网络安全架构两套标准 微软与思科“打架”

思科微软正在网络安全架构上发生碰撞，用户被夹在了中间。



微软和思科各自都提出了自己的“端对端”(end to end)的安全架构。所谓安
全架构不仅仅是处理诸如病毒扫描这样的事情，同时也涵盖对不符合安全协议的电脑拒绝进
行网络连接等工作。但目前为止，这两家公司的网络安全架构标准并不兼容，这意味着，用
户需要在这两家公司的技术之间做出选择。



这种选择是艰难的，因为，两家公司都全面统领着他们各种的市场，微软在台
式机操作系统领域称霸一方，而思科则在企业网络路由器市场占领了70%以上的份额。



微软和思科虽然已经表示，他们正在合作，以确保彼此的网络安全架构标准可
以实现兼容，但到目前为止，我们还很难知道这种合作的进展情况，以及最后的结果是什
么。



微软Windows服务器部门的主任Steve Anderson说：“我们也相当清楚，和思
科的标准进行兼容有多么的重要。但我们都是大公司，兼容需要花费相当多的时间。比尔盖
茨和约翰钱伯斯已经就此进行过磋商。我们希望在今年秋天的某个时候宣布我们第一步的处
理方案。”



这种合作决定对用户来讲斯至关重要的，因为他们安全方面的预算已经捉襟见
肘了，如果又要经历这种不兼容架构的考验，情况将相当严重。在两家公司的标准当中，尤
其以“远程身份验证拨入用户服务”(Radius)的冲突最为严重，微软和思科都使用了各自的
Radius标准。



在思科这边，用户必须要使用“思科访问控制服务器”(Cisco Access
Control Server)，而微软这头，用户也不得不使用“微软Windows互联网验证服务”
(IAS)。



目前，这两种Radius标准无法实现兼容互通。这意味着使用思科网络设备，微
软操作系统的用户将不得不安装两套Radius管理器。安全专家对这两种Radius兼容到底对安
全有多大帮助也表示怀疑。



Sygate市场部的副总裁Bill Scull说：“两家公司的标准完全不同，我不知道
它们如何进行互通。”



网络安全目前面临来自各方面的安全威胁。恶性病毒以及蠕虫攻击越来越厉
害，象 Sobig和MyDoom 这些病毒等等，它们对网络造成的损害越来越严重。企业正在寻找
结合了传统的病毒扫描以及能够将攻击者阻挡在门户以外的网络安全协议保障方案。



网络公司，安全公司以及软件公司三方正在合力开发更多的“先发制人式的方
案”。思科与微软已经走到了这一趋势的前列，他们的合作计划的成功与否将对应对攻击的
反击战发挥至关重要的作用。



去年年底，思科公布了它的“网络访问控制方案”(NAC)，今年6月，思科宣
布，他们已经完成NAC 架构的第一阶段部署工作，NAC软件已经进入了IP路由器当中。而网
关的部署工作将在2005量年初开始。 7月，微软宣布了它的“网络访问保护方案”(NAP)，
微软计划到2005年开始实施这一方案。



这两种方案背后的架构概念都非常的类似。在一个用户登陆到一个网络之前，
他的计算机必须先连接进入一台第三方的机器当中，这台机器由网络管理员所掌控，以确保
用户的电脑满足安全规范的要求。如果用户的电脑符合规范要求，他就能够进入网络，反
之，用户的网络访问就要受到限制，他只能接入虚拟专用网，在这里，他可以对自己的电脑
进行安全设置，直至满足网络安全规范提出的标准。



差异



尽管两种方案的总体思路有接近的地方，但它们解决问题的途径却各不相同。
NAC方案，思科试图全面的解决相关的问题，也就是端对端的解决。通过与三大病毒防治厂
商，McAfee,，Symantec，Trend Micro的合作以及自己收购的Okena技术，思科已经开发出
了自己的安全处理机制。思科将这些病毒防治厂商的产品称为“ 受信赖厂商产品”，这些
产品将和思科的其他产品，比如以太网网关交换机，IP路由器以及防火墙等产品一同部署。
中央政策服务器将沟通各个产品，以确保终端用户在接入网络之前能够升级自己的电脑，满
足安全规范。



思科安全网络部门的首席技术官Bob Gleichauf说：“我们认为，从端对端的
层面上提出一个全面的方案相当重要。”



相反，微软则将其NAP架构的重点放在了“核心部件”：也就是主机和服务器
软件上。微软计划将安全软件整合进入操作系统当中，因此，今后每台安装了 Windows XP
和 Windows Server 2003的台式机，服务器都将满足NAP规范。微软目前的架构还没有包含
网络元素，但它已经在和一系列的网络设备厂商进行合作，以确保NAP规范进入网络设备当
中。但思科还没有就NAP和微软达成一致，另外几家网络设备厂商已经在和微软进行合作，
象Juniper网络，Enterasys和Extreme网络。



开放标准是关键



到最后，可能只有用户才能推动两家公司进行合作，因为，微软和思科对在销
售他们自己的安全产品以及Radius服务器方面都已经有各自的即得利益。“可信赖计算联
盟”组织正在致力于一种开放标准的制定工作，使用这种标准，用户可以使用Radius服务
器，安全软件以及网络设备，而不必考虑厂商的差异。今年6月，可信赖计算联盟宣布了自
己的计划，包括McAfee，英特尔，Sygate，Juniper网络，惠普， Sun在内的厂商都已经加
入了这一组织。微软也是可信赖计算联盟的成员，但思科没有参加这一组织。



可信赖计算联盟的支持者们抱怨说，尽管思科与微软已经表示将进行合作，但
他们似乎更愿意各自为政。



Scull说：“很显然，微软和思科都愿意自己的架构占主导地位。坚持自己的
方案就意味着能够保证用户继续购买他们的产品。”



比如，思科6月宣布它将扩展和杀毒软件厂商的合作关系，但它却没有说要公
开自己的NAC架构标准给其它网络设备厂商。微软这边，即使它所创建的平台有超过30家的[!--empirenews.page--]
厂商支持，但它的NAP架构只能够在纯微软软件环境中才能运转，这其中包括客户端软件以
及服务器软件。



Scull说：“台式机市场，微软的Windows无疑已经占领了绝大部分份额，但
Windows 2003服务器软件的普及却并不广，我以为，微软正在有意找出机会让用户来使用
Windows 2003。”



思科的Gleichauf则否认了有意各自为政的说法。



他说：“我们正在尽可能快的部署这一架构，这样，用户就可以尽快获得它带
来的好处，我们去年11月宣布了NAC计划，第一批相关产品于今年6月上市。要和其他厂商的
标准进行接轨，需要一定的时间。一旦时机成熟，我们会开放NAC的。”



Gleichauf认为，在对接其他厂商的标准之前，将自己的技术进一步完善显得
相当的重要。如果参与的厂商越多，一旦产品出现问题，用户麻烦就越多。



微软的Anderson也反复表示他们将开放自己的标准。



他说：“我们知道，厂商在这个市场中将选择最好的标准，我们希望他们选择
微软的，但如果他们不选择我们的标准，我们想和其他的架构标准进行合作。”



他认为，两种标准的互通需要时日。



他说：“每个厂商都在和病毒防治公司进行合作，这是目前最简单的方法。其
他方面的合作，比如同网络设备商的合作今后将陆续展开。这方面的构架相当的复杂，无人
能够在一夜之间就让所有问题得到解决。”





摘自 ZDNet China