的应用行为，以创建允许客户保护任何应用的定制策略，甚至一些极为复杂的、针对某个特定客户的环境进行了高度定制的策略。

技术规格

思科服务器代理支持：

Windows 2000 Server 和Advanced Server
Windows NT 4.0 Server 和 Enterprise Server （Service Pack 5 或者更高版本）
Solaris 8 Service Pack ARC 架构（64位内核）

思科台式机代理支持：

Windows NT 4 Workstation（Service Pack 5 或者更高版本）
Windows 2000 Professional
Windows XP Professional

基于CiscoWorks的思科安全代理管理中心适用于：

Windows 2000 Server 和Advanced Server （Service Pack 3）

缺省的安全策略适用于（它们可以根据需要组合到一起）：

普通服务器
普通台式机
Microsoft IIS 4.0和5.0版
Apache v1.3
Microsoft SQL Server
Microsoft Exchange
Sendmail
域名系统（DNS）
动态主机控制协议（DHCP）服务器
网络时间服务器
域控制器
分布式防火墙
浏览器保护
即时消息工具控制
Microsoft Office保护
防止数据窃取
思科安全代理管理器保护
CiscoWorks VMS
Cisco CallManager保护

可用语言：

所支持的所有操作系统必须是英语（美国）版本

安装要求

说明：只支持操作系统的英语（美国）版本。

用于Windows平台的服务器代理

Windows NT 4.0 Server（Service Pack 5 或者更高版本）
Windows NT 4.0 Enterprise Server（Service Pack 5 或者更高版本）
Windows 2000 Server （最高Service Pack 3）
Windows 2000 Advanced Server（最高Service Pack 3）
一个或者多个Pentium 处理器，200 MHz或者更高主频
至少128 MB RAM

用于Solaris平台的服务器代理

Solaris 8 SPARC 架构（64位内核）
Ultra SPARC 处理器，500MHz或者更高主频
支持256 MB

台式机代理

Windows NT 4.0 Workstation（Service Pack 5 或者更高版本）
Windows 2000 Professional （最高Service Pack 3）
Windows XP Professional （最高Service Pack 0 或者 1）
一个或者多个Pentium 处理器，200 MHz或者更高主频
至少128 MB RAM

采用CiscoWorks VMS 的思科安全代理管理中心

Windows 2000 Server 或者 Advanced Server （Service Pack 1 或者 Service Pack 2）
Pentium 500 MHz处理器或者更高主频
至少384 MB RAM
2 GB 磁盘

网站地图

网络安全产品

优势