网络安全简单概述.docx

1、网络安全简单概述网络安全：内置在网络中，集成于产品中无论从所覆盖的地理范围和所互联的内部、外部群体而言，今天的网络都非常庞大。它们更加复杂，支持多种应用和服务，可以在有线和无线连接上传输集成化的数据、语音和视频流量。它们还在变得越来越开放-它们可以使用不可靠的公共网络，连接合作伙伴，是一种能够连接客户和供应商的业务工具。事实上，专用网络和公共网络之间的界限已经变得非常模糊。网络环境的广泛性、复杂性和开放性提升了人们对于强大、全面的安全的需要，因为必须对网络所接触到的所有地点进行保护，同时也要防范从这些地点对网络发动的攻击。 本文将探讨和介绍内置、集成的安全性，并认为它是保护网络的唯一有效的方法

2、。本文将概括介绍采用集成化方式的主要原因，随后还将介绍思科集成化网络安全解决方案的一些现有的和新推出的补充产品。本文主要面向技术决策的制定者。 首先，让我们回顾一下集成安全和内置安全的定义： 集成安全 表示在某个网络设备（例如路由器、交换机或者无线接入点）上提供的安全功能。当流量经过某个网络设备时，网络设备必须对其进行一定的扫描和分析，决定让其继续传输、隔离或者拒绝。这要求集成安全设备具有足够的智能、性能和可扩展性。 内置安全 表示分布在网络基础设施的某些关键位置的安全功能-例如终端用户工作站、远程分支机构、园区和数据中心。 内置、集成的安全性必须防止网络受到来自外部和内部的威胁，在对于访问的

3、需求和对于保护的需求之间保持均衡。 这意味着安全功能必须在网络任何地方内置和集成-从园区核心到网络终端，同时它还必须对于用户和应用保持透明。 我们的最终目标是部署一套可以共同创建一个智能化自卫网络的安全功能，这种网络可以在发生攻击时及时检测到异常情况，发出必要的警报，并可以在无须用户参与的情况下自动做出反应。 实现集成的主要驱动因素本节将介绍促使人们使用集成、内置的网络安全性的主要驱动因素。 不断增多的网络威胁网络正在日益成为攻击的目标和源头： 实时信息保护公司Riptech最近的一项调查表明，从2001年下半年到2002年上半年，网络安全漏洞增加了28%。 FBI在2002年发布的一份报告指

4、出，在他们所调查的企业中，有85%的企业在过去12个月中都曾检测到计算机安全漏洞。 网络威胁可能来自于不可靠的外界攻击者或者可靠的内部员工。FBI在2001年的调查中发现，91%的受访者都报告存在内部用户滥用网络的情况。 网络威胁可能来自于机构深处，或者来自于网络边缘。这意味着必须在网络的所有节点，而不仅仅是网络周边或者不可靠区域的入口/出口采取安全措施。只有内置的、完全集成的安全才能提供这种普遍深入的防御。 机构动力机构人员在安全策略、部署和采购方面所肩负的职责已经发生了很大的变化。网络管理（NetOps）和安全管理（SecOps）团队不再以一种孤立的方式工作。 NetOps传统的部署模式是

5、购买和组建网络基础设施，而SecOps拥有的预算和资源相对较少，因而只能充当一个分散的、非常专业的团队。这两个团队扮演的是两种完全不同的角色-NetOps的作用是提供访问，而SecOps的任务是限制访问。 这导致了机构内部相互牵制。但是，随着威胁等级和人们对于保障新技术（例如无线和IP电话）的需求的不断提升，SecOps和NetOps已经开始更加密切地展开合作。此外，CxO级别的管理层也开始越来越多地参与到安全战略和部署工作中，而高层管理人员的加入也促使NetOps和SecOps更加紧密地团结在一起。 在思科于2002年8月对400名思科客户展开的一项调查中，当被问及谁负责安全事务时，45%的

6、受访者表示由SecOps和NetOps共同负责（36%的受访者回答由NetOps负责，7%回答SecOps，2%则回答由应用管理团队负责）。目前的趋势是SecOps负责制定策略，而NetOps负责实施策略。 机构内部的整合推动了对于集成、内置的安全的需求。如果SecOps和NetOps联合部署安全，那么当安全解决方案是是一个集成化方案时，部署任务就会大大简化。 整体运营成本安全部署是所有机构优先考虑的问题。但是由于目前的经济形势，企业的预算都很紧张。集成化安全可以提供最低的整体运营成本： 向一个已经部署的网络设备添加安全服务意味着可以继续使用现有的机箱、电源、LAN/WAN卡和其他组件。如果网

7、络设备本身是模块化的，可以提供可扩展的性能，那么运营成本还可以进一步降低。 现有的管理和监控系统可以管理新的安全服务。 现有的支持合同可以涵盖，或者通过经济有效的扩展，涵盖新的安全功能。 由于可以继续使用现有的系统作为安全平台，可以降低对人员进行培训的需求。 在将负载均衡部署为集成化安全解决方案的一部分时，机构可以降低服务器和安全系统（例如防火墙）的数量，从而减少在这方面的投资。 不断扩大的规模本文已经介绍了网络范围的不断扩大，这是规模问题的一个重要方面。今天的网络必须能够满足不断增加的用户、地点和服务的需要。它必须能够处理不断增多的流量，无论是数据、语音还是视频。现在的网络包括有线和无线连接

8、。 如何在可能的情况下有效地管理这种环境是一个非常具有挑战性的问题。 唯一的方法就是采用一种集成化的方法。例如，如果某个基于一个统一身份识别框架的集成化管理系统可以管理一个由集成化设备组成的网络，那么规模问题就会大大减轻。 产品可用性在2000年到2002年之间，出现了从单一功能的网络和安全设备向多功能系统发展的重要趋势。网络设备（例如路由器和交换机）现在可以通过添加成熟的安全服务而提供增强的连接和网络服务。 同时，单一功能的安全设备（例如防火墙和VPN集中器）可以受益于附加的安全服务，例如入侵检测。总而言之，可以提供集成化功能的产品的出现有助于推动，或者至少是满足市场对于集成的需求。 解决方

9、案集成最终，网络的所有组件都必须可以互操作，并能够作为一个统一的整体发挥作用。 首先让我们考虑一下数据中心。它包含多个通过交换机和路由器连接到外界环境的服务器。这些服务器必须获得保护。路由器和交换机必须拥有它们自己的防御措施。此外，整个架构必须具有足够的可用性和可扩展性，并具有一个用于控制它的集成化管理子系统。 接着让我们考虑一下基于LAN的无线部署。很多安全威胁都是由这种日益流行的技术带来的。无线流量必须获得保护，以防止被阻截。网络必须像防御无线威胁一样防范无线入侵者。此外，由于对企业缺乏了解而创建的无用接入点可能缺乏强大的保护措施。只有集成化的网络安全方式才能保护这种环境。有线等效加密（W

10、EP）、思科轻型可扩展身份认证协议（LEAP）和IPSec可以提供更高级别的访问控制和加密，从而为无线接入点提供安全的通道。部署在接入点之后的VLAN可以将流量限制在适当的域之内。入侵保护和防火墙功能可以在流量被解密之后提供保护。 思科的集成战略在整个网络中进行安全集成是思科的开发和市场战略的重要组成部分。思科的集成计划包括下列组件： 在Cisco IOS软件中集成越来越多的安全功能。该软件覆盖了思科的所有平台-从远程办公人员和远程分支机构解决方案直至网络终端。 在分散的安全设备和集成化的网络设备中提供安全功能，这些网络设备同时也可以提供LAN和WAN连接。 提供一个能够方便地部署集成、内置的

11、安全性的管理和监控基础设施。 提供一个可扩展、高度可用的安全框架。网络现在已经成为一个可以不停工作的重要业务工具。 最后，为希望部署集成、内置的安全的客户和机构提供一种部署模式。这就是Cisco SAFE发展计划的作用。 Cisco IOS中的集成化浪潮Cisco IOS软件是一种控制着思科所有路由器和交换机的增值软件。它具有范围广泛的安全功能，而且这些功能还在随着每个新版本的推出而不断增加。Cisco IOS功能已经从最初的允许拒绝接入技术（例如访问控制列表（ACL）发展到支持多种VPN类型、入侵防范，先进的身份识别服务和防火墙功能。 Cisco IOS软件现在可以提供三层功能： 强大的安全

12、服务 全面的IP服务，例如路由、服务质量（QoS）、组播和IP语音（VoIP） 安全管理，保护设备上的管理流量和Cisco IOS软件管理功能 这三个层次的集成让Cisco IOS软件具有与众不同的特点。思科语音和视频增强IPSec VPN（V3PN）解决方案就是各种能够从Cisco IOS软件的集成性获得很大利益的解决方案的一个典型例子。这种解决方案可以利用Cisco IOS软件中新推出的低延时QoS功能，为加密的语音和视频流量提供值得信赖的质量和弹性，并可以通过IPSec状态故障切换功能消除丢弃呼叫。 集成化工具和网络设备安全工具是一种针对用途定制的安全系统，集成了一种或者多种安全功能-例

13、如，一个同时支持VPN或者入侵检测功能的防火墙。Cisco PIX防火墙支持一种VPN模块插件，以及VPN和入侵检测系统（IDS）软件。 集成化网络设备可以提供网络连接（LAN、WAN或者两者兼而有之）、IP服务和安全服务-例如，同时可以提供防火墙功能的路由器。Cisco SOHO 90和831路由器是思科新推出的、可以提供集成化安全和以太网、ADSL连接的远程分支机构解决方案。（如图1所示） 图1 Cisco 831安全宽带路由器：2Mbps硬件加速加密，增强的QoS功能、VPN和路由功能Cisco IOS软件中的集成化功能的另外一个例子是同时可以提供第二层和第三层交换和安全功能的智能化交换

14、机。Cisco Catalyst 6500交换机现在可以支持入侵防范、防火墙、VPN、安全套接字层（SSL）和其他安全模块。 今天的机构可以在一个工具和一个集成化网络设备之间进行选择。在决定时，必须考虑下列因素： 预算。在现有的网络设备上部署安全功能可以提供最低的部署成本和最低的长期整体运营成本。此外，现有的管理基础设施可以继续用于管理附加的安全功能。 简便性。单一功能或者专用的安全设备可能最便于部署和管理。顾名思义，多功能设备拥有多个需要配置和管理的组成部分，这可能会提高发生配置错误的可能性。相比之下，单一功能安全工具需要设置的功能少得多。 模块性。对于一个分支地点来说，可以通过单一平台提供

15、安全性和连接性的集成化网络设备可能是最理想的选择。但是对于头端或者更大规模的部署而言，更适于采用一种模块化的方法。例如，Cisco Catalyst 6500拥有一个灵活、自适应、模块化的架构，因而可以适应未来的需要。 机构控制。SecOps可能需要一个只有该团队才能监控、设置和管理的平台，这可能会促使该团队选择一个工具，而不是一个集成化的网络设备。相比之下，当NetOps负责安全部署时，该团队可能会选择一个集成化的网络设备，以便于部署。 可扩展、可用的网络一个可扩展的网络可以随着需求的变化而不断发展。可用性确保了用户一直能够使用关键性的应用和服务，而不会出现服务中断的情况。从业务运营的角度来

16、说，必须使用一个弹性的网络。今天的机构可以通过很多方法来提供可扩展、高度可用的基础设施： 在多个交换机和服务器，甚至数据中心之间对网络流量和服务请求进行负载均衡。这样做的好处包括能够满足流量高峰期的需要，降低支持某个特定流量负载所需要的网络设备的数量。负载均衡解决方案的例子包括用于Cisco Catalyst 6500交换机、Cisco CSS 11000和11500内容交换机的模块。 状态故障切换有助于在某个设备发生故障时提供备份，从而不会让与终端用户的连接发生任何明显的中断。Cisco IOS路由器和Cisco VPN 3000集中器平台是可以提供状态故障切换功能的产品的典型例子。 状态故

17、障切换功能可以提供一种备份功能，但是可能会在故障切换时丢失连接。 冗余。冗余是指设备的备用品。因此，在发生故障时，网络设备-或者多个冗余网络设备中的冗余模块可以接替这些发生故障的设备的工作。 灾难恢复。可以利用Cisco GSS 4480 Global Site Selector中提供的全球服务器负载均衡（GSLB）功能，进行多地点灾难恢复。通过不断地监控Cisco服务器负载均衡工具的负载和运行状况，如果某个主数据中心发生过载或者中断，用户可以被迅速地路由到某个备用的数据中心。 思科SAFE发展计划思科SAFE发展计划为安全部署提供了一系列指导方针。该发展计划可以为那些积极寻求部署集成、内置的

18、安全的机构提供实用的步骤。思科SAFE发展计划白皮书是从一个独立于产品的角度撰写的，这意味着它们并没有专门建议用户将思科设备作为安全部署的基础。它们还假定存在一个多样化的环境。思科现在已经发布了面向大型企业和中小型企业的思科SAFE白皮书。有些专门的白皮书涵盖了VPN、安全无线和安全IP电话的部署。 例如，思科为那些将网络分为多个模块（因为模块化方式有助于简化部署和节约预算）的大型企业专门提供了一个发展计划。根据这些模块，思科SAFE发展计划建议了一个有助于确保可靠网络安全的最佳设计。企业互联网模块可以提供从园区核心到不可靠互联网域的访问。为了提供全面的网络安全，网络可以采用由提供访问控制的安

19、全路由器、扫描攻击特征的网络和主机入侵检测系统，和VPN隧道启动及端接设备组成的重叠层。 思科安全产品线本节将详细地介绍应当内置于网络中，并且集成到构成网络基础设施的产品中的五种核心网络安全技术。这些安全技术必须同时部署，形成互相重叠的安全措施，以实现所谓的深度防御。如果某种防御方式受到威胁，网络并不会失去全部的保护层。 扩展的周边安全今天的防火墙所扮演的角色已经不再仅限于防止企业网络受到XX的外部访问。防火墙还可以防止XX的用户访问企业网络中的某个特定的子网、工作组或者LAN，保护被称为扩展周边的边界。周边不再只表示可靠的内部网络和不可靠的外部网络之间的边界，FBI的统计表明，70%的安全问

20、题都来自于机构内部。思科提供了下列三个防火墙解决方案： Cisco PIX 500系列防火墙可以通过一个便于安装、高性能的集成化安全设备提供强大的安全功能。Cisco PIX防火墙系列覆盖了整个安全工具领域，从用于远程办公人员和小型机构的、注重成本的桌面防火墙，到用于要求最严格的大型企业和电信运营商环境的电信级千兆位防火墙。Cisco PIX防火墙可以最多提供多达50万个并发连接和将近1.7Gb/s（Gbps）的总吞吐量-同时提供世界级的安全、可靠性和客户服务。 Cisco IOS软件可以提供强大的防火墙、入侵检测和VPN功能。这种集成化的安全解决方案让用户可以轻松地在整个网络中实施策略和在思

21、科基础设施中利用机构以前的投资。 安装在Cisco Catalyst 6500系列交换机或者Cisco 7600系列互联网路由器内部的防火墙服务模块让设备上的任何端口都可以充当防火墙端口，在网络基础设施内部集成状态防火墙安全功能（如图2所示）。当机架空间较为不足时，这种模块化特性尤为重要。 图2 用于Catalyst 6500的防火墙服务模块-每秒10万个连接和每个模块5Gbps的吞吐量Cisco Catalyst 6500是那些需要智能服务（例如防火墙服务、入侵检测和虚拟专用网）和多层LAN、WAN和MAN交换功能的客户的主要IP服务交换机。因为它可以通过一个机箱提供高达20Gbps的防火墙

22、吞吐量，所以它还是那些需要最高等级防火墙性能的客户的首选产品。入侵防范入侵防范系统必须为发现和阻止XX的入侵、恶意的互联网蠕虫病毒，以及针对带宽和电子商务应用的攻击提供全面的安全解决方案。 目前主要有两种入侵防范： 网络防范，通过在流量经过各个网段时对其进行严格的检查，为各个网段提供安全性 主机入侵检测，可以为网络中的主机和服务提供一种有效的防护 思科入侵防范产品线包括下列组成部分： 思科IDS检测器，它可以支持范围最广泛的网络部署-从小型企业到需要高速、弹性的解决方案的大型企业和电信运营商环境。这种检测器采用了先进的检测技术，包括状态模式识别、协议分段、启发式检测和异常检测，从而可以针对已知

23、和未知的网络威胁提供全面的防护。 用于Catalyst 6500系列的入侵检测系统模块，适用于分布式部署和数据中心部署。它可以为阻止XX的入侵、恶意的互联网蠕虫病毒，以及针对带宽和电子商务应用的攻击提供一个全面、深入的安全解决方案。 思科IDS主机检测器可以利用一组行为规则和特征防范已知的和未知的攻击，而不是在攻击发生之后才发现和报告它们，从而可以有效地保障服务器的安全。思科IDS主机检测器标准版代理可以在处理用户对于Web应用、Web服务器应用编程界面（API）和操作系统的请求之前，对它们进行严格的评估，从而主动地保护Web服务器应用的安全。它结合了操作系统和Web应用保护，为防御已知和未知

24、的攻击提供了一种独一无二的深度防御。 基于Cisco PIX防火墙的系统和基于Cisco IOS软件的系统都可以提供入侵防范功能。 安全连接在流量经过未受保护的域和网段时，必须对它们进行保护。可以提供安全连接的两项主要的技术是： VPN。VPN可以提供网络层的安全连接。目前最主要的VPN协议是IPSec，它可以提供身份认证、加密和地址隐藏功能。它可以用于两地间安全连接和对总部连接的远程访问。 安全套接字层（SSL），它是一种由Netscape开发的协议，用于通过互联网传输私人文件。SSL的工作方式是用一个公共密钥来加密通过SSL连接传输的数据。Netscape Navigator和Intern

25、et Explorer都支持SSL，很多站点也利用该协议来获取保密的用户信息，例如信号卡号码。按照惯例，需要SSL连接的URL会以https开头，而不是http。SSL可以在客户端和服务器之间建立安全连接，用户可以在这条连接上安全地传输大量的数据。互联网工程任务小组（IETF）已经将其批准为一项标准。 思科提供了范围广泛的网络平台系列，它们都可以提供LAN和WAN连接。很多思科路由器和交换机已经集成了安全连接功能。 Cisco PIX 500系列防火墙中也内置了VPN功能。此外，对于优先考虑可扩展性和管理的方便性的专用远程访问VPN部署而言，Cisco VPN 3000集中器可以扮演一个非常关

26、键的角色。Cisco 7100系列VPN路由器可以提供硬件加速的VPN吞吐量和先进的数据、语音和视频VPN网络。 另外，思科还可以通过SSL插件模块，在它的网络交换机上，以及多种专用的SSL设备和内容交换机上提供SSL卸载和端接功能。 身份识别身份识别是安全基础设施的关键组成部分。基于身份识别的网络服务让系统可以根据各种参数（例如用户名、IP地址和MAC地址）识别用户的身份，进而为其提供特定的访问权限-例如对网络的特定部分、特定应用或者特定网络服务的访问。身份识别方面的重要趋势包括访问权限的精确度的不断提高和动态、主动地分配访问权限的能力。 关于身份识别，有两个非常重要的组成部分。第一是制定身

27、份识别策略。第二是实施策略。在思科的身份识别服务中，策略定义功能是由访问控制服务器执行的，它可以与一个基于服务器的用户目录进行互动（通过LDAP）。而身份识别的策略实施功能由交换机、路由器或者其他网络设备执行。 所有策略和实施的集成让思科的身份识别服务具有与众不同的特点。例如，思科的交换机和无线接入点可以与思科访问控制服务器（ACS）合作，精确、动态地提供基于端口的安全。一个通过思科交换机或者接入点连接到网络的用户可以利用802.1x进行身份认证。思科对于802.1x协议的扩展非常重要。用户可以被纳入某个特定的VLAN，并分配特定的访问权限。通过802.1x，即使用户在整个网络中四处移动，从一

28、个物理地点转移到另外一个，安全策略也会随着他一同移动。无论用户身在何处，用户都可以获得统一的安全策略和访问权限。 Cisco ACS加强了802.1x的部署，为从基于Web的图形化界面对所有用户进行身份认证、授权和记帐提供了一个集中的命令和控制平台。它还可以将这些控制分发到网络中的数百个或者数千个访问网关。利用Cisco ACS，机构可以通过IEEE 802.1x访问控制协议，管理用户对于Cisco IOS路由器、VPN、防火墙、拨号和宽带DSL、有线电缆接入解决方案、IP语音（VoIP）、思科无线解决方案和Cisco Catalyst 交换机的访问权限。另外，机构还可以利用相同的Cisco

29、ACS访问框架，控制所有支持TACACS+的网络设备的管理员权限和配置。 安全监控和管理只有在网络具有集成化的策略、管理和监控系统的情况下，集成化的安全基础设施才能真正地发挥作用。 管理子系统需要具有四项功能： 它必须提供对网络中单个设备和系统的组件管理。 它必须支持策略的制定和控制，即所谓的智能规则概念。 它必须提供对网络，以及网络中发生的任何安全事件的主动监控。 它必须提供能够支持网络安全的长期设计和结构改进的分析功能。 CiscoWorks VPN/安全管理解决方案（VMS）提供了所有这四项功能，并将其作为一个单一集成化产品的组成部分。CiscoWorks MS结合了各种用于配置、监控和

30、诊断基于Cisco IOS软件的VPN、思科防火墙、网络与主机入侵检测系统的Web工具。 管理基础设施和它的所有连接都必须得到保护，并且必须通过集中式的、基于职责的访问控制功能，严格地控制管理权限。思科在从一个集中地点保护组件、基础设施、权利和权限方面具有独特的优势。 管理框架必须可扩展。这种功能是通过自动升级服务器（AUS）提供的，它也是CiscoWorks VMS的组成部分。它让设备，甚至远程或者动态寻址的设备，可以定期地致电到某个升级服务器，并获取Cisco PIX防火墙软件的最新安全配置。如果没有这种自动升级功能，用户就必须手动升级所有远程设备。除了更加方便、更加快速的策略升级以外，自

31、动升级服务器还可以提供统一的策略部署。 思科一直致力于拓展它的安全功能。CiscoWorks主机托管解决方案引擎（HSE）是一个综合的、基于硬件的解决方案，用于思科所支持数据中心中的电子商务系统。它可以提供关于网络基础设施和第四到第七层服务的最新故障和性能信息，从而节约日常业务所需的时间和资源。它还可以为不同机构的服务器管理人员提供层次化的用户权限，以便将特定的服务器加入服务或者从服务中抽出。它还可以提供第四到第七层托管服务的配置信息。对于IT部门，CiscoWorks HSE可以实现集中的网络和服务管理，并由各个业务部门自行进行应用管理。它可以方便地与现有上层NMS/OSS集成，同时可以将可

32、管理性拓展到电子商务系统。 示例-实际工作中的集成本文介绍了对于集成的需求和怎样将安全内置到网络中。本节将介绍一些特定的例子，以说明怎样部署集成化安全。这些例子介绍了一些只有集成化解决方案才能提供有效对策的安全威胁。 保障基于Web的应用的安全-基于Web的应用的部署速度正在迅速加快。但是怎样保护这些应用所涉及的交易、用户和服务器？对应用流量进行SSL加密是第一步。但是这种方式会给服务器带来很高的CPU占用率。网络还需要检测可能有害的SSL负载。一个集成安全解决方案可以： o 某个内容服务器分担SSL解密任务，例如Cisco CSS 11500内容服务交换机或者用于Cisco Catalyst 6500系列的内容交换模块（CSM） o 经过解密的流