思科园区安全解决方案

　　随着计算机技术的不断进步，企业开始越来越依靠于计算机网络进行通信和数据存储。与此同时，网络攻击已经变成一种游戏，而病毒的传播速度和破坏程度超出了以往任何时候――你怎样确保你的网络可以在需要的时候正常工作？　

　　加强网络安全性的时机

　　过去，网络的设计目的是成为一个开放的公共设施。尽管人们对网络安全有所考虑，但它决不属于人们最关注的问题。在20 世纪90 年代之前，网络安全主要指得是物理安全。只要终端、网络服务器和大型机都位于一个保卫森严的建筑物中，网络就是安全的。

　　在20 世纪90 年代，越来越多的企业开始接入互联网。这些连接在网络中创造出了新的弱点。仅仅锁上建筑物的大门不再足以保护网络的安全。因此，企业开始部署新的网络安全技术和策略。

　　在外部，网络周边的安全通过防火墙和网络策略的使用而得到保护。这些设备和策略的设计目的是在保护网络内部的同时，支持越来越开放的访问权限，从而满足业务需求。但是随着蠕虫和病毒（例如Slammer、SoBig 和MSBlaster）的复杂程度的提高，这些策略已经无法有效地保护网络。

　　在内部，安全主要是基于用户ID/密码，并被集成到受保护的应用中。员工计算机（通常为台式机）在网络上被视为“可信任的”。但是现在，笔记本电脑开始迅速普及。这些便携式计算机的设计目
的是提高生产率，但是它们也带来了更高的安全风险。当员工往返于网络“内部”和“外部”之间时，他们可能会在无意中携带了威胁到网络安全的病毒和蠕虫。它们能够以类似于周边入侵的方式，破坏关键任务型业务应用的基础。另外，内部攻击也在不断增多。由心怀不满的和不诚实的员工发送的病毒和黑客攻击现在占到了企业所遭遇的网络安全威胁的一半以上。而且，无线网络的普及催生了很多由员工自行安装的、不安全的无线接入点。它们为潜在的攻击者敞开了大门。由于所有这些变化和进展，显然过去的网络安全模式已经不能满足当今网络的需求。

　　入侵者采取多种攻击形式

　　在互联网的早期发展阶段，发送网络攻击需要很高的知识和技术水平。因此，只有少数人具有这样的专业能力，攻击数量非常有限。但是现在，经验丰富的黑客大大增加，而且很多免费的、便于使用的（而且很先进）的黑客工具可以从互联网上获得。这些工具实际上利用了互联网所固有的工作方式。然而，即使是一个新手也可以轻松地学会这些工具的使用。这些因素大幅度增加了网络所面临的安全威胁。

　　一些较为危险的攻击类型包括：

　　中间人――一个未经授权的设备冒充某个合法网络设备（例如网关）的身份（MAC 或者IP地址）。所有发往该合法设备的流量都将经过未经授权的设备，从而让入侵者可以扫描分组中的有用信息，例如密码或者其他设备的地址。

　　拒绝服务（DoS）――一个驻留在某个在未经授权的情况下获得网络访问权限的设备上，或者某个被感染的合法设备上的程序。它会在网络上产生大量的流量，导致主要设备（例如网关）无法对合法请求做出响应。DoS 攻击还可能会专门针对网络服务器或者类似的设备。尽管这种攻击不会用大量的流量导致整个网络陷入瘫痪，但是它会造成特定设备不堪重负，从而无法正常使用。分布式拒绝服务（DDoS）攻击是一种更具破坏性的新型攻击。利用DDoS，攻击者可以同时从网络上的多个设备发送攻击。

　　基于MAC 的攻击――与“中间人”攻击一样，这种攻击的目的是获得对受保护流量的访问权限。一个程序或者脚本被用于导致交换机的地址表过载，从而阻止交换机获知后续的合法地址。这会导致交换机以广播的方式向所有端口发出流量，从而再次让黑客可以监听分组，扫描其中的有用信息。另外，由某些工具――例如“macof”工具――导致的MAC 泛洪攻击可能会产生DoS 效果。

　　业务中断会造成严重的损失

　　这些攻击所产生的后果并不只是带来不便。它们会导致网络陷于瘫痪，保密信息被窃，危及企业的盈利能力和业绩。今天的攻击的传播速度和造成的损失比过去任何时候都要高。在20 世纪80 年代和90 年代，网络管理员拥有几天甚至几周的时间来针对某种特定的攻击制定策略。从2000 年到2002 年，随着病毒和蠕虫的复杂程度的提高，响应时间缩短到了几个小时。而现在，网络管理员只有几秒钟的响应时间。例如，最近爆发的SQL Slammber 蠕虫所感染的主机每隔8.5 秒就会增加一倍。在三分钟之内，它可以每秒进行5500 万次扫描，在一分钟内导致一条1Gbps的链路陷于瘫痪。

　　如果一个数据中心的网络因为攻击中断了一个小时，会造成怎样的损失？根据Meta Group 的统计，数据中心应用中断一小时所导致的平均成本为33 万美元。根据Strategic Research Corporation 的统计，如果该数据中心隶属于某个信用卡授权公司，那么损失金额将高达260 万美元，如果隶属于一个经纪公司，则损失高达650 万美元。

　　另外，如果您的网络中的保密数据被窃取，新制定的隐私保护法律可能会对您处以严厉的惩罚。

　　例如，如果保密的电子医疗信息失窃，医疗保险携带和责任法案（HIPAA）规定对每起事件处以最高25 万美元的罚款和5 年的刑期。但是这不会发生在我身上您可能会这么想，但是统计数据表明这种观念是错误的。根据CSI/FBI 在2002 年对400 家公司进行的计算机犯罪的安全调查，超过90%的受访企业表示曾经遭受安全攻击。他们估计的总损失超过4.55 亿美元。单保密信息的失窃一项就导致了超过1.7 亿美元的损失。75%的受访企业将心怀不满的员工发动的内部攻击视为攻击的最主要来源。

　　目前的应对策略

　　显然，人们需要一种全新的、主动的网络安全模式。这种全面的模式应当采用特殊的设计，通过将外部入侵者拒之门外和保持内部员工的诚实性防范安全攻击。

　　它的目标包括：

　　防止外部黑客进入网络

　　只允许经过授权的用户进入网络

　　防止网络内部的用户发动有意的或者恶意的攻击

　　为不同类型的用户提供不同等级的访问权限

　　要真正发挥作用，安全策略必须以一种对用户透明，方便管理，而且不会中断业务的方式实现这些目标。

　　为了实现这些目标，解决方案需要提供：

　　 完全嵌入到网络基础设施中的、覆盖整个网络的安全性

　　 保护、防御和自愈能力

　　 控制“谁”可以访问网络和他们可以在网络上做“什么”

　　思科园区安全解决方案

　　思科园区安全解决方案是一组为了防止您的网络遭受潜在的破坏性攻击（来自内部和外部的有意或者无意的攻击）而设计的思科产品和功能套件。思科园区安全解决方案是一系列IP 网络和安全技术的组合。它有助于将该解决方案与IP 服务（例如路由、交换、数据、话音、视频、无线和存储）结合到一起。