思科微軟正在網(wǎng)絡安全架構上發(fā)生碰撞，用戶被夾在了中間。



微軟和思科各自都提出了自己的“端對端”(end to end)的安全架構。所謂安
全架構不僅僅是處理諸如病毒掃描這樣的事情，同時也涵蓋對不符合安全協(xié)議的電腦拒絕進
行網(wǎng)絡連接等工作。但目前為止，這兩家公司的網(wǎng)絡安全架構標準并不兼容，這意味著，用
戶需要在這兩家公司的技術之間做出選擇。



這種選擇是艱難的，因為，兩家公司都全面統(tǒng)領著他們各種的市場，微軟在臺
式機操作系統(tǒng)領域稱霸一方，而思科則在企業(yè)網(wǎng)絡路由器市場占領了70%以上的份額。



微軟和思科雖然已經(jīng)表示，他們正在合作，以確保彼此的網(wǎng)絡安全架構標準可
以實現(xiàn)兼容，但到目前為止，我們還很難知道這種合作的進展情況，以及最后的結(jié)果是什
么。



微軟Windows服務器部門的主任Steve Anderson說：“我們也相當清楚，和思
科的標準進行兼容有多么的重要。但我們都是大公司，兼容需要花費相當多的時間。比爾蓋
茨和約翰錢伯斯已經(jīng)就此進行過磋商。我們希望在今年秋天的某個時候宣布我們第一步的處
理方案?！?br />


這種合作決定對用戶來講斯至關重要的，因為他們安全方面的預算已經(jīng)捉襟見
肘了，如果又要經(jīng)歷這種不兼容架構的考驗，情況將相當嚴重。在兩家公司的標準當中，尤
其以“遠程身份驗證撥入用戶服務”(Radius)的沖突最為嚴重，微軟和思科都使用了各自的
Radius標準。



在思科這邊，用戶必須要使用“思科訪問控制服務器”(Cisco Access
Control Server)，而微軟這頭，用戶也不得不使用“微軟Windows互聯(lián)網(wǎng)驗證服務”
(IAS)。



目前，這兩種Radius標準無法實現(xiàn)兼容互通。這意味著使用思科網(wǎng)絡設備，微
軟操作系統(tǒng)的用戶將不得不安裝兩套Radius管理器。安全專家對這兩種Radius兼容到底對安
全有多大幫助也表示懷疑。



Sygate市場部的副總裁Bill Scull說：“兩家公司的標準完全不同，我不知道
它們?nèi)绾芜M行互通。”



網(wǎng)絡安全目前面臨來自各方面的安全威脅。惡性病毒以及蠕蟲攻擊越來越厲
害，象 Sobig和MyDoom 這些病毒等等，它們對網(wǎng)絡造成的損害越來越嚴重。企業(yè)正在尋找
結(jié)合了傳統(tǒng)的病毒掃描以及能夠?qū)⒐粽咦钃踉陂T戶以外的網(wǎng)絡安全協(xié)議保障方案。



網(wǎng)絡公司，安全公司以及軟件公司三方正在合力開發(fā)更多的“先發(fā)制人式的方
案”。思科與微軟已經(jīng)走到了這一趨勢的前列，他們的合作計劃的成功與否將對應對攻擊的
反擊戰(zhàn)發(fā)揮至關重要的作用。



去年年底，思科公布了它的“網(wǎng)絡訪問控制方案”(NAC)，今年6月，思科宣
布，他們已經(jīng)完成NAC 架構的第一階段部署工作，NAC軟件已經(jīng)進入了IP路由器當中。而網(wǎng)
關的部署工作將在2005量年初開始。 7月，微軟宣布了它的“網(wǎng)絡訪問保護方案”(NAP)，
微軟計劃到2005年開始實施這一方案。



這兩種方案背后的架構概念都非常的類似。在一個用戶登陸到一個網(wǎng)絡之前，
他的計算機必須先連接進入一臺第三方的機器當中，這臺機器由網(wǎng)絡管理員所掌控，以確保
用戶的電腦滿足安全規(guī)范的要求。如果用戶的電腦符合規(guī)范要求，他就能夠進入網(wǎng)絡，反
之，用戶的網(wǎng)絡訪問就要受到限制，他只能接入虛擬專用網(wǎng)，在這里，他可以對自己的電腦
進行安全設置，直至滿足網(wǎng)絡安全規(guī)范提出的標準。



差異



盡管兩種方案的總體思路有接近的地方，但它們解決問題的途徑卻各不相同。
NAC方案，思科試圖全面的解決相關的問題，也就是端對端的解決。通過與三大病毒防治廠
商，McAfee,，Symantec，Trend Micro的合作以及自己收購的Okena技術，思科已經(jīng)開發(fā)出
了自己的安全處理機制。思科將這些病毒防治廠商的產(chǎn)品稱為“ 受信賴廠商產(chǎn)品”，這些
產(chǎn)品將和思科的其他產(chǎn)品，比如以太網(wǎng)網(wǎng)關交換機，IP路由器以及防火墻等產(chǎn)品一同部署。
中央政策服務器將溝通各個產(chǎn)品，以確保終端用戶在接入網(wǎng)絡之前能夠升級自己的電腦，滿
足安全規(guī)范。



思科安全網(wǎng)絡部門的首席技術官Bob Gleichauf說：“我們認為，從端對端的
層面上提出一個全面的方案相當重要?！?br />


相反，微軟則將其NAP架構的重點放在了“核心部件”：也就是主機和服務器
軟件上。微軟計劃將安全軟件整合進入操作系統(tǒng)當中，因此，今后每臺安裝了 Windows XP
和 Windows Server 2003的臺式機，服務器都將滿足NAP規(guī)范。微軟目前的架構還沒有包含
網(wǎng)絡元素，但它已經(jīng)在和一系列的網(wǎng)絡設備廠商進行合作，以確保NAP規(guī)范進入網(wǎng)絡設備當
中。但思科還沒有就NAP和微軟達成一致，另外幾家網(wǎng)絡設備廠商已經(jīng)在和微軟進行合作，
象Juniper網(wǎng)絡，Enterasys和Extreme網(wǎng)絡。



開放標準是關鍵



到最后，可能只有用戶才能推動兩家公司進行合作，因為，微軟和思科對在銷
售他們自己的安全產(chǎn)品以及Radius服務器方面都已經(jīng)有各自的即得利益?！翱尚刨囉嬎懵?lián)
盟”組織正在致力于一種開放標準的制定工作，使用這種標準，用戶可以使用Radius服務
器，安全軟件以及網(wǎng)絡設備，而不必考慮廠商的差異。今年6月，可信賴計算聯(lián)盟宣布了自
己的計劃，包括McAfee，英特爾，Sygate，Juniper網(wǎng)絡，惠普， Sun在內(nèi)的廠商都已經(jīng)加
入了這一組織。微軟也是可信賴計算聯(lián)盟的成員，但思科沒有參加這一組織。



可信賴計算聯(lián)盟的支持者們抱怨說，盡管思科與微軟已經(jīng)表示將進行合作，但
他們似乎更愿意各自為政。



Scull說：“很顯然，微軟和思科都愿意自己的架構占主導地位。堅持自己的
方案就意味著能夠保證用戶繼續(xù)購買他們的產(chǎn)品?！?br />


比如，思科6月宣布它將擴展和殺毒軟件廠商的合作關系，但它卻沒有說要公
開自己的NAC架構標準給其它網(wǎng)絡設備廠商。微軟這邊，即使它所創(chuàng)建的平臺有超過30家的[!--empirenews.page--]
廠商支持，但它的NAP架構只能夠在純微軟軟件環(huán)境中才能運轉(zhuǎn)，這其中包括客戶端軟件以
及服務器軟件。



Scull說：“臺式機市場，微軟的Windows無疑已經(jīng)占領了絕大部分份額，但
Windows 2003服務器軟件的普及卻并不廣，我以為，微軟正在有意找出機會讓用戶來使用
Windows 2003?！?br />


思科的Gleichauf則否認了有意各自為政的說法。



他說：“我們正在盡可能快的部署這一架構，這樣，用戶就可以盡快獲得它帶
來的好處，我們?nèi)ツ?1月宣布了NAC計劃，第一批相關產(chǎn)品于今年6月上市。要和其他廠商的
標準進行接軌，需要一定的時間。一旦時機成熟，我們會開放NAC的?！?br />


Gleichauf認為，在對接其他廠商的標準之前，將自己的技術進一步完善顯得
相當?shù)闹匾Ｈ绻麉⑴c的廠商越多，一旦產(chǎn)品出現(xiàn)問題，用戶麻煩就越多。



微軟的Anderson也反復表示他們將開放自己的標準。



他說：“我們知道，廠商在這個市場中將選擇最好的標準，我們希望他們選擇
微軟的，但如果他們不選擇我們的標準，我們想和其他的架構標準進行合作?！?br />


他認為，兩種標準的互通需要時日。



他說：“每個廠商都在和病毒防治公司進行合作，這是目前最簡單的方法。其
他方面的合作，比如同網(wǎng)絡設備商的合作今后將陸續(xù)展開。這方面的構架相當?shù)膹碗s，無人
能夠在一夜之間就讓所有問題得到解決?！?





摘自 ZDNet China