思科园区安全解决方案-网络安全解决方案.doc
思科园区安全解决方案 -网络安全解决方案 随着计算机技术的不断进步,企业开始越来越依靠于计算机网络进行通信和数据存储。与此同时,网络攻击已经变成一种游戏,而病毒的传播速度和破坏程度超出了以往任何时候――你怎样确保你的网络可以在需要的时候正常工作? 加强网络安全性的时机 过去,网络的设计目的是成为一个开放的公共设施。尽管人们对网络安全有所考虑,但它决不属于人们最关注的问题。在 20 世纪 90 年代之前,网络安全主要指得是物理安全。只要终端、网络服务器和大型机都位于一个保卫森严的建筑物中,网络就是安全的。 在 20 世纪 90 年代,越来越多的企业开始接入互联网。这些连接在网络中创造出了新的弱点。仅仅锁上建筑物的大门不再足以保护网络的安全。因此,企业开始部署新的网络安全技术和策略。 在外部,网络周边的安全通过防火墙和网络策略的使用而得到保护。这些设备和策略的设计目的 是在保护网络内部的同时,支持越来越开放的访问权限,从而满足业务需求。但是随着蠕虫和病毒(例如 Slammer、 SoBig 和 MSBlaster)的复杂程度的提高,这些策略已经无法有效地保护网络。 在内部,安全主要是基于用户 ID/密码,并被集成到受保护的应用中。员工计算机(通常为台式机)在网络上被视为“可信任的”。但是现在,笔记本电脑开始迅速普及。这些便携式计算机的设计目 的是提高生产率,但是它们也带来了更高的安全风险。当员工往返于网络“内部”和“外部”之间时,他们可能会在无意中携带了威胁到网络安全的病毒 和蠕虫。它们能够以类似于周边入侵的方式,破坏关键任务型业务应用的基础。另外,内部攻击也在不断增多。由心怀不满的和不诚实的员工发送的病毒和黑客攻击现在占到了企业所遭遇的网络安全威胁的一半以上。而且,无线网络的普及催生了很多由员工自行安装的、不安全的无线接入点。它们为潜在的攻击者敞开了大门。由于所有这些变化和进展,显然过去的网络安全模式已经不能满足当今网络的需求。 入侵者采取多种攻击形式 在互联网的早期发展阶段,发送网络攻击需要很高的知识和技术水平。因此,只有少数人具有这样的专业能力,攻击数量非常有 限。但是现在,经验丰富的黑客大大增加,而且很多免费的、便于使用的(而且很先进)的黑客工具可以从互联网上获得。这些工具实际上利用了互联网所固有的工作方式。然而,即使是一个新手也可以轻松地学会这些工具的使用。这些因素大幅度增加了网络所面临的安全威胁。 一些较为危险的攻击类型包括: 中间人――一个未经授权的设备冒充某个合法网络设备(例如网关)的身份( MAC 或者 IP 地址)。所有发往该合法设备的流量都将经过未经授权的设备,从而让入侵者可以扫描分组中的有用信息,例如密码或者其他设备的地址。 拒绝服务 ( DoS)――一个驻留在某个在未经授权的情况下获得网络访问权限的设备上,或者某个被感染的合法设备上的程序。它会在网络上产生大量的流量,导致主要设备(例如网关)无法对合法请求做出响应。 DoS 攻击还可能会专门针对网络服务器或者类似的设备。尽管这种攻击不会用大量的流量导致整个网络陷入瘫痪,但是它会造成特定设备不堪重负,从而无法正常使用。分布式拒绝服务( DDoS)攻击是一种更具破坏性的新型攻击。利用 DDoS,攻击者可以同时从网络上的多个设备发送攻击。 基于 MAC 的攻击――与“中间人”攻击一样,这种攻击的目 的是获得对受保护流量的访问权限。一个程序或者脚本被用于导致交换机的地址表过载,从而阻止交换机获知后续的合法地址。这会导致交换机以广播的方式向所有端口发出流量,从而再次让黑客可以监听分组,扫描其中的有用信息。另外,由某些工具――例如“ macof”工具――导致的 MAC 泛洪攻击可能会产生 DoS 效果。 业务中断会造成严重的损失 这些攻击所产生的后果并不只是带来不便。它们会导致网络陷于瘫痪,保密信息被窃,危及企业的盈利能力和业绩。今天的攻击的传播速度和造成的损失比过去任何时候都要高。在 20 世纪 80 年代和 90 年代,网络管理员拥有几天甚至几周的时间来针对某种特定的攻击制定策略。从 2000 年到 2002 年,随着病毒和蠕虫的复杂程度的提高,响应时间缩短到了几个小时。而现在,网络管理员只有几秒钟的响应时间。例如,最近爆发的 SQL Slammber 蠕虫所感染的主机每隔 8.5 秒就会增加一倍。在三分钟之内,它可以每秒进行 5500 万次扫描,在一分钟内导致一条 1Gbps 的链路陷于瘫痪。 如果一个数据中心的网络因为攻击中断了一个小时,会造成怎样的损失?根据 Meta Group 的统计,数据中心应用中断一小 时所导致的平均成本为 33 万美元。根据 Strategic Research Corporation 的统计,如果该数据中心隶属于某个信用卡授权公司,那么损失金额将高达 260 万美元,如果隶属于一个经纪公司,则损失高达 650 万美元。 另外,如果您的网络中的保密数据被窃取,新制定的隐私保护法律可能会对您处以严厉的惩罚。 例如,如果保密的电子医疗信息失窃,医疗保险携带和责任法案( HIPAA)规定对每起事件处以最高 25 万美元的罚款和 5 年的刑期。但是这不会发生在我身上您可能会这么想,但是统计数据表明 这种观念是错误的。根据 CSI/FBI 在2002 年对 400 家公司进行的计算机犯罪的安全调查,超过 90%的受访企业表示曾经遭受安全攻击。他们估计的总损失超过 4.55 亿美元。单保密信息的失窃一项就导致了超过 1.7 亿美元的损失。 75%的受访企业将心怀不满的员工发动的内部攻击视为攻击的最主要来源。 目前的应对策略 显然,人们需要一种全新的、主动的网络安全模式。这种全面的模式应当采用特殊的设计,通过将外部入侵者拒之门外和保持内部员工的诚实性防范安全攻击。 它的目标包括: 防止外部黑客进 入网络 只允许经过授权的用户进入网络 防止网络内部的用户发动有意的或者恶意的攻击 为不同类型的用户提供不同等级的访问权限 要真正发挥作用,安全策略必须以一种对用户透明,方便管理,而且不会中断业务的方式实现这些目标。 为了实现这些目标,解决方案需要提供: 完全嵌入到网络基础设施中的、覆盖整个网络的安全性 保护、防御和自愈能力 控制“谁”可以访问网络和他们可以在网络上做“什么” 思科园区安全解决方案 思科园区安全解决方案是一组为了防止您的网络遭受 潜在的破坏性攻击(来自内部和外部的有意或者无意的攻击)而设计的思科产品和功能套件。思科园区安全解决方案是一系列 IP 网络和安全技术的组合。它有助于将该解决方案与 IP 服务(例如路由、交换、数据、话音、视频、无线和存储)结合到一起。 它是一个灵活的、可定制的部署,可以利用企业对于多种平台(例如专用安全设备、基于路由器的安全,基于交换机的安全)和多种技术(例如防火墙;威胁防范;身份验证、授权和记录 [AAA]; URL 过滤;以及 802.1x)的投资。 这个解决方案可以通过提供集成到所有平台(包括 PC 和服务器)中的安全功能,在整个网络中提供全面的覆盖,包括 LAN、无线 LAN、园区网、城域网、网络边缘、服务供应商和分支机构。 注意:尽管本文着重介绍针对园区的网络安全,但是必须要记住的是,如果一项安全策略不被广泛地部署到网络的所有区域,就不能真正地发挥作用。如果您的公司拥有分支机构或者与某个服务供应商合作,那么务必要确保所有这些网络都得到同样的安全保护。 思科园区解决方案的组件可以解决大部分安全问题,包括防御威胁、建立信任边界、验证身份和保护业务通信等。 威胁防御――防止网络受到有意的或者 无意的攻击。威胁防御可以细分为下列目标: 保护网络边缘――利用思科集成化防火墙和入侵检测系统( IDS)加固网络边缘,防范入侵和攻击 保护网络内部――利用 Catalyst 集成化安全功能,防止网络遭受日益增多的内部攻击 保护终端――利用思科安全代理,主动防范对于主机的感染和破坏 信任关系和身份识别――控制谁可以访问网络和他们可以在网络上做什么。这种控制能力由思科身份识别和思科无线 LAN 安全套件提供,后者可以被用于防范对无线网络的未经授权的访问。 安全通信――保护内部和外部话音和 数据通信的安全性。思科集成化 IP 安全( IPSec) VPN 为话音和数据提供了必要的保护。 另外,服务质量( QoS)可以确保网络在 DoS 攻击期间的可访问性。思科新推出的网络准入控制( NAC)解决方案可以防止您的网络受到移动用户的意外感染。 思科园区安全解决方案的组件 思科园区安全解决方案包括: 思科集成化防火墙服务 思科集成化入侵检测系统 思科集成化 IPSec VPN Catalyst 集成化安全功能 思科身份识别 思科安全代理 思 科无线安全套件 思科结构化无线感知网络( SWAN) Cisco Catalyst 6500 系列交换机提供了上面列出的多个组件――包括思科集成化防火墙模块、思科集成化 IDS 模块、思科集成化 IPSec VPN 模块和Catalyst 集成化安全功能,这使得它成为园区安全的理想平台。 思科集成化防火墙服务 目前,防火墙的传统角色已经发生了变化。防火墙现在的作用不再只是防止企业网络遭受未经授权的外部访问。它们还可以防止未经授权的用户访问企业网络中的某个特定的子网、工作组或者 LAN。 Cisco Catalyst 6500 防火墙服务模块( FWSM)让该设备上的任何端口都可以充当一个防火墙端口,将状态化防火墙安全集成到网络基础设施内部。思科FWSM 采用了思科 PIX 技术和思科 PIX 操作系统( OS)――一种实时的、加固的嵌入式系统,可以消除安全漏洞,同时避免性能降低的开销。在这个系统的核心,一个保护机制提供了面向状态化连接的防火墙功能,以控制对内和对外的流量。FWSM 可以根据源和目的地地址、随机 TCP 序列号、端口号和连接的其他 TCP 标记对每个进程执行预定的策略。 思科集成 化入侵检测系统 检测和防范外部攻击者的入侵对于保护网络边缘的安全具有极为重要的意义。思科提供了一组全面的 IDS 产品,它们可以监控进入网络的流量,在发现可疑活动时立即通知管理员。 Catalyst 6500 系列上提供的集成化 IDS 模块是IDS 系列产品的最新成员之一。过去,网络管理员必须利用连接到某个交换机SPAN 端口的外部 IDS 传感器监控网络流量。但是, Catalyst IDS 模块直接将IDS 功能集成到了交换机中,通过交换机背板监控流量。这不仅可以更加精确地监控网络流量, 还可以克服连接到 SPAN 端口的外部 IDS 传感器的一些限制。 利用与其他 Cisco IDS 网络设备相同的代码, Catalyst IDS 模块可以检测多种攻击。 IDS 模块上的特征引擎可以在不对交换机产生任何影响的情况下,方便地集成新的“黑客特征”。另外, IDS 模块 可以同时监控多个 VLAN 上的流量(包括交换机间连接 [ISL]的流量和采用802.1q 编码的流量)。 Catalyst IDS 模块能够检测下列攻击: 洞利用攻击活动。表示有人试图获得访问权限或者威胁您的网络上的系统,例如登陆失败和 TCP 劫持。 DoS 活动。表示有人试图消耗带宽或者计算资源,以中断网络的正常运行。例如 Trinoo、 TFN 和 SYN 泛洪攻击。 侦察活动。表示有人试图探测或者映射您的网络,发现“可能的目标”,例如 ping 扫描或者端口扫描。这种活动通常是某个实际的漏洞攻击活动的前兆。 滥用活动。表示有人试图破坏企业策略。检测这种活动的方法是:通过对传感器进行设置,让其在网络流量中寻找特定的字符串。 思科集成化 IPSec VPN 关键的高带宽业务应用催生了对于无所不在的连接和提高大型主要办公 室的带宽的需求。很多企业都在用两地间或者远程接入 VPN 补充或者更换他们的传统 VPN,以期更好地满足这些新的连接要求。通过将 VPN 集成到 Cisco Catalyst 6500 系列交换机中,您可以在不增加额外设备或者替代网络的情况下保障网络安全。通过将加密、身份验证和完整性功能集成到网络服务中, IPSec VPN 模块可以简化安全的园区边缘 VPN 端接和安全的集成化网络服务――例如IP 话音( VoIP)和存储局域网――的部署。 IPSec 的集成为从租用线路或者帧中继环境转向经济有效的 VPN 互联提供了一条 平稳的途径。 Catalyst 集成化安全功能 Cisco Catalyst 交换机系列采用了一些新的安全功能,有助于防范一些通常来自于防火墙内部的攻击。这些攻击往往由某个“冒充”有效网络设备的 IP 地址或者主机名称的人员所发动。这些功能 包括: 端口安全 DHCP 监听 动态地址解析协议( ARP)检测 IP 源保护 端口安全 端口安全可以防范基于 MAC 的攻击。端口安全让网络管理员可以限制允许使用的 MAC 地址,或者每个端口允许的 MAC 地址的最大 数量。这使得某个特定端口上的 MAC 地址可以由管理员静态配置,或者由交换机动态学习。 如果某个指定端口上的 MAC 地址超过最大允许数量,或者在该端口上发现一个带有不安全的源 MAC 地址的帧,就违反了安全策略。该端口随后会被关闭,或者会生成一个 SNMP 陷阱。对于动态的或者静态的安全 MAC 地址,可以利用端口安全设置地址在没有活动时或者在一段预定间隔之后失效。端口安全可以关闭某个端口,阻止来自于某个终端的、 MAC 地址与此前为该端口设定的地址不符的访问。 DHCP 监听 在某些情况下,入侵者 可以将一个 DHCP 服务器加入网络,令其“冒充”这个网段的 DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器( DNS 和WINS)提供错误的 DHCP 信息,从而将客户端指向黑客的主机。这种误导让黑客可以成为“中间人”,获得对保密信息的访问权限,例如用户名和密码,而最终用户对攻击一无所知。为了防止出现这种情况,您可以使用 DHCP 监听。 DHCP 监听是一种针对端口的安全机制,被用于区分连接最终用户的不可信交换机端口和一个连接 DHCP 服务器或者其他交换机的可信任交换机端口。它可以在每个 VLAN 的基础上 启用。 DHCP 监听只允许经过授权的 DHCP 服务器响应 DHCP 请求和向客户端分发网络信息。它还提供了在客户端端口上对 DHCP 请求进行速率限制的能力,从而可以减轻来自于单个客户端 /接入端口的 DHCP DOS 攻击的影响力。 动态 ARP 检测 ARP 并不具有身份验证功能。一个恶意用户可以轻松地修改同一个 VLAN 上的其他主机的 ARP 表。在一个典型的攻击中,恶意用户可以主动地向子网上的其他主机发送 ARP 答复(没有来由的 ARP 分组),其中包含了攻击者的 MAC 地址和缺省网关的 IP 地 址。这种 ARP 修改行为会导致不同的中间人攻击,从而对网络安全构成威胁。 动态 ARP 检测可以避免将无效的或者没有来由的 ARP 答复转发到同一个VLAN 中的其他端口,从而防范中间人攻击。如图 3 所示,它可以拦截不可信端口的上的所有 ARP 请求和答复。每个被阻截的分组都会被检验,看是否存在有效的 IP-MAC 捆绑关系(每个都通过 DHCP 监听搜集)。 被拒绝的 ARP 分组由交换机进行记录和审核。可信任端口上的输入 ARP 分组不会被检查。 IP 源保护 IP 源保护是一种 Catalyst 交换机独有的 Cisco IOS 软件功能,有助于避免 IP 伪装攻击。它可以阻止恶意主机通过盗用邻居的 IP 地址攻击网络。 IP 源保护能够提供基于每端口的对所分配的源 IP 地址进行线速 IP 流量过滤。它可以根据 IP-MAC-交换机端口捆绑关系动态地维护基于每个端口的 VLAN ACL。捆绑表由 DHCP 监听功能或者静态配置填充。 IP 源保护通常用于接入层的不可信任交换机端口。 思科身份识别 在普通网络中,大部分资源滥用和未经授权的访问都来自内部。思科身份识别解决方案是一个汇集了多款思科产品的集成 化解决方案,可以提供身份验证、访问控制和用户策略,从而保护网络连接和资源。 思科身份识别利用 802.1X 和可扩展身份验证协议( EAP)将身份验证信息(例如用户 ID、密码和安全密钥)发送到某个身份验证服务器,例如一台远程身份验证拨号用户服务( RADIUS)服务器。 通过为企业提供一个可以管理用户移动性和降低因为授予、管理网络资源访问权限而导致的管理成本的安全身份识别框架,思科可以帮助企业提高用户生产率并降低运营成本。 思科的身份识别解决方案可以提供下列优势: 智能适应能力可以为不同层 次的用户提供更高的灵活性和移动性――机构可以利用定义了用户和网络资源之间的信任关系的策略创建用户或者群组档案,从而轻松地对有线或者无线网络的所有用户进行身份验证、授权和记录。这种有助于提高架构安全性的灵活性是实现网络化虚拟机构( NVO)的重要基础。 身份验证、访问控制和用户策略的结合有助于保护网络连接和资源――因为策略是针对用户和主机的,而不是针对物理端口的,用户可以获得更高的移动能力和自由度,而且 IT 管理也可以得到简化。通过执行策略和动态设置,可以提高可扩展性和简化管理。 提高用户生产率和降 低运营成本――通过为有线和无线网络访问提供安全性和更高的灵活性,企业能够更快地建立跨部门的或者新的项目团队,为可靠的合作伙伴或者供应商提供安全的访问,实现安全的会议室连接。通过用基于集中策略的管理提高灵活性和保护网络访问,可以减少在媒体访问控制级别使用端口安全技术而需要的时间、复杂性和精力。 所有 Cisco Catalyst 交换机(包括 Catalyst 6500、 4500、 3550 和 2950 交换机)、思科 ACS 服务器和 Cisco Aironet 接入点都支持身份识别和 802.1X。 思科 安全代理 如果服务器和台式机(终端)不能得到妥善的保护,任何一项安全策略都不会发挥作用。终端攻击通常是分阶段进行的:侦察、进入、持续、传播和瘫痪。大部分终端安全技术都只提供了早期阶段的防护(只有在特征已知的情况下)。思科安全代理可以在攻击的所有阶段主动地防范对某个主机的破坏。另外,它还采用了专门的设计,可以防范特征未知的新型攻击。 思科安全代理的功能超出了传统终端安全解决方案的范畴。它可以在恶意行为发生之前及早发现和防范,从而消除可能危及企业网络和应用的已知和未知安全风险。思科安全代理包括基于主 机的代理,它们被部署在关键任务型台式机和服务器上,向运行在 CiscoWorks VPN/安全管理解决方案( VMS)上的管理中心报告。这些代理将 HTTP 和安全套接字层( SSL)协议( 128 位 SSL)用于管理接口和代理、管理中心之间的通信。 当某个应用试图执行某项操作时,代理会根据该应用的安全策略检查该操作,实时做出“允许”或者“拒绝”的决定,判断是否需要记录该请求。因为保护建立在阻止恶意行为的基础上,缺省策略可以在无需升级的情况下阻止已知和未知攻击。代理和管理中心控制台都会执行关联操作。 在代 理级别进行的关联操作会导致准确性的大幅度提高,从而在不阻止合法活动的情况下识别出真正的攻击和滥用行为。在管理中心进行的关联可以发现全局攻击,例如网络蠕虫和分布式扫描。 WLAN 安全 一个没有正确部署的无线网络会向潜在的攻击者敞开大门。显示用户利用一个免费运行的无线扫描应用的个人数字助理( PDA),从一辆以正常速度行驶的汽车上搜集到的无线网络信号。在这个例子中,该用户发现了 68 个不同的网络。其中大部分都没有采取任何安全限制措施,可以随意访问。 通常,这些不安全的网络是由一些为了更加方便地 访问网络而自行安装接入点的员工所导致的。不幸的是,安装这些接入点的人员往往并不知道防止外部攻击者访问企业网络所需要的网络安全功能。另外,在这些由用户部署的无线网络中使用的消费级接入点通常不能提供必要的企业级安全,因而无法阻止攻击者获得对企业网络的访问权限。恶意接入点对于网络安全的威胁是实实在在的,但是它也是可以避免的。尽管检测肯定是非常必要的,但是最好是事先防止员工安装未经授权的接入点,而不是在安装之后再进行检测。 下列方法归纳了防范威胁的关键要点: 为企业员工提供一个安全的 WLAN 基础设施。 该基础设施由 IT 部门提供支持,采用思科无线安全套件和 802.1X、 TKIP 功能。这可以消除员工自行安装恶意接入点的动机。部署思科结构化无线感知网络( SWAN),利用恶意接入点和干扰检测功能,分析本地 RF 和检测恶意接入点,或者定期用一个无线电监听设备巡查整个网络,找出恶意设备。在企业边缘交换机上部署 802.1X,通过制止对网络的访问,全面地防范恶意接入点。 思科无线安全套件 思科园区 WLAN(和整个企业 WLAN)解决方案通过面向 Cisco Aironet 系列产品的思科无线安全套件和思科兼容 WLAN 客户端设备,提供了多种安全部署选项。该解决方案可以全面地支持被称为 Wi-Fi 受保护访问( WPA)的 Wi-Fi 联盟安全标准。正确部署的思科无线安全套件可以让网络管理员确信,他们所部署的WLAN 可以获得企业级的安全和保护。 思科无线安全套件可以支持 IEEE 802.1X 和多种类型的 EAP 针对每个用户、每个会话的双向身份验证。经过改进的思科安全解决方案可以支持思科 LEAP、EAP-传输层安全( EAP-TLS),以及多种基于 EAP-TLS 的类型,例如受保护可扩展身份验证协议( PEAP), EAP 隧道 TLS( EAP-TTLS)等。 802.1X 是用于对有线和无线网络进行身份验证的 IEEE 标准。在 WLAN 中,该标准可以在客户端和身份验证服务器之间提供严格的双向身份验证。它还可以提供针对每个用户、每个会话的动态加密密钥,消除由于静态加密密钥导致的管理负担和安全问题。 一个支持 IEEE 802.1X 和 EAP 的接入点可以充当无线客户端和身份验证服务器――例如思科安全访问控制服务器( ACS)――之间的一个接口。另外,接入点的 VLAN 支持使得多个安全策略可以同时获得支持。利用 VLAN,网 络管理员可以根据多种安全选项来划分用户――例如有线等效加密( WEP)、 802.1X/TKIP、开放访问或者高级加密标准( AES)。 思科结构化无线感知网络 思科 SWAN 是一个基于思科“无线感知”基础设施产品的、安全的集成化 WLAN 解决方案,可以通过对 Cisco Aironet 接入点进行优化的、安全的部署和管理,最大限度降低 WLAN 总拥有成本。 思科 SWAN 包括四个核心组件: 运行 Cisco IOS 软件的 Cisco Aironet 接入点 CiscoWorks 无 线 LAN 解决方案引擎( WLSE) IEEE 802.1X 身份验证服务器,例如思科安全访问控制服务器( ACS) 通过 Wi-Fi 认证的无线 LAN 客户端适配器 思科 SWAN 有助于确保 WLAN 具有与有线 LAN 相同等级的安全性、可扩展性、可靠性、部署方便性和可管理性。利用思科 SWAN,用户可以从单个管理控制台管理成百上千个集中的或者远程的 Cisco Aironet 接入点。 WLAN 管理复杂性的降低也有助于提高网络的安全性。 作为思科 SWAN 的一部分, CiscoWorks WLSE 可以检测、定位和制止由心怀不满的员工或者恶意的外部入侵者安装的接入点。 恶意接入点的位置可以显示在 CiscoWorks WLSE 地点管理器上。它还列出了关于接入点所连接的交换机端口的详细信息。 将 QoS 作为安全工具 有些攻击的目标是用混乱的流量占满设备之间的连接,从而阻止合法流量抵达目的地。 Cisco IOS 软件的 QoS 功能让您可以划分流量类别和设定流量的优先级。它可以防止连接受到这种攻击的影响。例如,来自于一个典型用户的流量通常会以不超过20Mbps 的速度发送。 一般而言,来自于攻击的流量的发送速度则会超过 20Mbps。为了确保合法用户数据即使在遭遇攻击时也可以顺利达到目的地,超过 20Mbps 的流量的优先级将被设为 1(低),而低于 20MBps 的流量的优先级将被设为 2(较高)。另外,为了确保网络管理员可以控制关键的设备――无论存在多少用户流量或者是否发生攻击, SSH、 Telnet 和 SNMP 流量的优先级都将被设为 4。QoS 的使用有助于确保管理流量总是能够顺利传输,而且普通用户流量的优先级高于可能由于攻击导致的流量,从而可以消除“冲击波”型攻击的影响。 另 外一种网络风险发生在员工离开企业网络,在某个提供无线热点服务的咖啡厅、某个提供互联网接入的宾馆或者在他们的家中连接网络。因为这些公共网络并不具有与企业网络相同的保护等级,员工设备很容易遭受感染。 思科 NAC 让网络可以检测和隔离受感染的用户设备,以防止网络安全问题。准入决策可能是基于设备的防病毒状态、操作系统补丁等级等信息。思科 NAC 可以为符合安全策略的、可靠的终端设备( PC、服务器和 PDA)提供网络访问,限制不符合策略的设备的访问权限。 思科 NAC 包括下列组件: 思科信任代理――一 种驻留在终端系统中的软件,可以从多个安全软件客户端(例如防病毒客户端)搜集安全状态信息,然后将这些信息发送到执行准入控制的思科网络接入设备。 网络接入设备――负责执行网络准入控制策略的网络设备(包括路由器、交换机、无线接入点和安全设备)。这些设备会要求主机提供安全“凭证”,并将这些信息转发到策略服务器,由其指定网络准入控制决策。 策略服务器――负责评估来自网络接入设备的终端安全信息和决定适当准入策略的思科安全 ACS。 管理系统――包括负责设置思科 NAC 组件的 CiscoWorks VPN/安全管理解决方案( VMS)和负责提供监控、报告工具的 CiscoWorks 安全信息管理器解决方案( SIMS)。 综述 在大部分企业中,网络正在迅速成为重要性仅次于员工的宝贵资产。因此,它必须得到妥善的保护。由于现有攻击的传播速度和破坏程度非常惊人,而且将来可能还会变得更加严重,企业决不能再继续采用被动的网络安全策略。不管是现在还是将来,都必须采取提前的、主动的安全措施。要实现这个目标,最理想的方法就是将安全智能集成到网络基础设施的每个环节之中。记住,您的网络的安全性取决于网络中最薄弱的环节。 思科不仅开发和部署了自己的网络安全策略和实践经验,而且还开发了一套全面的园区安全解决方案。从提供威胁防御,确保信任关系和身份识别,到保护通信安全,思科可以满足企业目前的所有安全需求。