网络行业正处于一个关键的十字路口。它可以继续开发各种专用的产品，也可以选择建立统一的网络系统，帮助机构提高生产率、降低成本和增强竞争优势。在思科系统公司，我们认为，要想给我们的客户带来最大的便利，就必须建立集成化的网络，其中每个组件都与通信基础设施中的其他部分紧密集成和密切配合。今天，我们正在为建立这样的系统搭建平台，即我们所称的智能信息网络。

在现代网络技术中，没有任何一个领域对这种系统化架构的需求比安全更为迫切。目前，安全已经不再只是一个可有可无的网络功能。仅仅在两年之前，系统管理员还可以用几个小时甚至几天的时间来应对某个新出现的网络安全威胁。而现在，他们必须在几分钟甚至几秒钟之内采取对策。不幸的是，我们已经听说了很多起非法蠕虫和病毒迅速、广泛地传播到全世界的消息。

Slammer 病毒在 10 分钟之内就传遍全球；
红色代码病毒在 24 小时内感染了 35.9 万台主机；
Blaster 在 4 个小时内破坏了 12.7945 万台计算机；
Sasser 在 48 小时内攻击了多达 130 万台 PC
（数据来源： CAIDA ， CERT ， SANS 研究所）。

这样的恶意软件程序采用了独特的设计，可以利用网络环境的漏洞，并且可能会造成广泛的影响和严重的损失。每年全球各地的企业要花费数十亿美元防范病毒和蠕虫，以及修复它们所造成的破坏。以前，网络管理人员必须依靠补丁程序和独立的产品加强他们的安全防护。但是，这些方式显然不能帮助他们有效地应对今天这些具有极高技术性和破坏性的网络威胁。

图 1 不断发展的网络安全

为了满足人们对于更加健全的安全功能的要求，思科正在开发一个集成化的、覆盖整个系统的网络防御机制。与基于独立产品的传统安全功能相比，这种新的防御机制的效率和价值都大为提高。思科自防御网络是一个集成化的、多层次的保护系统，它为加强网络安全提供了一种全面的途径。思科认为，它为防止网络及其应用和数据遭受现有和未来的威胁提供了迄今为止最有效的保护方式。通过覆盖整个网络的系统安全，自防御网络可以帮助机构和个人利用基于互联网协议（ IP ）的通信，充分发挥他们在提高生产率和降低运营成本方面的潜力。

毋庸置疑，网络安全现在变得比以往任何时候都更加重要。融合的数据、话音和视频通信对于企业和个人具有非常关键的意义，而一个安全网络的边界正在变得越来越模糊。形形色色的网络客户端、移动设备和 IP 话音电话的出现要求人们加强网络终端和网络安全之间的联系。如今的网络所包含的信息涉及到了商业和生活的方方面面，包括最敏感的数据 ?D?D 例如医疗文件和财务记录。这样的网络不再只是一项附属业务，而是已经成为执行几乎所有的业务职能（包括话音和视频通信）的关键手段。

今天，网络与业务已经密不可分

传统安全机制的缺陷

传统的信息安全机制主要是基于独立的产品、 接连不断的操作系统补丁和定期的防病毒软件更新等 , 这样的信息安全机制已经无法有效地满足当前的网络安全要求。这些方式的缺陷在于它们只能保护网络的某一个部分，然而新的攻击方式可以轻松地绕过这些部分。而且，每种产品都需要自己的接口和策略，因此绝大多数这样的产品都不能互相通信。最后，现有的网络安全防御机制依赖于人为的控制和干预。事实证明，这种方式的速度太慢，无法及时地应对最新的蠕虫和病毒。

由于这些限制，传统的网络防御机制导致企业在网络管理方面投入的开支几乎相当于 -- 甚至高于 -- 网络攻击所造成的损失。网络管理人员现在必须更快地部署大量的防病毒软件更新、操作系统补丁和应用补丁。这往往会使得很多 IT 人员不得不将时间用于这些安全保护工作，以至于一些重要的项目被推迟。通常，企业必须针对新出现的病毒开展计划外的 “ 消灭 ” 行动，从而导致 IT 部门不得不使用被动、中断式的安全措施。

很多传统的网络安全机制都受到了它们的网络安全理念的限制。有些采用的是 “ 堡垒 ” 模式，即通过防火墙和其他技术将除经过授权的员工以外的任何访问者都挡在网络之外。但是，这种方式目前受到了一些新的业务需求的挑战 , 网络系统需要随时随地为不同类型的用户（包括员工、供应商、承包商和来宾）提供访问权限。另外，内部威胁仍然是机构面临的一个重要的危险因素。其他一些机制则没有在网络安全结构中包含个人计算机、服务器和其他 “ 终端 ” ，因而忽略了阻止蠕虫、病毒扩散的关键控制点。

基于网络智能的多层次安全

幸运的是，可以有效防止数字信息和通信基础设施遭受现有安全威胁的核心技术实际上已经面世。网络路由器和交换机可以直接了解网络状况和网络活动，因为它们能够监管和控制所有数据和 IP 通信的传输。通过集成专门的安全技术和服务（例如终端监控软件），这些核心网络组件将会协调一致地提供独一无二的安全功能。

图 2 思科自防御网络的发展历程

思科目前正在利用智能信息网络的基础设施，建设一个层次化、集成化的保护体系，从而弥补传统安全机制的不足。与独立的产品相比，自防御网络是一种能够利用普遍的网络监测和控制功能的防御系统，每个部分都可以与其他部分互相通信，从而加强整个基础设施的安全。这种集成化网络创建了一个协调、统一、主动的管理环境，让用户可以及时地发现、削弱和制止安全威胁。通过采用这种网络安全机制，用户可以获得一种统一的威胁防御功能，从而以计算机速度响应安全警报、缩短漏洞存在时间和减轻管理负担。

思科设计自防御网络的理念类似于我们的身体保护我们免受传染病和其他疾病侵扰的方式。与人体的皮肤和组织层一样，自防御网络拥有多个保护 ?D?DVPN 、防火墙、入侵监测和异常控制等。通过结合先进的可视化功能、深入的数据包分析与处理和与终端系统的行为连接，自防御网络能够有效地发现和控制存在安全威胁的网络组件。但是，与人体一样，网络并不能完全阻止所有不利事物进入。人们需要吃饭、喝水和呼吸，而网络则需要处理和提供来自于多个外部来源的信息。因此，思科所设计的自防御网络能够在遭受恶意实体入侵时仍然正常地 ?D?D 或者接近正常地 ?D?D 行使职能，就如同人体在感染传染病或者其他疾病时仍然可以保持正常机能一样。

终端身份与网络信任的联系

更加重要的是，思科所设计的自防御网络可以适应智能信息网络的安全需求，以及桌面、主机和应用的发展变化。为了支持智能信息网络的第一个发展阶段，自防御网络可以利用用户和设备访问控制、更加智能的防火墙、入侵防范工具来加强网络边缘的安全性，并且利用主动的、基于行为的安全软件提供终端保护。通过以 IP 作为网络核心，思科还在利用先进的虚拟专用网技术，进一步拓展这种保护结构，从而更加有效地将远程和移动用户置于自防御网络的保护伞之下。所有这些工具都与集中的管理系统相结合，以实现协调一致的响应和同步的策略。

图 3 多层次安全

在思科开发自防御网络的过程中，最重要的思科安全创新是安全 IP 网络和终端之间的、基于网络准入控制（ NAC ）的联系。 NAC 在业界率先为多个企业在网络安全方面的合作提供了一个重要的标准。思科在开发 NAC 的初期与很多领先的防病毒软件制造商进行了合作，其中包括 Network Associates 、 Symantec 和 Trend Micro 。 IBM 和微软此后也宣布支持 NAC ，并与思科开展了密切的合作。 NAC 让网络可以根据某个指定终端是否符合安全策略而控制它的访问权限。 NAC 可以评估某个请求访问网络的笔记本电脑、台式机或者服务器是否安装了最新的防病毒软件和操作系统补丁。 NAC 还可以利用思科路由器和交换机限制任何不符合安全策略的设备的访问权限。

在未来一到三年中，智能信息网络将进入第二个发展阶段。届时它将开始提供更加灵活的资源利用率，尤其是在数据中心内。不断发展的网络安全系统将可以自动地对安全威胁做出响应。思科将致力于通过汇总来自于不同监测技术的信息，来更快地制止新的攻击，并将安全系统集成到动态策略控制系统中。要做到这一点，关键在于能够及时地发现、定位和隔离受到感染的系统，然后协调多个系统清除该网络中的有害流量。这可以防止病毒在系统环境中的其他部分或者其他相联网络中的传播。

思科自防御网络将与安全供应商的产品合作，充分利用不同的网络组件 ?D?D 例如电子邮件服务器、防病毒网关甚至其他台式机 ?D?D 的病毒和行为检测能力。在自防御网络系统中，这些设备可以 “ 揭示 ” 其他行为异常的网络组件 ?D?D 这些行为往往意味着它们被某个恶意程序或者黑客所控制。由路由器和交换机所构成的系统随后会被用于隔离任何受到感染的设备和未受保护的系统，同时网络管理人员可以借此机会升级他们的安全保护机制。

图 4 思科网络准入控制：第一个基于信任和身份的安全解决方案

思科安全的未来

在未来三到五年内，人们对于网络安全的需求将会随着网络复杂性的不断提高而迅速增长。在第三个发展阶段，智能信息网络将开始提供虚拟化的应用和服务，从而让用户可以随时随地，以他们所希望的方式使用他们所需要的应用和信息。但是应用的自由交流也为更多的网络滥用行为提供了机会。随着应用和资源穿越多个网络的频率的日益提高，很多恶意代码也可以沿着这样的路径传播。为了避免这种的攻击，自防御网络将需要对流量进行更加详细的检查，甚至分析应用和消息级别的信息，以确定应用的 “ 目的 ” ，从而更加可靠、更加迅速地发现网络滥用或者安全威胁。尽管这在技术上颇具挑战性，但是这样的功能将可以提供动态的、端到端的应用和内容级安全。进行这种详细检查的同时，未来的自防御网络还需要一个对所有应用保持透明、可以独立实施、基于策略的安全框架。

为了实现这些更加详细的安全流程，思科计划在路由器和交换机的转发路径 ( forwarding paths) 中加入更多的安全功能。就像思科在提高分组处理性能方面处于业界领先地位一样，我们希望在高效能安全网络方面赢得领先。自防御网络的第三个发展阶段还需要更加先进的 ASIC 和处理器，以便进行详细的数据分组包检查和应用级的控制。同时，今天的很多基于软件的工具都将会转移到硬件处理器中成为标准功能，从而进一步降低安全功能对于网络性能的影响。

在所有这些发展阶段中，思科都将与其他供应商进行密切的合作，以加强自防御网络的保护功能。要建立起一个这样的安全机制，关键并不在于让所有组件都来自于同一个系统，而是让所有组件都使用行业标准，在彼此之间进行有效的通信，从而实现协调一致的防御功能。这种紧密的行业合作将会极大地推动安全技术的发展，例如为应用和设备使用通用的数字身份认证。

显然，企业和网络管理人员都需要一种安全机制取代基于独立产品的传统安全机制。思科认为，自防御网络是他们的理想选择。无论技术如何发展，自防御网络的目标都很一致：通过加强网络的安全性而提高通信效率。更高的通信效率意味着更高的业务效率。思科自防御网络的自动保护功能不仅可以提高安全性，还可以降低安全成本，因为它可以消除很多目前对 IT 部门造成不利影响的、繁琐的手动流程。

图 5 思科自防御网络的结构框架

通过加强网络的安全性，机构和个人可以放心地获得 IP 通信所带来的日益增多的优势。利用更高的安全性，网络用户可以更加迅速、轻松地访问应用和服务。这样的自由有助于提高生产率，建立更加紧密的客户和合作伙伴关系。最终，更高的安全性有助于保护最重要的资产：业务的稳定运行。