亚洲免费乱码视频,日韩 欧美 国产 动漫 一区,97在线观看免费视频播国产,中文字幕亚洲图片

      1. <legend id="ppnor"></legend>
        

        3. 

        <sup id="ppnor"><input id="ppnor"></input></sup>
        <s id="ppnor"></s>
        

    
        
      
        
        
        
        

          
        
            
        
              
              
        
          
        
          
        
        
      
        
      
        
        
        
        
        
          
        
          
        
            
        
          
        
        

        
        
      
        
      
        
        
        
          
        
            
        IF-MAP協(xié)議開啟可信網(wǎng)絡(luò)連接
        
            
        
              
        
                字號:
                
                
                
                
        
            
        
          
        
          
        
            
        
              
        
              
        
              
        
   

1.引言
            2008年4月可信計算聯(lián)盟(TCG)的TNC工作組在interop 2008大會上公布了其最新的可信網(wǎng)絡(luò)連接協(xié)議IF-MAP(Interface for Metadata Access Point),并宣布其可信網(wǎng)絡(luò)連接架構(gòu)從TNC1.2升級到TNC1.3。
            業(yè)內(nèi)對這個TNC工作組耗費18個月才正式公布的協(xié)議給予了高度關(guān)注和充分的肯定,認(rèn)為它將可信網(wǎng)絡(luò)連接的架構(gòu)推向了一個新的高度。IF-MAP協(xié)議定義了傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備(如防火墻、IDS、流量控制等)與可信網(wǎng)絡(luò)連接組件之間信息交互與共享的平臺,在網(wǎng)絡(luò)安全狀態(tài)和安全策略層面實現(xiàn)了信息共享;它實現(xiàn)了網(wǎng)絡(luò)終端安全狀態(tài)的多點、分布式檢查與監(jiān)控,網(wǎng)絡(luò)安全策略的動態(tài)調(diào)整和統(tǒng)一執(zhí)行;標(biāo)志著多個廠商的網(wǎng)絡(luò)安全設(shè)施通過開放的標(biāo)準(zhǔn)協(xié)議進(jìn)行有機整合,進(jìn)而形成結(jié)構(gòu)化的安全防御體系成為可能。下面對IF-MAP協(xié)議在TNC架構(gòu)中的作用、應(yīng)用模式和發(fā)展現(xiàn)狀進(jìn)行簡要描述。
            2.IF-MAP協(xié)議與TNC架構(gòu)
            在TNC1.2架構(gòu)中,主要定義了網(wǎng)絡(luò)終端設(shè)備接入時的準(zhǔn)入控制框架、接口和相關(guān)協(xié)議,實現(xiàn)了在框架協(xié)議下不同廠商的準(zhǔn)入控制組件和設(shè)備能夠協(xié)同工作,共同完成終端設(shè)備的平臺完整性認(rèn)證、安全狀態(tài)評估、安全策略的制定和執(zhí)行、不合規(guī)端點的隔離與矯正,從而保證整個網(wǎng)絡(luò)環(huán)境的安全可信。
            框架中定義了3種實體(entity)、3個層次(layer)、7個組件(components),其中3個實體分別為:
            接入請求者(Access Requester-AR):指運行于接入端點設(shè)備上的各種安全組件,用于完成端點設(shè)備各種安全狀態(tài)信息的收集和提交接入認(rèn)證請求;
            策略執(zhí)行者(Policy Enforcement Point-PEP):指完成端點設(shè)備接入網(wǎng)絡(luò)的各種接入設(shè)備,包括802.1x的交換機、防火墻、VPN網(wǎng)關(guān)等,主要完成接受端點接入請求信息,轉(zhuǎn)發(fā)端點安全狀態(tài)信息給后臺策略服務(wù)器,并執(zhí)行策略服務(wù)器下發(fā)的安全接入策略;
            策略決策者(Policy Decision Point-PDP):指安全策略服務(wù)器,主要完成根據(jù)接入請求設(shè)備提交的安全狀態(tài)信息執(zhí)行平臺完整性認(rèn)證,并根據(jù)策略對其進(jìn)行授權(quán);
            在TNC1.2的體系結(jié)構(gòu)中整合了端點安全系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、AAA平臺和策略管理平臺,初步形成結(jié)構(gòu)化的防御體系。但是,在這個架構(gòu)中沒有整合網(wǎng)絡(luò)中的安全檢測設(shè)備(如IDS)和安全控制設(shè)備(如內(nèi)網(wǎng)防火墻、流控),這使得傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段與可信網(wǎng)絡(luò)連接系統(tǒng)之間無法進(jìn)行信息交互和共享,形成兩種安全防御體系各自為戰(zhàn)的局面。正是為了解決這個問題,TNC工作組開發(fā)了IF-MAP協(xié)議,并升級了TNC架構(gòu)。
            在TNC1.3框架中,增加了兩個實體:
            元數(shù)據(jù)存取點(Metadata Access Point-MAP):指獨立的元數(shù)據(jù)服務(wù)器,用于統(tǒng)一集中存儲網(wǎng)絡(luò)終端的各種安全狀態(tài)信息、策略信息,構(gòu)成網(wǎng)絡(luò)中安全信息的交換平臺;
            網(wǎng)絡(luò)行為控制和監(jiān)控點(Flow Controllers Sensors, etc.):指網(wǎng)絡(luò)中部署的其他各種安全設(shè)備(比如IDS、防火墻、流量控制等),完成向MAP實時提交端點設(shè)備的動態(tài)安全信息,并根據(jù)MAP中的安全策略信息動態(tài)調(diào)整對網(wǎng)絡(luò)訪問行為的控制策略。
            在新的架構(gòu)中,TNC1.2中的缺點被很好的彌補了,通過IF-MAP協(xié)議和MAP服務(wù)器在傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備與TNC組件之間建立起了信息溝通橋梁和信息共享的平臺,系統(tǒng)防御的整體性得到突出,防護(hù)效果倍增。下面通過一個實際應(yīng)用場景分析來簡要描述IF-MAP協(xié)議是如何完成這個功能。
            3.IF-MAP協(xié)議的應(yīng)用場景
            假設(shè)如下的網(wǎng)絡(luò)環(huán)境:
            1)用戶john通過一臺終端(device-x)登錄到內(nèi)部網(wǎng)絡(luò)
            John通過TNC客戶端向PEP設(shè)備(一臺802.1x的交換機)請求接入,并提交device-x的完整性信息(ip地址、mac地址、操作系統(tǒng)版本、防病毒軟件版本等等);
            PEP向PDP(一臺RADIUS服務(wù)器)轉(zhuǎn)發(fā)客戶端信息,PDP通過了用戶身份和平臺完整性驗證,并以finance manager的角色給john授權(quán),通知PEP可以接入;
            PDP通過IF-MAP協(xié)議向MAP服務(wù)器發(fā)布device-x的狀態(tài)信息、用戶信息和授權(quán)信息;
            2)John需要訪問內(nèi)部的finance server
            內(nèi)部防火墻檢測到device-x的訪問請求,由于其可能是動態(tài)IP地址,因此沒有靜態(tài)的訪問控制策略,此時防火墻通過IF-MAP協(xié)議向MAP服務(wù)器進(jìn)行搜索;
            通過搜索發(fā)現(xiàn)device-x設(shè)備當(dāng)前的用戶授權(quán)為finance manager,而且設(shè)備狀態(tài)可信,于是防火墻通過添加動態(tài)策略允許該訪問請求;
            3)IDS設(shè)備發(fā)現(xiàn)device-x正在被木馬控制
            雖然device-x上的防病毒軟件已經(jīng)是最新版本,但其仍然被木馬控制(這種情況常常發(fā)生),好在木馬通訊數(shù)據(jù)流被IDS檢測到;
            IDS馬上通過IF-MAP協(xié)議向MAP服務(wù)發(fā)布該安全事件;
            MAP服務(wù)立刻通過IF-MAP協(xié)議通知PDP有安全事件發(fā)生,考試大提示PDP通過判斷立刻修改device-x的可信狀態(tài),通知PEP對device-x進(jìn)行隔離處理,刪除device-x的finance manager授權(quán),并將新的狀態(tài)和授權(quán)信息發(fā)布到MAP服務(wù)器;
            由于授權(quán)信息發(fā)生改變,MAP服務(wù)器立刻通過IF-MAP協(xié)議通知防火墻更新device-x的授權(quán),從而刪除內(nèi)部的動態(tài)策略;
            4.IF-MAP協(xié)議的發(fā)展情況
            雖然IF-MAP協(xié)議在今年4月份才正式公布其1.0版本,但由于它通過開發(fā)的協(xié)議整合了各種已有的安全產(chǎn)品形態(tài),為用戶提供理想的整體安全防護(hù)效果的同時,又可以有效避免用戶只能采購?fù)患野踩a(chǎn)品的限制,保護(hù)投資,因此其已經(jīng)引起安全廠商和客戶的強烈興趣。在08年4月interop 2008大會上公布協(xié)議正本的同時,TNC還推出了一套整合多家廠商產(chǎn)品的演示系統(tǒng)。
            結(jié)束語
            為用戶提供整體安全解決方案和結(jié)構(gòu)化的防御體系是公司長期以來產(chǎn)品發(fā)展的方向。2004年天融信公司率先提出SEC聯(lián)動協(xié)議和TNA可信網(wǎng)絡(luò)架構(gòu),引領(lǐng)了國內(nèi)安全廠商之間互動與整合的潮流,在業(yè)內(nèi)產(chǎn)生了深遠(yuǎn)的影響。隨著TCG/TNC等國際組織的不斷發(fā)展,更為開放的可信網(wǎng)絡(luò)架構(gòu)和信息交換協(xié)議已經(jīng)被制定出來,這使得更為廣泛的安全廠商、通訊廠商、操作系統(tǒng)廠商的產(chǎn)品整合成為可能,構(gòu)建結(jié)構(gòu)化防御體系和可信網(wǎng)絡(luò)的步伐越來越快。公司會一如既往地站在信息安全發(fā)展的潮頭,不斷跟蹤研究最新的安全協(xié)議和標(biāo)準(zhǔn),完善我的產(chǎn)品和方案,在激勵的市場競爭中立于不敗之地。