思科微軟正在網(wǎng)絡(luò)安全架構(gòu)上發(fā)生碰撞，用戶被夾在了中間。



微軟和思科各自都提出了自己的“端對端”(end to end)的安全架構(gòu)。所謂安
全架構(gòu)不僅僅是處理諸如病毒掃描這樣的事情，同時也涵蓋對不符合安全協(xié)議的電腦拒絕進
行網(wǎng)絡(luò)連接等工作。但目前為止，這兩家公司的網(wǎng)絡(luò)安全架構(gòu)標(biāo)準(zhǔn)并不兼容，這意味著，用
戶需要在這兩家公司的技術(shù)之間做出選擇。



這種選擇是艱難的，因為，兩家公司都全面統(tǒng)領(lǐng)著他們各種的市場，微軟在臺
式機操作系統(tǒng)領(lǐng)域稱霸一方，而思科則在企業(yè)網(wǎng)絡(luò)路由器市場占領(lǐng)了70%以上的份額。



微軟和思科雖然已經(jīng)表示，他們正在合作，以確保彼此的網(wǎng)絡(luò)安全架構(gòu)標(biāo)準(zhǔn)可
以實現(xiàn)兼容，但到目前為止，我們還很難知道這種合作的進展情況，以及最后的結(jié)果是什
么。



微軟Windows服務(wù)器部門的主任Steve Anderson說：“我們也相當(dāng)清楚，和思
科的標(biāo)準(zhǔn)進行兼容有多么的重要。但我們都是大公司，兼容需要花費相當(dāng)多的時間。比爾蓋
茨和約翰錢伯斯已經(jīng)就此進行過磋商。我們希望在今年秋天的某個時候宣布我們第一步的處
理方案。”



這種合作決定對用戶來講斯至關(guān)重要的，因為他們安全方面的預(yù)算已經(jīng)捉襟見
肘了，如果又要經(jīng)歷這種不兼容架構(gòu)的考驗，情況將相當(dāng)嚴(yán)重。在兩家公司的標(biāo)準(zhǔn)當(dāng)中，尤
其以“遠(yuǎn)程身份驗證撥入用戶服務(wù)”(Radius)的沖突最為嚴(yán)重，微軟和思科都使用了各自的
Radius標(biāo)準(zhǔn)。



在思科這邊，用戶必須要使用“思科訪問控制服務(wù)器”(Cisco Access
Control Server)，而微軟這頭，用戶也不得不使用“微軟Windows互聯(lián)網(wǎng)驗證服務(wù)”
(IAS)。



目前，這兩種Radius標(biāo)準(zhǔn)無法實現(xiàn)兼容互通。這意味著使用思科網(wǎng)絡(luò)設(shè)備，微
軟操作系統(tǒng)的用戶將不得不安裝兩套Radius管理器。安全專家對這兩種Radius兼容到底對安
全有多大幫助也表示懷疑。



Sygate市場部的副總裁Bill Scull說：“兩家公司的標(biāo)準(zhǔn)完全不同，我不知道
它們?nèi)绾芜M行互通?！?br />


網(wǎng)絡(luò)安全目前面臨來自各方面的安全威脅。惡性病毒以及蠕蟲攻擊越來越厲
害，象 Sobig和MyDoom 這些病毒等等，它們對網(wǎng)絡(luò)造成的損害越來越嚴(yán)重。企業(yè)正在尋找
結(jié)合了傳統(tǒng)的病毒掃描以及能夠?qū)⒐粽咦钃踉陂T戶以外的網(wǎng)絡(luò)安全協(xié)議保障方案。



網(wǎng)絡(luò)公司，安全公司以及軟件公司三方正在合力開發(fā)更多的“先發(fā)制人式的方
案”。思科與微軟已經(jīng)走到了這一趨勢的前列，他們的合作計劃的成功與否將對應(yīng)對攻擊的
反擊戰(zhàn)發(fā)揮至關(guān)重要的作用。



去年年底，思科公布了它的“網(wǎng)絡(luò)訪問控制方案”(NAC)，今年6月，思科宣
布，他們已經(jīng)完成NAC 架構(gòu)的第一階段部署工作，NAC軟件已經(jīng)進入了IP路由器當(dāng)中。而網(wǎng)
關(guān)的部署工作將在2005量年初開始。 7月，微軟宣布了它的“網(wǎng)絡(luò)訪問保護方案”(NAP)，
微軟計劃到2005年開始實施這一方案。



這兩種方案背后的架構(gòu)概念都非常的類似。在一個用戶登陸到一個網(wǎng)絡(luò)之前，
他的計算機必須先連接進入一臺第三方的機器當(dāng)中，這臺機器由網(wǎng)絡(luò)管理員所掌控，以確保
用戶的電腦滿足安全規(guī)范的要求。如果用戶的電腦符合規(guī)范要求，他就能夠進入網(wǎng)絡(luò)，反
之，用戶的網(wǎng)絡(luò)訪問就要受到限制，他只能接入虛擬專用網(wǎng)，在這里，他可以對自己的電腦
進行安全設(shè)置，直至滿足網(wǎng)絡(luò)安全規(guī)范提出的標(biāo)準(zhǔn)。



差異



盡管兩種方案的總體思路有接近的地方，但它們解決問題的途徑卻各不相同。
NAC方案，思科試圖全面的解決相關(guān)的問題，也就是端對端的解決。通過與三大病毒防治廠
商，McAfee,，Symantec，Trend Micro的合作以及自己收購的Okena技術(shù)，思科已經(jīng)開發(fā)出
了自己的安全處理機制。思科將這些病毒防治廠商的產(chǎn)品稱為“ 受信賴廠商產(chǎn)品”，這些
產(chǎn)品將和思科的其他產(chǎn)品，比如以太網(wǎng)網(wǎng)關(guān)交換機，IP路由器以及防火墻等產(chǎn)品一同部署。
中央政策服務(wù)器將溝通各個產(chǎn)品，以確保終端用戶在接入網(wǎng)絡(luò)之前能夠升級自己的電腦，滿
足安全規(guī)范。



思科安全網(wǎng)絡(luò)部門的首席技術(shù)官Bob Gleichauf說：“我們認(rèn)為，從端對端的
層面上提出一個全面的方案相當(dāng)重要。”



相反，微軟則將其NAP架構(gòu)的重點放在了“核心部件”：也就是主機和服務(wù)器
軟件上。微軟計劃將安全軟件整合進入操作系統(tǒng)當(dāng)中，因此，今后每臺安裝了 Windows XP
和 Windows Server 2003的臺式機，服務(wù)器都將滿足NAP規(guī)范。微軟目前的架構(gòu)還沒有包含
網(wǎng)絡(luò)元素，但它已經(jīng)在和一系列的網(wǎng)絡(luò)設(shè)備廠商進行合作，以確保NAP規(guī)范進入網(wǎng)絡(luò)設(shè)備當(dāng)
中。但思科還沒有就NAP和微軟達成一致，另外幾家網(wǎng)絡(luò)設(shè)備廠商已經(jīng)在和微軟進行合作，
象Juniper網(wǎng)絡(luò)，Enterasys和Extreme網(wǎng)絡(luò)。



開放標(biāo)準(zhǔn)是關(guān)鍵



到最后，可能只有用戶才能推動兩家公司進行合作，因為，微軟和思科對在銷
售他們自己的安全產(chǎn)品以及Radius服務(wù)器方面都已經(jīng)有各自的即得利益。“可信賴計算聯(lián)
盟”組織正在致力于一種開放標(biāo)準(zhǔn)的制定工作，使用這種標(biāo)準(zhǔn)，用戶可以使用Radius服務(wù)
器，安全軟件以及網(wǎng)絡(luò)設(shè)備，而不必考慮廠商的差異。今年6月，可信賴計算聯(lián)盟宣布了自
己的計劃，包括McAfee，英特爾，Sygate，Juniper網(wǎng)絡(luò)，惠普， Sun在內(nèi)的廠商都已經(jīng)加
入了這一組織。微軟也是可信賴計算聯(lián)盟的成員，但思科沒有參加這一組織。



可信賴計算聯(lián)盟的支持者們抱怨說，盡管思科與微軟已經(jīng)表示將進行合作，但
他們似乎更愿意各自為政。



Scull說：“很顯然，微軟和思科都愿意自己的架構(gòu)占主導(dǎo)地位。堅持自己的
方案就意味著能夠保證用戶繼續(xù)購買他們的產(chǎn)品?！?br />


比如，思科6月宣布它將擴展和殺毒軟件廠商的合作關(guān)系，但它卻沒有說要公
開自己的NAC架構(gòu)標(biāo)準(zhǔn)給其它網(wǎng)絡(luò)設(shè)備廠商。微軟這邊，即使它所創(chuàng)建的平臺有超過30家的[!--empirenews.page--]
廠商支持，但它的NAP架構(gòu)只能夠在純微軟軟件環(huán)境中才能運轉(zhuǎn)，這其中包括客戶端軟件以
及服務(wù)器軟件。



Scull說：“臺式機市場，微軟的Windows無疑已經(jīng)占領(lǐng)了絕大部分份額，但
Windows 2003服務(wù)器軟件的普及卻并不廣，我以為，微軟正在有意找出機會讓用戶來使用
Windows 2003?！?br />


思科的Gleichauf則否認(rèn)了有意各自為政的說法。



他說：“我們正在盡可能快的部署這一架構(gòu)，這樣，用戶就可以盡快獲得它帶
來的好處，我們?nèi)ツ?1月宣布了NAC計劃，第一批相關(guān)產(chǎn)品于今年6月上市。要和其他廠商的
標(biāo)準(zhǔn)進行接軌，需要一定的時間。一旦時機成熟，我們會開放NAC的。”



Gleichauf認(rèn)為，在對接其他廠商的標(biāo)準(zhǔn)之前，將自己的技術(shù)進一步完善顯得
相當(dāng)?shù)闹匾?。如果參與的廠商越多，一旦產(chǎn)品出現(xiàn)問題，用戶麻煩就越多。



微軟的Anderson也反復(fù)表示他們將開放自己的標(biāo)準(zhǔn)。



他說：“我們知道，廠商在這個市場中將選擇最好的標(biāo)準(zhǔn)，我們希望他們選擇
微軟的，但如果他們不選擇我們的標(biāo)準(zhǔn)，我們想和其他的架構(gòu)標(biāo)準(zhǔn)進行合作?！?br />


他認(rèn)為，兩種標(biāo)準(zhǔn)的互通需要時日。



他說：“每個廠商都在和病毒防治公司進行合作，這是目前最簡單的方法。其
他方面的合作，比如同網(wǎng)絡(luò)設(shè)備商的合作今后將陸續(xù)展開。這方面的構(gòu)架相當(dāng)?shù)膹?fù)雜，無人
能夠在一夜之間就讓所有問題得到解決?！?





摘自 ZDNet China