思科园区安全解决方案

思科安全代理

　　如果服务器和台式机（终端）不能得到妥善的保护，任何一项安全策略都不会发挥作用。终端攻击通常是分阶段进行的：侦察、进入、持续、传播和瘫痪。大部分终端安全技术都只提供了早期阶段的防护（只有在特征已知的情况下）。思科安全代理可以在攻击的所有阶段主动地防范对某个主机的破坏。另外，它还采用了专门的设计，可以防范特征未知的新型攻击。

　　思科安全代理的功能超出了传统终端安全解决方案的范畴。它可以在恶意行为发生之前及早发现和防范，从而消除可能危及企业网络和应用的已知和未知安全风险。思科安全代理包括基于主机的代理，它们被部署在关键任务型台式机和服务器上，向运行在CiscoWorks VPN/安全管理解决方案（VMS）上的管理中心报告。这些代理将HTTP 和安全套接字层（SSL）协议（128 位SSL）用于管理接口和代理、管理中心之间的通信。

　　当某个应用试图执行某项操作时，代理会根据该应用的安全策略检查该操作，实时做出“允许”或者“拒绝”的决定，判断是否需要记录该请求。因为保护建立在阻止恶意行为的基础上，缺省策略可以在无需升级的情况下阻止已知和未知攻击。代理和管理中心控制台都会执行关联操作。

　　在代理级别进行的关联操作会导致准确性的大幅度提高，从而在不阻止合法活动的情况下识别出真正的攻击和滥用行为。在管理中心进行的关联可以发现全局攻击，例如网络蠕虫和分布式扫描。

　　WLAN 安全

　　一个没有正确部署的无线网络会向潜在的攻击者敞开大门。显示用户利用一个免费运行的无线扫描应用的个人数字助理（PDA），从一辆以正常速度行驶的汽车上搜集到的无线网络信号。在这个例子中，该用户发现了68 个不同的网络。其中大部分都没有采取任何安全限制措施，可以随意访问。

　　通常，这些不安全的网络是由一些为了更加方便地访问网络而自行安装接入点的员工所导致的。不幸的是，安装这些接入点的人员往往并不知道防止外部攻击者访问企业网络所需要的网络安全功能。另外，在这些由用户部署的无线网络中使用的消费级接入点通常不能提供必要的企业级安全，因而无法阻止攻击者获得对企业网络的访问权限。恶意接入点对于网络安全的威胁是实实在在的，但是它也是可以避免的。尽管检测肯定是非常必要的，但是最好是事先防止员工安装未经授权的接入点，而不是在安装之后再进行检测。

　　下列方法归纳了防范威胁的关键要点：

　　为企业员工提供一个安全的WLAN 基础设施。该基础设施由IT 部门提供支持，采用思科无线安全套件和802.1X、TKIP 功能。这可以消除员工自行安装恶意接入点的动机。部署思科结构化无线感知网络（SWAN），利用恶意接入点和干扰检测功能，分析本地RF 和检测恶意接入点，或者定期用一个无线电监听设备巡查整个网络，找出恶意设备。在企业边缘交换机上部署802.1X，通过制止对网络的访问，全面地防范恶意接入点。

　　思科无线安全套件

　　思科园区WLAN（和整个企业WLAN）解决方案通过面向Cisco Aironet 系列产品的思科无线安全套件和思科兼容WLAN 客户端设备，提供了多种安全部署选项。该解决方案可以全面地支持被称为Wi-Fi 受保护访问（WPA）的Wi-Fi 联盟安全标准。正确部署的思科无线安全套件可以让网络管理员确信，他们所部署的WLAN 可以获得企业级的安全和保护。

　　思科无线安全套件可以支持IEEE 802.1X 和多种类型的EAP 针对每个用户、每个会话的双向身份验证。经过改进的思科安全解决方案可以支持思科LEAP、EAP－传输层安全（EAP-TLS），以及多种基于EAP-TLS 的类型，例如受保护可扩展身份验证协议（PEAP），EAP 隧道TLS（EAP-TTLS）等。802.1X 是用于对有线和无线网络进行身份验证的IEEE 标准。在WLAN 中，该标准可以在客户端和身份验证服务器之间提供严格的双向身份验证。它还可以提供针对每个用户、每个会话的动态加密密钥，消除由于静态加密密钥导致的管理负担和安全问题。

　　一个支持IEEE 802.1X 和EAP 的接入点可以充当无线客户端和身份验证服务器――例如思科安全访问控制服务器（ACS）――之间的一个接口。另外，接入点的VLAN 支持使得多个安全策略可以同时获得支持。利用VLAN，网络管理员可以根据多种安全选项来划分用户――例如有线等效加密（WEP）、802.1X/TKIP、开放访问或者高级加密标准（AES）。

　　思科结构化无线感知网络

　　思科SWAN 是一个基于思科“无线感知”基础设施产品的、安全的集成化WLAN 解决方案，可以通过对Cisco Aironet 接入点进行优化的、安全的部署和管理，最大限度降低WLAN 总拥有成本。

　　思科SWAN 包括四个核心组件：

　　 运行Cisco IOS 软件的Cisco Aironet 接入点

　　 CiscoWorks 无线LAN 解决方案引擎（WLSE）

　　 IEEE 802.1X 身份验证服务器，例如思科安全访问控制服务器（ACS）

　　 通过Wi-Fi 认证的无线LAN 客户端适配器

　　思科SWAN 有助于确保WLAN 具有与有线LAN 相同等级的安全性、可扩展性、可靠性、部署方便性和可管理性。利用思科SWAN，用户可以从单个管理控制台管理成百上千个集中的或者远程的Cisco Aironet 接入点。WLAN 管理复杂性的降低也有助于提高网络的安全性。

　　作为思科SWAN 的一部分，CiscoWorks WLSE 可以检测、定位和制止由心怀不满的员工或者恶意的外部入侵者安装的接入点。

　　恶意接入点的位置可以显示在CiscoWorks WLSE 地点管理器上。它还列出了关于接入点所连接的交换机端口的详细信息。

　　将QoS 作为安全工具

　　有些攻击的目标是用混乱的流量占满设备之间的连接，从而阻止合法流量抵达目的地。Cisco IOS

　　软件的QoS 功能让您可以划分流量类别和设定流量的优先级。它可以防止连接受到这种攻击的影响。例如，来自于一个典型用户的流量通常会以不超过20Mbps 的速度发送。一般而言，来自于攻击的流量的发送速度则会超过20Mbps。为了确保合法用户数据即使在遭遇攻击时也可以顺利达到目的地，超过20Mbps 的流量的优先级将被设为1（低），而低于20MBps 的流量的优先级将被设为2（较高）。另外，为了确保网络管理员可以控制关键的设备――无论存在多少用户流量或者是否发生攻击，SSH、Telnet 和SNMP 流量的优先级都将被设为4。QoS 的使用有助于确保管理流量总是能够顺利传输，而且普通用户流量的优先级高于可能由于攻击导致的流量，从而可以消除“冲击波”型攻击的影响。

　　另外一种网络风险发生在员工离开企业网络，在某个提供无线热点服务的咖啡厅、某个提供互联网接入的宾馆或者在他们的家中连接网络。因为这些公共网络并不具有与企业网络相同的保护等级，员工设备很容易遭受感染。

　　思科NAC 让网络可以检测和隔离受感染的用户设备，以防止网络安全问题。准入决策可能是基于设备的防病毒状态、操作系统补丁等级等信息。思科NAC 可以为符合安全策略的、可靠的终端设备（PC、服务器和PDA）提供网络访问，限制不符合策略的设备的访问权限。

　　思科NAC 包括下列组件：

　　 思科信任代理――一种驻留在终端系统中的软件，可以从多个安全软件客户端（例如防病毒客户端）搜集安全状态信息，然后将这些信息发送到执行准入控制的思科网络接入设备。

　　 网络接入设备――负责执行网络准入控制策略的网络设备（包括路由器、交换机、无线接入点和安全设备）。这些设备会要求主机提供安全“凭证”，并将这些信息转发到策略服务器，由其指定网络准入控制决策。

　　策略服务器――负责评估来自网络接入设备的终端安全信息和决定适当准入策略的思科安全ACS。

　　 管理系统――包括负责设置思科NAC 组件的CiscoWorks VPN/安全管理解决方案（VMS）和负责提供监控、报告工具的CiscoWorks 安全信息管理器解决方案（SIMS）。

　　综述

　　在大部分企业中，网络正在迅速成为重要性仅次于员工的宝贵资产。因此，它必须得到妥善的保护。由于现有攻击的传播速度和破坏程度非常惊人，而且将来可能还会变得更加严重，企业决不能再继续采用被动的网络安全策略。不管是现在还是将来，都必须采取提前的、主动的安全措施。要实现这个目标，最理想的方法就是将安全智能集成到网络基础设施的每个环节之中。记住，您的网络的安全性取决于网络中最薄弱的环节。

　　思科不仅开发和部署了自己的网络安全策略和实践经验，而且还开发了一套全面的园区安全解决方案。从提供威胁防御，确保信任关系和身份识别，到保护通信安全，思科可以满足企业目前的所有安全需求。