外洗、内控、中隔离 （转）

开篇第一论点，我们需要认识的是何谓安全、何以安全！！！
如果网络已经成为江湖，缺乏安全防范的我们， 如何敢说可以笑傲这个江湖

就像当初做防火墙产品一样，如今做全网安全的厂商如雨后春笋，可是，仔细考察，大部分厂商实际最终还是推销某一个产品而已，要么只做安全全网的一个角落而已，要么一个产品依赖于一个或多个其他厂商产品；

那么，我们的网络需要什么样的安全架构？
答：统一、全网、自防御架构，让网络就像人体一样，具有自我免疫功能；这才是真正需要的安全发展方案，尤其现在网络威胁是动态变化，更需要“零日”自防御保护的网络！！！！
外洗、内控、中隔离，这才是规模IT安全发展的正确方向！这样才是全面的安全考量！

何谓“外洗”：来自企业网络外的攻击，需要在边界过滤清洗掉，就像我们家用洗衣机一样，要把污渍洗掉而不能把合法的网络数据过滤掉，而将正常数据留给用户；
这一点，可以企业自身部署实现，也可以通过购买电信的清洗服务完成；如果企业自己实现，那么攻击数据时通过外网线路已经进入企业边界网络；而购买电信服务，可以避免恶意数据占用企业出口到电信的带宽；

何谓“内控”：企业网络需要加强自身控制，需要全网监控；企业服务器、个人PC机，需要安全加固；企业外来人员，需要隔离以保护企业网络；企业网络的安全事件有控制性的联动，而不是孤立的事件报告；

何谓“中隔离”：企业网络按照功能可以分为多种不同安全级别的功能网络区域，这些区域之间，互相访问需要加强隔离/控制；即，企业大网络是需要建立安全区域划分的；
所以，作为大型企业，要做安全，就要做统一的、全网络的、具备自我防御、适应动态威胁的安全架构体系，这样，才具备未来不断发展的考验；

论述至此，业界能真正做到如此有价值的全网络安全架构，我们推荐Cisco！！！
先说“外洗”：目前Cisco这个领域的解决方案业界独一无二，也有厂商在模仿Cisco方案，但最终以失败告终，我们也正在将电信的某些客户从其他厂商迁移到Cisco，电信的某些用户甚至跟贵公司同处于同一个IDC里，有的厂商甚至通过恶意攻击用户而推销他们的产品，到最后还是被绳之以法，

其次说“内控”： Cisco的MARS，全网络安全架构的“大脑”，Cisco-MARS的功能就是可以接受各种设备的事件和数据,进行事件分析.汇总、然后根据需要生成相关的报告结果. 以达到识别和消除网络攻击；Cisco的网络准入控制（NAC、新版本的CCA），让任何服务器/主机进入网络前就必须接受公司策略检查；Cisco的CSA，为服务器和主机PC的加固/防护包括公司敏感数据保护；

再说“中隔离”：按照功能区的安全域划分，在执行完办公OA全网络准入控制、安全事件全网络实时检查后，建议从更高层次确保贵公司为每个功能区建立安全区域，这些域相互访问又相互隔离；