网络专家Cisco近日提出了其面向企业网络的安全蓝图Cisco SAFE(Safe Architecture for Enterprise),在业内率先提出了网络安全要分层的安全策略。
网络专家Cisco近日提出了其面向企业网络的安全蓝图Cisco SAFE(Safe Architecture for Enterprise),在业内率先提出了网络安全要分层的安全策略。SAFE的目标是,为感兴趣的机构提供有关设计和实施安全网络的最佳实践信息,它可作为正考虑其网络安全性要求的网络设计人员的指南。
SAFE使用了模块化的体系结构。它有两点优势:一、允许体系结构实现网络各功能块间的安全关系;二、它让设计者可逐个模块地评估和实施安全性。
在SAFE的准则中规定了6个目标:路由器、交换机、主机、网络、应用、安全管理和报告。针对每个目标都提供了安全建议。例如在路由器目标中,它提醒人们在路由更新时要使用验证;在交换机目标中,告诫人们将无需中继的端口应将中继设置置于关闭,以防止主机成为中继端口而接收所有通常驻留于中继端口的信息流。
在SAFE中,最重要的内容就是分析企业模块,Cisco认为,企业是由两个功能区域组成的——园区网和边缘,这两个区域可进一步划分成模块,这些模块具体定义了每个区域的功能。
SAFE将企业园区网分为管理模块、核心模块、构建分布模块、构建模块、服务器模块和边缘分布模块,一共6个模块。
Cisco SAFE分块构成图
管理模块的主要目标是,实现企业SAFE体系结构中所有设备和主机的安全管理,记录和报告信息从设备流向管理主机,而内容、配置和新软件从管理主机流向设备。它可以缓解来自黑客的威胁,包括未授权接入、中间人攻击、网络侦察、口令攻击、IP电子欺骗、分组窃听、信任关系利用等。SAFE体系结构中的核心模块与其它任意网络体系结构的核心模块几乎一样,它主要是将信息流尽可能快速地从一个网络传送和交换至另一网络。其主要设备是第3层交换,它可以缓解分组窃听的威胁。构建分布模块的目标是,向构建交换机提供分布层服务,其中包括路由、服务质量(QoS)和访问控制。数据请求流入这些交换机再传至核心,响应则以相反途径进行。构建模块包括最终用户工作站、电话及其相关第2层接入点的扩展网络部分,其主要目的是向最终用户提供服务。服务器模块的主要目标是向最终用户和设备提供应用服务。服务器模块上的信息流由第3层交换机中的主板入侵检测进行检查。边缘分布模块的目标是在边缘集中来自各元素的连接。信息流从边缘模块过滤和路由并送至核心。
企业边缘分为两个部分、四个模块,分别是公司互联网模块、VPN和远程接入模块、WAN模块、电子商务模块。
长期以来,Cisco公司一直都是以网络化建设领导者的姿态出现在众人面前,很少有人知道Cisco也是网络安全市场的领头羊。据有关资料显示,在2001年,Cisco占防火墙市场的份额达到14%,VPN网关市场的占有率是34%,而IDS市场则占据了25%的市场份额。它此次提出SAFE安全蓝图是因为它既是网络方案解决商,也是网络设备供应商,各国都大量采用了它的网络设备,所以它的安全解决方案相信可能会成为业界未来的标准。
Cisco 的SAFE并非一种设计网络的创新方式,它仅仅是保证网络安全的一个发展蓝图。它是一种安全体系结构,目的是防止大多数攻击,使其无法成功地影响重要网络资源。成功通过第一道防线或是来自于网络内部的攻击,必须能得以准确发现并快速地将其对网络其余部分的影响减至最小。Cisco将Internet的分层思想带入到安全领域当中,并且结合遍布世界的Cisco产品,将每一层中的网络设备和可能出现的安全威胁一一分类归纳,使得网络设计者在规划网络的时候对各种网络风险和相应的措施一目了然,能够充分考虑网络安全问题,在网络筹建之初尽可能地降低网络入侵风险。它适合于大型系统集成商在设计和规划网络中使用,对已建立好的网络来说,也是一份非常有意义的资料。