思科微軟正在網(wǎng)絡(luò)安全架構(gòu)上發(fā)生碰撞，用戶(hù)被夾在了中間。



微軟和思科各自都提出了自己的“端對(duì)端”(end to end)的安全架構(gòu)。所謂安
全架構(gòu)不僅僅是處理諸如病毒掃描這樣的事情，同時(shí)也涵蓋對(duì)不符合安全協(xié)議的電腦拒絕進(jìn)
行網(wǎng)絡(luò)連接等工作。但目前為止，這兩家公司的網(wǎng)絡(luò)安全架構(gòu)標(biāo)準(zhǔn)并不兼容，這意味著，用
戶(hù)需要在這兩家公司的技術(shù)之間做出選擇。



這種選擇是艱難的，因?yàn)椋瑑杉夜径既娼y(tǒng)領(lǐng)著他們各種的市場(chǎng)，微軟在臺(tái)
式機(jī)操作系統(tǒng)領(lǐng)域稱(chēng)霸一方，而思科則在企業(yè)網(wǎng)絡(luò)路由器市場(chǎng)占領(lǐng)了70%以上的份額。



微軟和思科雖然已經(jīng)表示，他們正在合作，以確保彼此的網(wǎng)絡(luò)安全架構(gòu)標(biāo)準(zhǔn)可
以實(shí)現(xiàn)兼容，但到目前為止，我們還很難知道這種合作的進(jìn)展情況，以及最后的結(jié)果是什
么。



微軟Windows服務(wù)器部門(mén)的主任Steve Anderson說(shuō)：“我們也相當(dāng)清楚，和思
科的標(biāo)準(zhǔn)進(jìn)行兼容有多么的重要。但我們都是大公司，兼容需要花費(fèi)相當(dāng)多的時(shí)間。比爾蓋
茨和約翰錢(qián)伯斯已經(jīng)就此進(jìn)行過(guò)磋商。我們希望在今年秋天的某個(gè)時(shí)候宣布我們第一步的處
理方案?！?br />


這種合作決定對(duì)用戶(hù)來(lái)講斯至關(guān)重要的，因?yàn)樗麄儼踩矫娴念A(yù)算已經(jīng)捉襟見(jiàn)
肘了，如果又要經(jīng)歷這種不兼容架構(gòu)的考驗(yàn)，情況將相當(dāng)嚴(yán)重。在兩家公司的標(biāo)準(zhǔn)當(dāng)中，尤
其以“遠(yuǎn)程身份驗(yàn)證撥入用戶(hù)服務(wù)”(Radius)的沖突最為嚴(yán)重，微軟和思科都使用了各自的
Radius標(biāo)準(zhǔn)。



在思科這邊，用戶(hù)必須要使用“思科訪(fǎng)問(wèn)控制服務(wù)器”(Cisco Access
Control Server)，而微軟這頭，用戶(hù)也不得不使用“微軟Windows互聯(lián)網(wǎng)驗(yàn)證服務(wù)”
(IAS)。



目前，這兩種Radius標(biāo)準(zhǔn)無(wú)法實(shí)現(xiàn)兼容互通。這意味著使用思科網(wǎng)絡(luò)設(shè)備，微
軟操作系統(tǒng)的用戶(hù)將不得不安裝兩套R(shí)adius管理器。安全專(zhuān)家對(duì)這兩種Radius兼容到底對(duì)安
全有多大幫助也表示懷疑。



Sygate市場(chǎng)部的副總裁Bill Scull說(shuō)：“兩家公司的標(biāo)準(zhǔn)完全不同，我不知道
它們?nèi)绾芜M(jìn)行互通?！?br />


網(wǎng)絡(luò)安全目前面臨來(lái)自各方面的安全威脅。惡性病毒以及蠕蟲(chóng)攻擊越來(lái)越厲
害，象 Sobig和MyDoom 這些病毒等等，它們對(duì)網(wǎng)絡(luò)造成的損害越來(lái)越嚴(yán)重。企業(yè)正在尋找
結(jié)合了傳統(tǒng)的病毒掃描以及能夠?qū)⒐粽咦钃踉陂T(mén)戶(hù)以外的網(wǎng)絡(luò)安全協(xié)議保障方案。



網(wǎng)絡(luò)公司，安全公司以及軟件公司三方正在合力開(kāi)發(fā)更多的“先發(fā)制人式的方
案”。思科與微軟已經(jīng)走到了這一趨勢(shì)的前列，他們的合作計(jì)劃的成功與否將對(duì)應(yīng)對(duì)攻擊的
反擊戰(zhàn)發(fā)揮至關(guān)重要的作用。



去年年底，思科公布了它的“網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方案”(NAC)，今年6月，思科宣
布，他們已經(jīng)完成NAC 架構(gòu)的第一階段部署工作，NAC軟件已經(jīng)進(jìn)入了IP路由器當(dāng)中。而網(wǎng)
關(guān)的部署工作將在2005量年初開(kāi)始。 7月，微軟宣布了它的“網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)方案”(NAP)，
微軟計(jì)劃到2005年開(kāi)始實(shí)施這一方案。



這兩種方案背后的架構(gòu)概念都非常的類(lèi)似。在一個(gè)用戶(hù)登陸到一個(gè)網(wǎng)絡(luò)之前，
他的計(jì)算機(jī)必須先連接進(jìn)入一臺(tái)第三方的機(jī)器當(dāng)中，這臺(tái)機(jī)器由網(wǎng)絡(luò)管理員所掌控，以確保
用戶(hù)的電腦滿(mǎn)足安全規(guī)范的要求。如果用戶(hù)的電腦符合規(guī)范要求，他就能夠進(jìn)入網(wǎng)絡(luò)，反
之，用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)就要受到限制，他只能接入虛擬專(zhuān)用網(wǎng)，在這里，他可以對(duì)自己的電腦
進(jìn)行安全設(shè)置，直至滿(mǎn)足網(wǎng)絡(luò)安全規(guī)范提出的標(biāo)準(zhǔn)。



差異



盡管兩種方案的總體思路有接近的地方，但它們解決問(wèn)題的途徑卻各不相同。
NAC方案，思科試圖全面的解決相關(guān)的問(wèn)題，也就是端對(duì)端的解決。通過(guò)與三大病毒防治廠(chǎng)
商，McAfee,，Symantec，Trend Micro的合作以及自己收購(gòu)的Okena技術(shù)，思科已經(jīng)開(kāi)發(fā)出
了自己的安全處理機(jī)制。思科將這些病毒防治廠(chǎng)商的產(chǎn)品稱(chēng)為“ 受信賴(lài)廠(chǎng)商產(chǎn)品”，這些
產(chǎn)品將和思科的其他產(chǎn)品，比如以太網(wǎng)網(wǎng)關(guān)交換機(jī)，IP路由器以及防火墻等產(chǎn)品一同部署。
中央政策服務(wù)器將溝通各個(gè)產(chǎn)品，以確保終端用戶(hù)在接入網(wǎng)絡(luò)之前能夠升級(jí)自己的電腦，滿(mǎn)
足安全規(guī)范。



思科安全網(wǎng)絡(luò)部門(mén)的首席技術(shù)官Bob Gleichauf說(shuō)：“我們認(rèn)為，從端對(duì)端的
層面上提出一個(gè)全面的方案相當(dāng)重要?！?br />


相反，微軟則將其N(xiāo)AP架構(gòu)的重點(diǎn)放在了“核心部件”：也就是主機(jī)和服務(wù)器
軟件上。微軟計(jì)劃將安全軟件整合進(jìn)入操作系統(tǒng)當(dāng)中，因此，今后每臺(tái)安裝了 Windows XP
和 Windows Server 2003的臺(tái)式機(jī)，服務(wù)器都將滿(mǎn)足NAP規(guī)范。微軟目前的架構(gòu)還沒(méi)有包含
網(wǎng)絡(luò)元素，但它已經(jīng)在和一系列的網(wǎng)絡(luò)設(shè)備廠(chǎng)商進(jìn)行合作，以確保NAP規(guī)范進(jìn)入網(wǎng)絡(luò)設(shè)備當(dāng)
中。但思科還沒(méi)有就NAP和微軟達(dá)成一致，另外幾家網(wǎng)絡(luò)設(shè)備廠(chǎng)商已經(jīng)在和微軟進(jìn)行合作，
象Juniper網(wǎng)絡(luò)，Enterasys和Extreme網(wǎng)絡(luò)。



開(kāi)放標(biāo)準(zhǔn)是關(guān)鍵



到最后，可能只有用戶(hù)才能推動(dòng)兩家公司進(jìn)行合作，因?yàn)椋④浐退伎茖?duì)在銷(xiāo)
售他們自己的安全產(chǎn)品以及Radius服務(wù)器方面都已經(jīng)有各自的即得利益。“可信賴(lài)計(jì)算聯(lián)
盟”組織正在致力于一種開(kāi)放標(biāo)準(zhǔn)的制定工作，使用這種標(biāo)準(zhǔn)，用戶(hù)可以使用Radius服務(wù)
器，安全軟件以及網(wǎng)絡(luò)設(shè)備，而不必考慮廠(chǎng)商的差異。今年6月，可信賴(lài)計(jì)算聯(lián)盟宣布了自
己的計(jì)劃，包括McAfee，英特爾，Sygate，Juniper網(wǎng)絡(luò)，惠普， Sun在內(nèi)的廠(chǎng)商都已經(jīng)加
入了這一組織。微軟也是可信賴(lài)計(jì)算聯(lián)盟的成員，但思科沒(méi)有參加這一組織。



可信賴(lài)計(jì)算聯(lián)盟的支持者們抱怨說(shuō)，盡管思科與微軟已經(jīng)表示將進(jìn)行合作，但
他們似乎更愿意各自為政。



Scull說(shuō)：“很顯然，微軟和思科都愿意自己的架構(gòu)占主導(dǎo)地位。堅(jiān)持自己的
方案就意味著能夠保證用戶(hù)繼續(xù)購(gòu)買(mǎi)他們的產(chǎn)品。”



比如，思科6月宣布它將擴(kuò)展和殺毒軟件廠(chǎng)商的合作關(guān)系，但它卻沒(méi)有說(shuō)要公
開(kāi)自己的NAC架構(gòu)標(biāo)準(zhǔn)給其它網(wǎng)絡(luò)設(shè)備廠(chǎng)商。微軟這邊，即使它所創(chuàng)建的平臺(tái)有超過(guò)30家的[!--empirenews.page--]
廠(chǎng)商支持，但它的NAP架構(gòu)只能夠在純微軟軟件環(huán)境中才能運(yùn)轉(zhuǎn)，這其中包括客戶(hù)端軟件以
及服務(wù)器軟件。



Scull說(shuō)：“臺(tái)式機(jī)市場(chǎng)，微軟的Windows無(wú)疑已經(jīng)占領(lǐng)了絕大部分份額，但
Windows 2003服務(wù)器軟件的普及卻并不廣，我以為，微軟正在有意找出機(jī)會(huì)讓用戶(hù)來(lái)使用
Windows 2003?！?br />


思科的Gleichauf則否認(rèn)了有意各自為政的說(shuō)法。



他說(shuō)：“我們正在盡可能快的部署這一架構(gòu)，這樣，用戶(hù)就可以盡快獲得它帶
來(lái)的好處，我們?nèi)ツ?1月宣布了NAC計(jì)劃，第一批相關(guān)產(chǎn)品于今年6月上市。要和其他廠(chǎng)商的
標(biāo)準(zhǔn)進(jìn)行接軌，需要一定的時(shí)間。一旦時(shí)機(jī)成熟，我們會(huì)開(kāi)放NAC的?！?br />


Gleichauf認(rèn)為，在對(duì)接其他廠(chǎng)商的標(biāo)準(zhǔn)之前，將自己的技術(shù)進(jìn)一步完善顯得
相當(dāng)?shù)闹匾Ｈ绻麉⑴c的廠(chǎng)商越多，一旦產(chǎn)品出現(xiàn)問(wèn)題，用戶(hù)麻煩就越多。



微軟的Anderson也反復(fù)表示他們將開(kāi)放自己的標(biāo)準(zhǔn)。



他說(shuō)：“我們知道，廠(chǎng)商在這個(gè)市場(chǎng)中將選擇最好的標(biāo)準(zhǔn)，我們希望他們選擇
微軟的，但如果他們不選擇我們的標(biāo)準(zhǔn)，我們想和其他的架構(gòu)標(biāo)準(zhǔn)進(jìn)行合作?！?br />


他認(rèn)為，兩種標(biāo)準(zhǔn)的互通需要時(shí)日。



他說(shuō)：“每個(gè)廠(chǎng)商都在和病毒防治公司進(jìn)行合作，這是目前最簡(jiǎn)單的方法。其
他方面的合作，比如同網(wǎng)絡(luò)設(shè)備商的合作今后將陸續(xù)展開(kāi)。這方面的構(gòu)架相當(dāng)?shù)膹?fù)雜，無(wú)人
能夠在一夜之間就讓所有問(wèn)題得到解決。”





摘自 ZDNet China