思科微軟正在網(wǎng)絡(luò)安全架構(gòu)上發(fā)生碰撞，用戶被夾在了中間。



微軟和思科各自都提出了自己的“端對(duì)端”(end to end)的安全架構(gòu)。所謂安
全架構(gòu)不僅僅是處理諸如病毒掃描這樣的事情，同時(shí)也涵蓋對(duì)不符合安全協(xié)議的電腦拒絕進(jìn)
行網(wǎng)絡(luò)連接等工作。但目前為止，這兩家公司的網(wǎng)絡(luò)安全架構(gòu)標(biāo)準(zhǔn)并不兼容，這意味著，用
戶需要在這兩家公司的技術(shù)之間做出選擇。



這種選擇是艱難的，因?yàn)?，兩家公司都全面統(tǒng)領(lǐng)著他們各種的市場(chǎng)，微軟在臺(tái)
式機(jī)操作系統(tǒng)領(lǐng)域稱霸一方，而思科則在企業(yè)網(wǎng)絡(luò)路由器市場(chǎng)占領(lǐng)了70%以上的份額。



微軟和思科雖然已經(jīng)表示，他們正在合作，以確保彼此的網(wǎng)絡(luò)安全架構(gòu)標(biāo)準(zhǔn)可
以實(shí)現(xiàn)兼容，但到目前為止，我們還很難知道這種合作的進(jìn)展情況，以及最后的結(jié)果是什
么。



微軟Windows服務(wù)器部門的主任Steve Anderson說：“我們也相當(dāng)清楚，和思
科的標(biāo)準(zhǔn)進(jìn)行兼容有多么的重要。但我們都是大公司，兼容需要花費(fèi)相當(dāng)多的時(shí)間。比爾蓋
茨和約翰錢伯斯已經(jīng)就此進(jìn)行過磋商。我們希望在今年秋天的某個(gè)時(shí)候宣布我們第一步的處
理方案?！?br />


這種合作決定對(duì)用戶來講斯至關(guān)重要的，因?yàn)樗麄儼踩矫娴念A(yù)算已經(jīng)捉襟見
肘了，如果又要經(jīng)歷這種不兼容架構(gòu)的考驗(yàn)，情況將相當(dāng)嚴(yán)重。在兩家公司的標(biāo)準(zhǔn)當(dāng)中，尤
其以“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)”(Radius)的沖突最為嚴(yán)重，微軟和思科都使用了各自的
Radius標(biāo)準(zhǔn)。



在思科這邊，用戶必須要使用“思科訪問控制服務(wù)器”(Cisco Access
Control Server)，而微軟這頭，用戶也不得不使用“微軟Windows互聯(lián)網(wǎng)驗(yàn)證服務(wù)”
(IAS)。



目前，這兩種Radius標(biāo)準(zhǔn)無法實(shí)現(xiàn)兼容互通。這意味著使用思科網(wǎng)絡(luò)設(shè)備，微
軟操作系統(tǒng)的用戶將不得不安裝兩套R(shí)adius管理器。安全專家對(duì)這兩種Radius兼容到底對(duì)安
全有多大幫助也表示懷疑。



Sygate市場(chǎng)部的副總裁Bill Scull說：“兩家公司的標(biāo)準(zhǔn)完全不同，我不知道
它們?nèi)绾芜M(jìn)行互通。”



網(wǎng)絡(luò)安全目前面臨來自各方面的安全威脅。惡性病毒以及蠕蟲攻擊越來越厲
害，象 Sobig和MyDoom 這些病毒等等，它們對(duì)網(wǎng)絡(luò)造成的損害越來越嚴(yán)重。企業(yè)正在尋找
結(jié)合了傳統(tǒng)的病毒掃描以及能夠?qū)⒐粽咦钃踉陂T戶以外的網(wǎng)絡(luò)安全協(xié)議保障方案。



網(wǎng)絡(luò)公司，安全公司以及軟件公司三方正在合力開發(fā)更多的“先發(fā)制人式的方
案”。思科與微軟已經(jīng)走到了這一趨勢(shì)的前列，他們的合作計(jì)劃的成功與否將對(duì)應(yīng)對(duì)攻擊的
反擊戰(zhàn)發(fā)揮至關(guān)重要的作用。



去年年底，思科公布了它的“網(wǎng)絡(luò)訪問控制方案”(NAC)，今年6月，思科宣
布，他們已經(jīng)完成NAC 架構(gòu)的第一階段部署工作，NAC軟件已經(jīng)進(jìn)入了IP路由器當(dāng)中。而網(wǎng)
關(guān)的部署工作將在2005量年初開始。 7月，微軟宣布了它的“網(wǎng)絡(luò)訪問保護(hù)方案”(NAP)，
微軟計(jì)劃到2005年開始實(shí)施這一方案。



這兩種方案背后的架構(gòu)概念都非常的類似。在一個(gè)用戶登陸到一個(gè)網(wǎng)絡(luò)之前，
他的計(jì)算機(jī)必須先連接進(jìn)入一臺(tái)第三方的機(jī)器當(dāng)中，這臺(tái)機(jī)器由網(wǎng)絡(luò)管理員所掌控，以確保
用戶的電腦滿足安全規(guī)范的要求。如果用戶的電腦符合規(guī)范要求，他就能夠進(jìn)入網(wǎng)絡(luò)，反
之，用戶的網(wǎng)絡(luò)訪問就要受到限制，他只能接入虛擬專用網(wǎng)，在這里，他可以對(duì)自己的電腦
進(jìn)行安全設(shè)置，直至滿足網(wǎng)絡(luò)安全規(guī)范提出的標(biāo)準(zhǔn)。



差異



盡管兩種方案的總體思路有接近的地方，但它們解決問題的途徑卻各不相同。
NAC方案，思科試圖全面的解決相關(guān)的問題，也就是端對(duì)端的解決。通過與三大病毒防治廠
商，McAfee,，Symantec，Trend Micro的合作以及自己收購的Okena技術(shù)，思科已經(jīng)開發(fā)出
了自己的安全處理機(jī)制。思科將這些病毒防治廠商的產(chǎn)品稱為“ 受信賴廠商產(chǎn)品”，這些
產(chǎn)品將和思科的其他產(chǎn)品，比如以太網(wǎng)網(wǎng)關(guān)交換機(jī)，IP路由器以及防火墻等產(chǎn)品一同部署。
中央政策服務(wù)器將溝通各個(gè)產(chǎn)品，以確保終端用戶在接入網(wǎng)絡(luò)之前能夠升級(jí)自己的電腦，滿
足安全規(guī)范。



思科安全網(wǎng)絡(luò)部門的首席技術(shù)官Bob Gleichauf說：“我們認(rèn)為，從端對(duì)端的
層面上提出一個(gè)全面的方案相當(dāng)重要。”



相反，微軟則將其NAP架構(gòu)的重點(diǎn)放在了“核心部件”：也就是主機(jī)和服務(wù)器
軟件上。微軟計(jì)劃將安全軟件整合進(jìn)入操作系統(tǒng)當(dāng)中，因此，今后每臺(tái)安裝了 Windows XP
和 Windows Server 2003的臺(tái)式機(jī)，服務(wù)器都將滿足NAP規(guī)范。微軟目前的架構(gòu)還沒有包含
網(wǎng)絡(luò)元素，但它已經(jīng)在和一系列的網(wǎng)絡(luò)設(shè)備廠商進(jìn)行合作，以確保NAP規(guī)范進(jìn)入網(wǎng)絡(luò)設(shè)備當(dāng)
中。但思科還沒有就NAP和微軟達(dá)成一致，另外幾家網(wǎng)絡(luò)設(shè)備廠商已經(jīng)在和微軟進(jìn)行合作，
象Juniper網(wǎng)絡(luò)，Enterasys和Extreme網(wǎng)絡(luò)。



開放標(biāo)準(zhǔn)是關(guān)鍵



到最后，可能只有用戶才能推動(dòng)兩家公司進(jìn)行合作，因?yàn)椋④浐退伎茖?duì)在銷
售他們自己的安全產(chǎn)品以及Radius服務(wù)器方面都已經(jīng)有各自的即得利益。“可信賴計(jì)算聯(lián)
盟”組織正在致力于一種開放標(biāo)準(zhǔn)的制定工作，使用這種標(biāo)準(zhǔn)，用戶可以使用Radius服務(wù)
器，安全軟件以及網(wǎng)絡(luò)設(shè)備，而不必考慮廠商的差異。今年6月，可信賴計(jì)算聯(lián)盟宣布了自
己的計(jì)劃，包括McAfee，英特爾，Sygate，Juniper網(wǎng)絡(luò)，惠普， Sun在內(nèi)的廠商都已經(jīng)加
入了這一組織。微軟也是可信賴計(jì)算聯(lián)盟的成員，但思科沒有參加這一組織。



可信賴計(jì)算聯(lián)盟的支持者們抱怨說，盡管思科與微軟已經(jīng)表示將進(jìn)行合作，但
他們似乎更愿意各自為政。



Scull說：“很顯然，微軟和思科都愿意自己的架構(gòu)占主導(dǎo)地位。堅(jiān)持自己的
方案就意味著能夠保證用戶繼續(xù)購買他們的產(chǎn)品?！?br />


比如，思科6月宣布它將擴(kuò)展和殺毒軟件廠商的合作關(guān)系，但它卻沒有說要公
開自己的NAC架構(gòu)標(biāo)準(zhǔn)給其它網(wǎng)絡(luò)設(shè)備廠商。微軟這邊，即使它所創(chuàng)建的平臺(tái)有超過30家的[!--empirenews.page--]
廠商支持，但它的NAP架構(gòu)只能夠在純微軟軟件環(huán)境中才能運(yùn)轉(zhuǎn)，這其中包括客戶端軟件以
及服務(wù)器軟件。



Scull說：“臺(tái)式機(jī)市場(chǎng)，微軟的Windows無疑已經(jīng)占領(lǐng)了絕大部分份額，但
Windows 2003服務(wù)器軟件的普及卻并不廣，我以為，微軟正在有意找出機(jī)會(huì)讓用戶來使用
Windows 2003。”



思科的Gleichauf則否認(rèn)了有意各自為政的說法。



他說：“我們正在盡可能快的部署這一架構(gòu)，這樣，用戶就可以盡快獲得它帶
來的好處，我們?nèi)ツ?1月宣布了NAC計(jì)劃，第一批相關(guān)產(chǎn)品于今年6月上市。要和其他廠商的
標(biāo)準(zhǔn)進(jìn)行接軌，需要一定的時(shí)間。一旦時(shí)機(jī)成熟，我們會(huì)開放NAC的。”



Gleichauf認(rèn)為，在對(duì)接其他廠商的標(biāo)準(zhǔn)之前，將自己的技術(shù)進(jìn)一步完善顯得
相當(dāng)?shù)闹匾?。如果參與的廠商越多，一旦產(chǎn)品出現(xiàn)問題，用戶麻煩就越多。



微軟的Anderson也反復(fù)表示他們將開放自己的標(biāo)準(zhǔn)。



他說：“我們知道，廠商在這個(gè)市場(chǎng)中將選擇最好的標(biāo)準(zhǔn)，我們希望他們選擇
微軟的，但如果他們不選擇我們的標(biāo)準(zhǔn)，我們想和其他的架構(gòu)標(biāo)準(zhǔn)進(jìn)行合作。”



他認(rèn)為，兩種標(biāo)準(zhǔn)的互通需要時(shí)日。



他說：“每個(gè)廠商都在和病毒防治公司進(jìn)行合作，這是目前最簡單的方法。其
他方面的合作，比如同網(wǎng)絡(luò)設(shè)備商的合作今后將陸續(xù)展開。這方面的構(gòu)架相當(dāng)?shù)膹?fù)雜，無人
能夠在一夜之間就讓所有問題得到解決?！?





摘自 ZDNet China