圖示SAFE設(shè)計(jì)準(zhǔn)則:安全不是堆砌

思科公司制定的面向企業(yè)網(wǎng)絡(luò)的安全藍(lán)圖(SAFE)的主要目標(biāo)是，為用戶提供有關(guān)設(shè)計(jì)和實(shí)施安全網(wǎng)絡(luò)的最佳實(shí)踐信息。SAFE可作為正考慮其網(wǎng)絡(luò)安全性要求的網(wǎng)絡(luò)設(shè)計(jì)人員的指南。SAFE在網(wǎng)絡(luò)安全設(shè)計(jì)方面采用了深入防御的方式。這類設(shè)計(jì)的重點(diǎn)在于所預(yù)測(cè)出的威脅及減輕威脅的方法，而不是單純地“將防火墻放在這兒，將入侵檢測(cè)系統(tǒng)放在那兒”等。該策略帶來(lái)了一種安全分層方式，這樣，一個(gè)安全系統(tǒng)的故障就不大可能引發(fā)對(duì)整個(gè)網(wǎng)絡(luò)資源的損壞。SAFE以思科及其合作伙伴的產(chǎn)品為基礎(chǔ)。

設(shè)計(jì)原則

SAFE最大限度地模擬了當(dāng)今企業(yè)網(wǎng)絡(luò)的功能需求。實(shí)施決策取決于所需的網(wǎng)絡(luò)功能。而以下按重要順序列出的設(shè)計(jì)目標(biāo)則是決策制訂過(guò)程的指導(dǎo)準(zhǔn)則：

1 安全性和基于政策的攻擊緩解

2 整個(gè)基礎(chǔ)設(shè)施的安全實(shí)施（而非僅為具體安全設(shè)備）

3 安全性管理和報(bào)告

4 對(duì)關(guān)鍵網(wǎng)絡(luò)資源的用戶和管理員驗(yàn)證與授權(quán)

5 針對(duì)關(guān)鍵資源和子網(wǎng)的入侵檢測(cè)

6 對(duì)新興聯(lián)網(wǎng)應(yīng)用的支持

7 模塊概念

盡管大多數(shù)企業(yè)網(wǎng)絡(luò)隨企業(yè)不斷提高的IT要求而發(fā)展，SAFE體系結(jié)構(gòu)使用了環(huán)保型的模塊化方式。模塊化方式有兩種主要優(yōu)勢(shì)。首先，它允許體系結(jié)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)各功能塊間的安全關(guān)系，其次，它讓設(shè)計(jì)者可逐個(gè)模塊地評(píng)估和實(shí)施安全性，而非試圖在一個(gè)階段就完成整個(gè)體系結(jié)構(gòu)。

圖1 SAFE第一層模塊

圖1為SAFE的第一層模塊。每塊代表一個(gè)功能區(qū)域。互聯(lián)網(wǎng)接入服務(wù)供應(yīng)商（ISP）模塊不由企業(yè)實(shí)施，而是用于提供ISP為緩解某些攻擊而可能需要的特定安全功能。

第二層模塊如圖2所示，對(duì)每個(gè)功能區(qū)中的模塊進(jìn)行了展示，這些模塊在網(wǎng)絡(luò)中扮演特定角色，有特定的安全需求，但圖中模塊規(guī)模并不代表其在實(shí)際網(wǎng)絡(luò)中的大小。例如，代表最終用戶設(shè)備的構(gòu)建模塊可能包括80％的網(wǎng)絡(luò)設(shè)備。每個(gè)模塊的安全設(shè)計(jì)單獨(dú)描述，但作為整個(gè)企業(yè)設(shè)計(jì)的一部分加以驗(yàn)證。

圖2 企業(yè)SAFE分塊構(gòu)成圖

SAFE準(zhǔn)則

路由器目標(biāo)

路由器控制網(wǎng)絡(luò)間接入。它們向網(wǎng)絡(luò)廣播信息并過(guò)濾可以使用它們的人，它們是黑客潛在的最好朋友。路由器安全性是安全部署中的關(guān)鍵元素�？蓞⒖计渌�有關(guān)路由器安全性的文件。這些文件提供了有關(guān)下列方面的更多細(xì)節(jié)：

遠(yuǎn)程通信網(wǎng)到路由器的接入; 簡(jiǎn)單網(wǎng)絡(luò)

[1] [2] [3]