由于现代企业网络拓扑结构日渐复杂,并且需要根据企业业务发展状况不断调整,安全部署也必然需要相应的调整。仅从这一点考虑,企业用户与安全厂商就共同面临着一个严峻挑战--要保证企业网络及安全部署的"可持续性发展",企业需要制定一套本身有良好可扩展性的安全策略,以避免因为网络结构的调整而重新部署。
真正有效的安全策略必须根据企业网络结构的变化不断加以调整,这在安全业界已经形成共识。同时,标准化和结构化,也会使得企业的安全策略易于推广并具有良好的扩展性。
作为全球顶级的网络专家和安全专家,思科凭借在网络产品与方案领域的深厚技术积淀和丰富实施经验,在业界率先整理出一套崭新的整体安全思想和全新的深度防御策略--思科SAFE安全蓝图。它充分考虑安全策略的可扩展性,并且将复杂的网络环境模块化,然后分析各个模块内部及相互联结的薄弱环节和关键部分,并有针对性的采用深度防御战略,从而能够为其遍布全球的广大用户构建真正安全、便捷、经济的网络,为它们的电子商务应用架构一片自由的天地。
模块化架构:让矛盾迎刃而解
思科SAFE解决方案采用先进的模块化结构设计,逐层深入,将复杂的网络结构之中的安全问题各个击破,从而保证用户基于网络开展的各项业务获得最佳的保护。目前,思科已推出了企业SAFE蓝图、拓展至中小企业及远程使用者的SAFE蓝图等五个定制的解决方案。 以面向企业的SAFE蓝图为例,它将复杂的网络架构进行虚拟的模块化划分,使之成为若干相对简单、易于分析的部分,其分块构成图如下所示。
企业SAFE分块构成图
可以看到,企业SAFE蓝图针对企业网络应用的特点将其作如下的模块化划分:首先将复杂的企业网络架构分成相互联系的三个大的模块--企业园区网、企业边缘和服务供应商边缘,以此作为企业网络SAFE安全蓝图的第一个层次;在第一层次的基础上,SAFE安全蓝图在三大模块内部将它们进一步细化为若干个功能区模块,--这些模块在网络中扮演特定角色,有特定的安全需求。
以企业园区网为例,可以将其划分为管理模块、构建模块、构建分布模块、核心模块、边缘分布模块、服务器模块六个模块,每个都有不同的目标和安全功能。其中管理模块的主要目标是实现企业SAFE体系结构中所有设备和主机的安全管理,安全功能包括通过IOS处的防火墙过滤来阻止未授权接入、使数据穿越专用网络减少中间人攻击以及减少网络侦察、口令攻击、IP电子欺骗-、分组窃听以及利用信任关系攻击;核心模块职能是将信息流尽可能快速地从一个网络传送和交换至另一网络,这一模块缓解的威胁主要是分组窃听;构建分布模块的目标是向构建交换机提供分布层服务,这其中包括路由、服务质量(QoS)和访问控制,该模块安全功能包括通过特定子网的第3层过滤限制未授权访问、过滤IP电子欺骗、限制分组窃听;凡此种种,不一而足。
SAFE蓝图:网络安全整体解决之道
以SAFE为代表的模块化架构相对于传统的网络安全方案至少在以下三个方面具有优势:首先,通过模块划分和建立体系结构内各个功能块间的安全关系,有利于建立起整体网络安全体系;其次,模块化的架构设计将复杂的网络系统划分为结构相对简单的功能模块,设计者可逐个模块地评估和实施安全性,更容易发现网络安全"木桶的短板"并通过安全硬件和软件对其进行强化,从而提高网络安全的整体水平;第三,模块化的架构秉承演进的观点,可以随企业业务的发展,逐步强化各个功能模块的安全性能,而非试图在一个阶段就完成整个体系结构。
作为构建于思科AVVID体系结构之上的一种成熟、详尽的安全与VPN蓝图,思科SAFE提供了其各类用户向安全、经济、高效的网络进行移植的基础;作为一种全新的网络安全理念和天才的模块分层架构,思科SAFE安全蓝图通过部署分阶段实施的模块化、可扩展安全框架,并与AVVID合作伙伴计划紧密结合,一道为各类用户提供整合的安全产品和服务,帮助它们轻松实现对其网络的深度防御和综合保护。
