作者
Sean Convery (CCIE # 和4232)Bernie Trudel (CCIE # 1884)是本白皮书的作者。在思科公司位于美国加利福尼亚州圣何塞的公司总部中,有该体系结构的实施范例,Sean就是此实施范例的首席体系结构设计者。Sean和Bernie均为思科公司企业产品事业部VPN和安全体系结构技术营销小组的成员。
摘要
思科公司面向企业网络的安全蓝图(SAFE)的主要目标是,为对其感兴趣的机构提供有关设计和实施安全网络的最佳实践信息。SAFE可作为正考虑其网络安全性要求的网络设计人员的指南。SAFE在网络安全设计方面采用了深入防御的方式。这类设计的重点在于所预测出的威胁及减轻威胁的方法,而不是单纯地"将防火墙放在这儿,将入侵检测系统放在那儿"等。该策略带来了一种安全分层方式,这样,一个安全系统的故障就不大可能引发对整个网络资源的损坏。SAEE以思科及其合作伙伴的产品为基础。
本文开始先对此体系结构作了概述,然后具体介绍了构成实际网络设计的各个模块。每个模块介绍的前三部分分别为信息流量、主要设备以及预计威胁和基本缓解方案图。随后即是该设计的详细技术分析,以及更为具体的威胁缓解技术和策略。附录A介绍了SAFE的验证实验并包括配置快照。附录B是网络安全入门指南。建议不熟悉基本网络安全性概念的读者,在阅读本白皮书其它章节前先阅读此部分。附录C包括本文中所使用技术术语的词汇定义和本文的插图标题。
本文的重点是企业环境中所遇到的威胁。了解这些威胁的网络设计者能更好地决定在何处以怎样的方式部署缓解技术。如果没有对网络安全所面临的威胁有全面的了解,那么部署就可能配置错误,会过于强调安全设备、或是缺乏威胁响应选项。通过威胁--缓解方式,本文为网络设计者提供了作出合理网络安全选择的必要信息。
阅读对象
虽然本文是技术性文章,但读者可根据自身情况阅读不同层次的内容。例如,网络经理可阅读每部分的简介来获得有关网络安全性设计策略和应考虑问题的出色总体认知。网络工程师或设计人员则可阅读全文,了解设计信息和威胁分析细节,这可以参考针对各涉及设备的配置快照。
Cisco SAFE:面向企业网络的安全蓝图(白皮书)
