Cisco SAFE分層制訂安全策略

2019-11-04 23:49:21

字體：大中小

供稿：網(wǎng)友

　　網(wǎng)絡(luò)專家Cisco近日提出了其面向企業(yè)網(wǎng)絡(luò)的安全藍(lán)圖Cisco SAFE（Safe Architecture for EnterPRise），在業(yè)內(nèi)率先提出了網(wǎng)絡(luò)安全要分層的安全策略。SAFE的目標(biāo)是,為感愛好的機(jī)構(gòu)提供有關(guān)設(shè)計和實施安全網(wǎng)絡(luò)的最佳實踐信息，它可作為正考慮其網(wǎng)絡(luò)安全性要求的網(wǎng)絡(luò)設(shè)計人員的指南。SAFE使用了模塊化的體系結(jié)構(gòu)。它有兩點優(yōu)勢：一、答應(yīng)體系結(jié)構(gòu)實現(xiàn)網(wǎng)絡(luò)各功能塊間的安全關(guān)系；二、它讓設(shè)計者可逐個模塊地評估和實施安全性。
　　在SAFE的準(zhǔn)則中規(guī)定了6個目標(biāo)：路由器、交換機(jī)、主機(jī)、網(wǎng)絡(luò)、應(yīng)用、安全治理和報告。針對每個目標(biāo)都提供了安全建議。例如在路由器目標(biāo)中，它提醒人們在路由更新時要使用驗證；在交換機(jī)目標(biāo)中，告誡人們將無需中繼的端口應(yīng)將中繼設(shè)置置于關(guān)閉，以防止主機(jī)成為中繼端口而接收所有通常駐留于中繼端口的信息流。
　　在SAFE中,最重要的內(nèi)容就是分析企業(yè)模塊，Cisco認(rèn)為，企業(yè)是由兩個功能區(qū)域組成的——園區(qū)網(wǎng)和邊緣，這兩個區(qū)域可進(jìn)一步劃分成模塊，這些模塊具體定義了每個區(qū)域的功能。
　　SAFE將企業(yè)園區(qū)網(wǎng)分為治理模塊、核心模塊、構(gòu)建分布模塊、構(gòu)建模塊、服務(wù)器模塊和邊緣分布模塊，一共6個模塊。
　　 Cisco SAFE分層制訂安全策略

　　Cisco SAFE分塊構(gòu)成圖
　　治理模塊的主要目標(biāo)是,實現(xiàn)企業(yè)SAFE體系結(jié)構(gòu)中所有設(shè)備和主機(jī)的安全治理，記錄和報告信息從設(shè)備流向治理主機(jī)，而內(nèi)容、配置和新軟件從治理主機(jī)流向設(shè)備。它可以緩解來自黑客的威脅，包括未授權(quán)接入、中間人攻擊、網(wǎng)絡(luò)偵察、口令攻擊、ip電子欺騙、分組竊聽、信任關(guān)系利用等。SAFE體系結(jié)構(gòu)中的核心模塊與其它任意網(wǎng)絡(luò)體系結(jié)構(gòu)的核心模塊幾乎一樣，它主要是將信息流盡可能快速地從一個網(wǎng)絡(luò)傳送和交換至另一網(wǎng)絡(luò)。其主要設(shè)備是第3層交換，它可以緩解分組竊聽的威脅。構(gòu)建分布模塊的目標(biāo)是,向構(gòu)建交換機(jī)提供分布層服務(wù)，其中包括路由、服務(wù)質(zhì)量（QoS）和訪問控制。數(shù)據(jù)請求流入這些交換機(jī)再傳至核心，響應(yīng)則以相反途徑進(jìn)行。構(gòu)建模塊包括最終用戶工作站、電話及其相關(guān)第2層接入點的擴(kuò)展網(wǎng)絡(luò)部分，其主要目的是向最終用戶提供服務(wù)。服務(wù)器模塊的主要目標(biāo)是向最終用戶和設(shè)備提供給用服務(wù)。服務(wù)器模塊上的信息流由第3層交換機(jī)中的主板入侵檢測進(jìn)行檢查。邊緣分布模塊的目標(biāo)是在邊緣集中來自各元素的連接。信息流從邊緣模塊過濾和路由并送至核心。
　　企業(yè)邊緣分為兩個部分、四個模塊，分別是公司互聯(lián)網(wǎng)模塊、VPN和遠(yuǎn)程接入模塊、WAN模塊、電子商務(wù)模塊。
　　長期以來，Cisco公司一直都是以網(wǎng)絡(luò)化建設(shè)領(lǐng)導(dǎo)者的姿態(tài)出現(xiàn)在眾人面前，很少有人知道Cisco也是網(wǎng)絡(luò)安全市場的領(lǐng)頭羊。據(jù)有關(guān)資料顯示，在2001年,Cisco占防火墻市場的份額達(dá)到14％，VPN網(wǎng)關(guān)市場的占有率是34％，而IDS市場則占據(jù)了25％的市場份額。它此次提出SAFE安全藍(lán)圖是因為它既是網(wǎng)絡(luò)方案解決商，也是網(wǎng)絡(luò)設(shè)備供給商，各國都大量采用了它的網(wǎng)絡(luò)設(shè)備，所以它的安全解決方案相信可能會成為業(yè)界未來的標(biāo)準(zhǔn)。
　　Cisco 的SAFE并非一種設(shè)計網(wǎng)絡(luò)的創(chuàng)新方式，它僅僅是保證網(wǎng)絡(luò)安全的一個發(fā)展藍(lán)圖。它是一種安全體系結(jié)構(gòu)，目的是防止大多數(shù)攻擊，使其無法成功地影響重要網(wǎng)絡(luò)資源。成功通過第一道防線或是來自于網(wǎng)絡(luò)內(nèi)部的攻擊，必須能得以準(zhǔn)確發(fā)現(xiàn)并快速地將其對網(wǎng)絡(luò)其余部分的影響減至最小。Cisco將Internet的分層思想帶入到安全領(lǐng)域當(dāng)中，并且結(jié)合遍布世界的Cisco產(chǎn)品，將每一層中的網(wǎng)絡(luò)設(shè)備和可能出現(xiàn)的安全威脅一一分類歸納，使得網(wǎng)絡(luò)設(shè)計者在規(guī)劃網(wǎng)絡(luò)的時候?qū)Ω鞣N網(wǎng)絡(luò)風(fēng)險和相應(yīng)的措施一目了然，能夠充分考慮網(wǎng)絡(luò)安全問題，在網(wǎng)絡(luò)籌建之初盡可能地降低網(wǎng)絡(luò)入侵風(fēng)險。它適合于大型系統(tǒng)集成商在設(shè)計和規(guī)劃網(wǎng)絡(luò)中使用，對已建立好的網(wǎng)絡(luò)來說，也是一份非常有意義的資料。

上一篇：端到端服務(wù)質(zhì)量解決方案

下一篇：廠商為用戶指點迷津