您的位置: 网界网 > 周报全文 > 正文

[周报全文]渗透更安全

2005年04月11日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:渗透更安全

标签

    渗透更安全

    ○ 本报记者 于洋

    华为3Com推出的安全渗透网络解决方案,力求从主动防御等多个角度,打造一个安全的网络,而不仅仅是被动的网络安全。

    木桶盛水的多少一方面取决于最短木条的长度,另一方面取决于各个木条之间的紧密程度。木桶原理对于提升网络的安全性是很好的借鉴。可是,用户将各种安全产品简单地堆砌在一起,仍是目前非常普遍的现象。

    参加华为3Com的“安全渗透网络”(SPN)发布会,记者看到了华为3Com崭新亮相的全系列安全产品线,与现场工程师进行了产品性能、功能与应用场景等方面的交流。也听到了华为3Com产品经理们关于让安全渗透到每一个网络神经末梢的阐述。

    对于众多企业用户来说,华为3Com所提出的营造安全网络的思路,颇值得借鉴。

    端点准入防御改变了以往的用户层控制模式

    端点准入防御(EAD,Endpoint Admission Defense)是安全渗透网络在用户层的体现,即安全神经末梢渗透向用户端点的渗透。以前,人们常常不能及时地为各种软件打补丁或升级。而且,企业网的防御往往以信息点个体为单位,每个人装防病毒软件,自己进行杀毒和病毒库更新,提高了安全风险的同时也必然带来了管理的分散性,降低了管理员的效率。

    EAD不是这样,它的代名词是“主动”、“全局”和“自动集中部署”。它通过评估用户终端的安全状态,可以发现系统补丁、病毒库版本更新不及时或者已感染病毒的终端,并限制其只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。之后,在自动完成所有更新及修复后,EAD可基于用户的角色为其下发系统配置的安全策略。当然,这其中自然少不了策略服务器与交换机的联动。

    谈及联动,用户多少会有所担心。如何使安全策略服务器和交换机或某种杀毒软件发生联动呢?这对保护用户的现有投资相当关键。需要强调EAD是一个开放的方案。EAD与这些产品的交互都通过开放的、标准的协议来实现。目前EAD系统已经和多家主流防病毒厂商的产品实现了联动。

    EAD可以检查VPN用户的安全状态,可以做到像内网一样的控制。这体现着企业的外延安全性。

    一直以来,企业外出员工或是合作伙伴的远程接入,都是企业网一个巨大的安全隐患。EAD对VPN用户的安全检查可以说也是对目前安全威胁模型发生变化的一种适应,即那些通过密钥认证的用户往往有意无意地充当着企业网的攻击源。

    深度威胁抵御增强了应用层的安全

    大家已经意识到传统防火墙对付不了蠕虫、病毒和各种恶意程序对网络的攻击,对P2P大量吞噬企业网络带宽也无能为力。

    华为3Com推出了Quidway SecEngine系列入侵抵御系统,形成了“安全渗透网络”解决方案的一个重要组成部分。SecEngine入侵抵御系统就像“网络流量探照灯”一样,可以透明部署在网络基础设施上,根据安全策略中心的配置,通过深度报文解析,完成实时威胁抵御和流量整形,实现了对重要应用服务器、网络基础设施和网络性能的保护。

    华为3Com通过技术创新,实现了精确的攻击检测、高性能硬件加速和即插即用的透明部署方案, 让应用层安全渗透进基础网络。

    与市场上其他的内网安全产品相比,安全渗透网络的威胁抵御解决方案完全放弃了网段隔离的思路,相反,安全渗透网络的检测基本单位是“线”,即光纤或电缆是检测的基本对象,正可谓安全向细粒度的“渗透”。

    另外(+本站微信networkworldweixin),这些部署在基础设施的SecEngine产品可以通过统一的安全管理中心实时更新攻击签名和漏洞描述,实现“数字疫苗”的接种,给用户以实时的安全。

    实现端到端安全防护

    网络中安全策略的部署很难一劳永逸,也不可能实现一招致命之绝技,安全网络策略的部署与实现,需要一个渐进的过程,只有通过不断的向网络中渗透最新、最及时的安全元素,动态而又准确的生成高效的安全策略,才能够及时准确的对网络中的安全威胁和病毒感染进行快速反应,真正做到网络与安全要素的长期渗透和最终的融合。

    因此,华为3Com对安全渗透网络的定义是:通过融合设备安全联动、线路安全保护、网络安全防御、用户安全控制、数据及业务安全策略、智能安全管理等多个功能组件,实现安全技术和网络技术的逐步渗透和互相融合,向用户提供全方位、立体化的端到端的安全防护和安全服务。

    相应的,除了前面提到的EAD解决方案和威胁抵御解决方案外,华为3Com还增强了传统路由交换设备的安全特征,推出了可以集成在交换机上的SecBlade安全业务卡,实现了SecEngine D系列入侵检测系统和路由器、交换机、防火墙等传统网络设备的联动技术等等。这些都是华为3Com对安全向网络渗透的承诺的具体实现。

    当然,“安全渗透网络”并不是大企业用户的专利。EAD及深度检测对于中、低端用户来说部署起来一样方便,它们都支持一站式部署,无须购置多台服务器进行管理。

    而且,不管是新建网络还是在已有网络基础上进行安全升级,“安全渗透网络”都给出了相应的解决方案。

    “安全渗透网络”还包含其他更多的内容,据了解,华为3Com更愿意将“安全渗透网络”发展为一个大舞台,通过这个开放的平台,与众多防病毒等安全厂商合作,将各类强大的安全产品有机的捏合在一起,为用户建造安全无所不在的网络。


华为3Com Quidway SecEngine系列入侵检测/抵御系统
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]