【51CTO.com 综合消息】由于网络环境所面临的威胁日益增多而且多样化,这要求更灵活及自动化的安全系统作为应对。Extreme Networks公司指出,其中一个可行的途径是把安全功能进一步整合至网络设施,尤其是网络交换机。
Extreme Networks公司指出,在很多企业的网络中,安全设备都是以一个零散、各自为战的形式部署在异构环境中操作,彼此没有沟通,要协调保护策略十分困难。虽然目前市场上也有一些独家的方法来应对上述问题,但通常它们只能在单一厂商的设施环境上应用。此外,业界对此也没有特定的标准。近来一个发展迅速的趋势是在服务导向架构(SOA)的基础上使用XML(可扩充置标语言)。
XML的优点在于通过提供一种令各种设备能互相沟通的语言,使得它们能彼此协作。XML 不受平台影响,并可以被各种系统解读。信息和各种服务能够通过有意义的结构和语义来编码,并能被智能化设备识别。XML能支持快速的信息交换,并很容易地扩展到指定用户和行业的标签。
基于XML的语言得到规范和通用的定义,因此在不确定程序格式的情况下也能修改及确认文件。
XML是基于文本的,并使得文本具有高度灵活、可读和易于修正的特点。由于XML在商业及开发源代码方面都被广泛的应用,并有多套工具配合使用,这能简化并加快了应用程序的开发。
此等工具可以和多种编程语言协作,包括C/C++、Java、C#和脚本语言,如Python、Perl和Tcl 等。由于XML具备高度灵活性,因此可以应用于几乎所有的应用程序及编程。除了高度灵活,XML 的另一个优点是安全性高。在SSL上运行的HTTP (HTTP/S)是确保XML数据在安全通道传输最常用的方法。如果一项应用程序要求(HTTP/S)更高层次的安全,它可以先把XML数据加密后才传输。
要运用XML,网络基础设施和安全设备的应用程序编程接口必须具备一些通用条件,以支持系统间的信息交流:
1.必须识别和定义共享的数据(如虚拟局域网信息)。
2.建立XML标签,把每条或每种信息独立标示。
3.通过XML把数据在交换机和目标安全设备之间传输。
参数建立之后,系统就能够共享信息,并在实时信息的基础上自动制定策略。在网络内收到最新威胁信息时便能执行安全政策。许多安全设备已经在使用XML语言,它们进行简单的编程后便可与具备XML应用程序编程接口的设备协作。
其中一个应用范例就是IDS/IPS安全设备与一台智能化核心交换机的交流。如果IDS/IPS 安全设备侦测到威胁,它能立即与交换机交流,决定应该关闭端口、限制接入访问、控制带宽或把受感染的信息传输改向。
在使用XML后,它同样能够用来支持其它安全/基础设施架构。在上述的例子,这IDS/IPS可充当虚拟设备,网络交换机在初步检测之后,把可疑的通信转到合适设备做进一步的分析。通过使用XML,核心交换机便可以与虚拟设备沟通,全面发挥两者的作用。交换机与IDS/IPS之间的智能化通信提供了一个更具扩展性、集中化和易于管理的安全解决方案。
有鉴于网络威胁日趋复杂,基础设施方案必须进一步整合。XML是一种灵活而且功能强大的工具,令异构环境中的安全及基础设施能交流及分享信息,对快速检测和减少可疑通信的传输至关重要。这一协议能够令新架构降低成本、提高性能,增加覆盖面,并且更加合理地分配安全资源。
在通信中使用XML的基础设施和安全设备,也使得商业应用程序能更易配合安全策略、法规遵从及性能管理。随着端对端安全方案的需求增加,应用程序和网络基础设施的整合对网络的全面可视性和控制能力十分关键。