思科安全代理Cisco Security Agent

通过推出思科安全代理终端安全软体，思科可以为它的客户提供最全面的网路安全威胁防範产品，以保护大型企业网路。

新一代思科安全代理网路安全软体可以为伺服器和台式机计算系统（也被称为“终端”）提供威胁防範功能。思科安全代理与传统的终端安全解决方案的不同之处在于，它可以在恶意行为发生之前发现和阻止它们，进而消除潜在的已知和未知安全风险，防止其威胁到企业网路和套用的安全。因为思科安全代理採用的是分析行为而不是特徵匹配的方法，因而这个解决方案能够以较低的运营成本提供强大的保护。

汇聚和拓展多种终端安全功能——思科安全代理可以在同一个代理产品中提供主机入侵防範、分散式防火墙、恶意移动代码防範、作业系统完整性保障和审核日誌整合等功能。 提供针对所有类型的攻击的防範，包括连线埠扫描、缓冲区溢出、特洛伊木马、畸形分组、恶意HTML请求和电子邮件蠕虫。 针对已知和未知的攻击提供“零升级”防範。 为基于Unix和Windows平台的伺服器和台式机提供业界领先的保护功能 为Web伺服器和资料库提供针对特定套用的保护 开放的、可扩展的架构可以提供根据企业策略定义和执行安全功能的能力 提供一个可以在整个企业範围内扩展的架构；思科安全代理解决方案可以通过拓展让一个管理器管理数千个代理 通过Cisco PIX、Cisco Secure IDS和Cisco VPN安全设备提供集成化的管理 通过“你在那吗”（AYT）功能与思科VPN集成

最近一些引起广泛关注的攻击（例如红色代码和SQL Slammer蠕虫）表明，传统技术在消除新的、不断发展的攻击手段所带来的影响方面能力非常有限。客户需要可以在攻击的所有阶段进行阻止并针对新的、未知的威胁提供重要防範措施的主机安全产品。

网路系统入侵通常分为多个阶段。思科意识到，只有一种层次化的方法才可以有效地消除在攻击的任何阶段出现的安全漏洞——从网路周边到伺服器，或者到档案级别。思科安全代理可以在入侵的所有阶段主动防御对主机的攻击，而其他技术只能在入侵的早期提供保护（而且只有在知道特徵的情况下）。思科安全代理採用了特殊的设计，可以抵御拥有未知特徵的新型攻击。

思科安全代理包括多个基于主机的代理，它们部署在关键任务型台式机和伺服器上，向运行在CiscoWorks VPN/安全管理解决方案（VMS）上的管理中心进行报告。这些代理採用HTTP和安全套接字层（SSL）协定（128位SSL）建立管理接口和进行主机、管理中心之间的通信。所有配置都通过CiscoWorks VMS进行，而警报通过CiscoWorks安全监视器（SecMon）与来自于其他思科安全产品的警报集成到一起。

思科安全代理位于套用和核心之间，它可以在最大限度地减少对底层作业系统的稳定性和性能的影响的情况下，最大限度地提高套用的可见性。这种代理的独特架构可以阻截作业系统对档案、网路、注册表资源和动态运行时间资源（例如记忆体页、共享库模组和COM对象）的所有调用。思科安全代理能够利用独特的智慧型，根据某个特定套用或者所有套用的不当或者不可接受行为的规则，关联这些系统调用的行为。正是这种关联和在此基础上对套用行为的理解使得软体——按照安全管理人员的指示——可以防止新型的入侵。

当某个套用试图执行某项操作时，思科安全代理将根据套用的安全策略检查操作，实时地做出是否允许或者拒绝这项操作的决策，并判断是否需要记录该请求。安全策略是IT和/或安全管理人员针对受保护的伺服器和台式机或者对整个企业制定的一组规则。这些规则提供了对必要资源的安全套用访问。通过在预设的伺服器和台式机策略中集成採用了分散式防火墙、作业系统锁定、完整性保障、恶意移动代码防範和审核实践关联功能的安全策略，思科安全代理可以为存在对外连线的企业系统提供深层保护。

因为保护建立在阻止恶意行为的基础上，所以预设策略无需升级就可以防止已知的和未知的攻击。关联是在代理和管理中心控制台上进行的。基于代理的关联可以大幅度提高準确性，在不影响正常活动的情况下发现实际的攻击或者网路滥用行为；在管理中心进行的关联可以发现全局式攻击，例如网路蠕虫或者分散式扫描。

思科安全代理的管理中心可以通过CiscoWorks VMS平台集中地为所有的代理提供所有的管理功能。它的基于角色的、基于Web浏览器的、“从任何地方进行管理的”访问方式使管理人员可以方便地创建代理软体分发包、创建或者修改安全策略、监控警报或者生成报告。因为它预置了超过20多种完整的预设策略，管理人员将能够方便地在整个企业中部署数以千计的代理。管理中心还可以让客户在“IDS模式”下部署代理。在这种模式下，活动会引发警报，但是不会被制止。

思科安全代理的管理中心提供了虽然简单但是十分强大的定製功能。例如其中的调整嚮导让管理员可以迅速地根据他们的环境修改预设的策略。管理员可以方便地修改规则或者创建新的规则，以满足特定的需求。为了支持适应性审核需求，一个“解释规则”功能将提供关于特定的规则或者策略的功能的说明。

代理由思科安全代理管理中心直接部署到伺服器和台式机上，并可以通过这个管理中心进行控制和升级。每个代理都可以独立运行——如果无法与管理中心通信（例如，某个远程笔记本用户还没有通过VPN接入网路），代理仍然可以执行安全策略。所有安全警报都暂存在代理中，当通信恢复时再被上载到管理中心。

思科还提供了附加的思科安全代理调节器。它是思科安全代理管理中心的一个内嵌套用，可以针对特定的套用和环境提供一个全面的数据分析的策略创建工具。该调节器可以分析实际的套用行为，以创建允许客户保护任何套用的定製策略，甚至一些极为複杂的、针对某个特定客户的环境进行了高度定製的策略。

Windows 2000 Server 和Advanced Server Windows NT 4.0 Server 和 Enterprise Server （Service Pack 5 或者更高版本） Solaris 8 Service Pack ARC 架构（64位核心） 思科台式机代理支持：

Windows NT 4 Workstation（Service Pack 5 或者更高版本） Windows 2000 Professional Windows XP Professional 基于CiscoWorks的思科安全代理管理中心适用于：

Windows 2000 Server 和Advanced Server （Service Pack 3）预设的安全策略适用于（它们可以根据需要组合到一起）：

普通伺服器 普通台式机 Microsoft IIS 4.0和5.0版 Apache v1.3 Microsoft SQL Server Microsoft Exchange Sendmail 域名系统（DNS） 动态主机控制协定（DHCP）伺服器 网路时间伺服器 域控制器 分散式防火墙 浏览器保护 即时讯息工具控制 Microsoft Office保护 防止数据窃取 思科安全代理管理器保护 CiscoWorks VMS Cisco CallManager保护 可用语言：

所支持的所有作业系统必须是英语（美国）版本安装要求

说明：只支持作业系统的英语（美国）版本。

Windows NT 4.0 Server（Service Pack 5 或者更高版本） Windows NT 4.0 Enterprise Server（Service Pack 5 或者更高版本） Windows 2000 Server （最高Service Pack 3） Windows 2000 Advanced Server（最高Service Pack 3） 一个或者多个Pentium 处理器，200 MHz或者更高主频 至少128 MB RAM 用于Solaris平台的伺服器代理

Solaris 8 SPARC 架构（64位核心） Ultra SPARC 处理器，500MHz或者更高主频 支持256 MB 台式机代理

Windows NT 4.0 Workstation（Service Pack 5 或者更高版本） Windows 2000 Professional （最高Service Pack 3） Windows XP Professional （最高Service Pack 0 或者 1） 一个或者多个Pentium 处理器，200 MHz或者更高主频 至少128 MB RAM採用CiscoWorks VMS 的思科安全代理管理中心

Windows 2000 Server 或者 Advanced Server （Service Pack 1 或者 Service Pack 2） Pentium 500 MHz处理器或者更高主频 至少384 MB RAM 2 GB 磁碟 订购信息

思科安全代理主要包含两个组成部分：代理和思科安全代理管理中心。要运行代理，必须要安装思科安全代理管理中心；代理不能登记到一个未经许可的控制台上。思科安全代理管理中心是伴随着单独获得许可的CiscoWorks VMS产品（受限或者不受限）一同免费提供的。