思科自防御网络详解

ZDNet安全频道 原创翻译

简介：在现代商业社会中，安全显得比以往更加的重要。为了确保网络的安全，大量的资金被投入以选择合适的解决方案。在本文中，大卫·戴维斯将向你解释，为什么对于贵公司来说，思科自防御网络可能是正确的选择。

如果你对思科自防御网络（ CSDN ）不了解的话，可能并不相信它。如同俏皮话一样，“所谓自防御网络就是防御它自己？”不过，通常情况下，思科公司的产品和解决方案还是优良并且值得信赖的，所以我认为思科自防御网络不会一无是处，在某种程度上，可能是目前市面上最好的解决方案。

了解安全解决方案的第一步
由于所有企业至少都有部分关键业务功能依赖于互联网和局域网，所以安全比以往显得更加的重要。如果公司没有强有力的安全保障的话，一旦被黑客攻击的消息被公开报道，它们的股票价格会马上大跌，甚至会直接停业。在全球网络化的大环境下，病毒和蠕虫可以在几秒或几分钟内，攻击位于全球各地的企业和用户。

但是，公司的资金毕竟是有限制的，不可能选择所有的解决方案。你必须根据自己的资金要求，以及业务和风险的总体情况进行判断。只有这样，才能按照公司的实际情况，选择合理的安全解决方案。

什么是自防御网络？
思科自防御网络（ CSDN ）是一个有许多组件组成的庞大复杂的系统。你不必选择所有的组成部分，思科自防御网络可以通过运行不同的组件完成不同性质的工作。举例来说，下面这些组件都是可以选择的：思科NAC（接入控制）；思科安全代理（端点保护）；思科安全监测、分析和响应系统（事件关联性分析）；网络入侵检测系统（NIDS）；认证服务器；类似ASA和Ironport的Anti-X系统；网络和基于主机的防火墙以及防病毒软件。

自防御网络理论指得是可识别、防御和应对来自内部和外部的威胁，从而为机构提供保护。不过，这个网络的运行需要协同工作以保证相关级别的安全、信息和兼容性。

如何保证思科自防御网络的协同工作
在图A中，你可以发现思科自防御网络的组件遍布在整个网络中。每一条线路、每一个设备和操作系统都被思科自防御网络所控制。通过对整个网络的覆盖，思科自防御网络可以在安全事件发生的同时进行处理。此外，思科自防御网络还可以对网络安全事件进行端到端的处理。

图A
思科自防御网络示意图

为了保证思科自防御网络的运行，所有的网络设备必须进行整合以便协同工作。因此，在思科自防御网络中，不会允许第三方网络设备的运行。

除了硬件外，思科自防御网络还涉及到哪些方面？
你可以购买喜欢的网络硬件、软件和服务作为思科自防御网络的一个部分。但是，象所有的硬件产品一样，没有人管理的话，设备不会自动工作。思科自防御网络也一样，即使部署完毕，它也需要进行监测和维护。

思科围绕自防御网络提供了很多服务。图B对这些产品进行了说明：

图B
思科自防御网络服务示意图

从图中你可以看到，思科提供了从规划到运行网络的全套服务。在网络正常运行后，思科还会对网络进行优化调整等服务。

这一切看上去不错，我想任何人在对安全解决方案进行评估的时间，都需要确定实施和维护所需的时间和费用。毫无疑问，任何长期维护的保障体系所需要的费用，都是远远大于原来的购买价格。

网络安全如何得到保障？
当开始实施思科自防御网络时，用户和设备的授权证书是非常重要的。用户和设备的授权证书是用来识别相关的设备和对用户进行认证用的。

在图C中，可以看到如何对硬件设备、操作系统和应用软件进行检验，和利用用户名称、密码和授权证书的密钥对用户身份进行认证。

图C
思科自防御网络认证服务示意图

你可以看到，用户和设备的授权证书是思科自防御网络成功的关键。

思科自防御网络的安全标准
在思科自防御网络的路线图中，有大量的相关标准。其中涉及到思科自防御网络最关键的一个，就是网络准入控制（ NAC ） 。网络准入控制（ NAC ） 是用来对即将连入网络的设备的安全性进行检验。很多情况下，这会和802.1X协议有关；但这只是网络准入控制的一部分。

思科NAC和微软新的网络访问保护解决方案（ NAP ）的竞争看来将更加激烈。但对于用户来说，幸运的是，两家公司都一致认为，需要在这两者之间提供兼容性和互操作性。在创建这个自防御网络的时间，许多标准将会被使用。

思科自防御网络的前景
思科自防御网络有一个宏伟的目标，希望可以将所有设备联系起来，以防止任何可能危害到网络安全的事件。理论上，通过协作，一台网络中的设备可以通知其它的设备，是否处于危险之中，在我心目中，不同类型的网络安全软件和硬件完美地工作在一起，这种事情太美好了，以至于不可能是真实的。

通常情况下，由于价格昂贵并且难于控制，与其它思科安全设备的整合是一件非常困难的事情。即使思科自防御网络的发布已经有了六年的历史，但在网络实现真正的可自我维护以前，依然有很多问题需要解决。