思科的網絡安全技術
---- 網絡的穩定和速率是滿足客戶需求,保證客戶利益、贏得客戶滿意,從而提高互連網公司競爭力的關鍵所在,因此網絡安全是不可欠缺的重要考慮因素。應用的安全性同樣可體現在應用的多個方面,包括機房安全、服務器安全登錄、網絡安全等。
用戶驗證軟件Cisco Secure ACS
---- Cisco Secure ACS(Cisco Secure Access Control Server)即Cisco安全訪問控制服務器軟件,它的主要作用是實施AAA認證。與防火牆的數據包過濾原理不同,AAA主要是對用戶身份實施檢驗和權限設定。
它的具體內容包括
Authentication(身份鑑定)--判斷"Who are you(你是誰)"瞭解你是否是一個合法的用戶。它用到判別依據通常是用戶名/密碼,但視具體使用技術,也可能更爲嚴密;
Authorization(授權)--判斷"What you e allowed to do(你允許做什麼)",它跟Autetication緊密結合,在瞭解用戶身份的同時瞭解該用戶的特權級別,確定中項應用或讀寫操作中哪些是可以做的,哪些是不被允許的;
Accounting(審計)--判斷"Shat you did and when(你做過什麼,在什麼時候)",安全檢驗不是一次性的,它還需要結合時間軌跡。Accounting提供的跟蹤功能使網絡管理員能及時發現用戶的非法企圖,從而防患於未然,同時,審計結果也成爲了網絡應用計費的依據。
IOS防火牆
---- IOS(Internetworking Operation System)代表思科公司路由器的操作系統程序,IOS防火牆則表示集成在路由器的操作系統程序,IOS防火牆則表示集成在路由器操作系統中防火牆功能。思科的系列中低端路由器均可通過操作系統升級獲得防火牆性能,它是在路由器原有的訪問列表對數據的源、目標地址、協議類型、TCP端口檢測的基礎上加入了基於應用的流量控制、Java小程序過濾、對惡意攻擊的監測與防止、數據軌跡跟蹤和實時報警等功能防止拒絕服務類攻擊。使路由器在完成路由和遠程連接功能的同時充當安全屏障--防火牆的角色,對規模較小的,IOS防火牆不失爲一種經濟的選擇。
CISCO PIX防火牆
---- IOS防火牆固然能起到一定的安全防範作用,但路由器的主要功能仍是數據轉發和遠程連接,安全控制只是起到輔助作用,並且作用的實現將受到路由器硬件性能的限制。PIX防火牆則解決了這一問題,它體現出用戶對網絡安全的極度關注:PIX的工作原理仍爲數據包過濾,所有流經PIX的數據都必須接受嚴格而全面的檢驗,檢驗內容包括數據的源和目標地址、TCP隨機序列號,TCP端口和附加標誌等,只在滿足特定條件的數據才能穿過這道防火牆;相對集成在路由器的防火牆和軟件防火牆頁言,PIX使用自己專有軟件系統,不需藉助於外部操作平臺,內核技術不公開,因此能更有效地阻止網絡黑客的攻擊;而配套的硬件組成使其數據處理效率更高;此外,PIX還支持網絡地址翻譯的功能,能夠實現內部IP到合法IP的轉換,方便更多有用戶利用有限的IP地址資源作Internet訪問。
入侵監測系統 NetRanger
---- 以上介紹的是在網絡初始建設中需要考慮或作用的一些安全手段,而網絡應用是長期進行的,安全隱患也隨時存在並且千變萬化、推陳出新。爲此,安全狀態監控也應是一個長期的過程,是網絡管理工作不可缺少的一部分。思科的網絡入侵檢測工具NetRanger便是用於實現這一功能的。
---- NetRanger的主要工作是實時臨近網絡中的異常趨向,以及時發現可能發生的侵襲危機並報告給網絡管理員。它由硬件和軟件組合而成,包括NetRanger Sensor和NetRanger Director兩部分:Sensor是一套即插即用的硬件設備,它就象深入網絡基層的傳感器,感應所處網絡中的異常狀態。忠實地履行流量監測、非法事件響應(如臨時或永入地關閉相關鏈路)、警報發送等功能,一般安放在需要接受檢驗的敏感線路上;Director是一套面向用戶的圖形化軟件,基於Windows操作平臺,用於收集Sensor所檢測的信息,進行危險性分析,然後將結果存放在數據庫中併產生日誌,報告給網絡管理員,同時它也是Sensor的各項參數的設置工具,可同時對數十個Sensor進行管理。
---- NetRanger的主要功能在於發現問題而不是解決問題,儘管具備一定的對異常事件的響應功能,但它仍需要網絡管理員的緊密配合,在問題出現後及時採取措施,得用其它安全工具增強防範功能,才能真正徹底解決問題。
安全漏洞檢查-NetSoner Scanner
---- 相對NetRanger而言,思科公司的NetSonar更具有主動性。它們的共同特點都是檢測網絡中的弱點所在,發現危險傾向。但與NetRanger的"守株待兔"不同,NetSonar總是考慮如何主動去發現網絡弱點所在,以在"準黑客"還未到來這際便將漏洞補齊。我們通常將這樣的主動弱點評估工具稱作"被僱傭的黑客",它能智能化地,或是按用戶設計的方式實施偵測工作。
---- NetSonar是一套基於Windows NT或SUN Solaris平臺的軟件,它的主要工作方式是網絡掃描,定期地發送掃描數據包去檢測被調查網絡中所有節點的可到達性或某些服務器的服務功能(如:Web服務器的瀏覽功能,FTP服務器的文件傳輸功能,路由器/交換機的數據轉發功能等),然後將這些節點和服務分佈圖,並根據軟件中已有規則或用戶自定義規則去評判網絡安全的弱點所在,最後生成多種形式的分析報告,向網絡管理員提示網絡安全狀況。
