谁对你的网络有最好的安全交换机解决方案?我们询问了主要的制造商,第三部分- ProCurve网络

很多客户在看网络交换厂商的时候问我,谁有最好的网络安全解决方案?我没有发表一个很长的故事,让每个人都抨击我的观点,而是把它带给了构建交换机的人。是的,我们给每个主要制造商发了一份清单,上面列有客户在一致的基础上问我的10个问题。以下是回复我的公司,并将成为这个多篇文章故事的一部分:

惠普ProCurve、Enterasys Networks、瞻博网络(Juniper Networks)、Foundry Networks第1部分:Entersys,第2部分瞻博网络.)

一些公司没有给我们答复,这些公司是:

思科,北电,3Com, Force 10,极端网络

我要感谢每一家花时间为我们的读者提供更多网络交换机安全解决方案信息的公司。本周我们将介绍ProCurve网络,特别感谢ProCurve首席安全架构师Mauricio Sanchez回答了以下问题。我们对所提供的答案没有做任何改动。

问题回答:

毛里西奥·桑切斯,首席安全架构师

1.为什么你们的交换机安全解决方案的远景比其他厂商更好?

ProCurve为可靠的网络基础设施提供的主动防御(ProActive Defense)是一个大胆的网络安全新愿景,它将“进攻”和“防御”同时结合起来。通过主动防御,网络提供访问控制,可以为不同的用户提供适当的访问级别。它已经过测试,以检测和响应多种类型的网络攻击,并旨在保护我们所有人的数据和完整性

与竞争对手不同,ProCurve的策略是在用户和设备连接的网络边缘开发智能安全。ProCurve在统一的有线和无线网络中提供综合安全和集中管理。

2.您认为开放标准是最好的安全解决方案吗?它在您的解决方案中是如何发挥作用的?

是的,我们相信开放标准方法是解决安全问题的最佳方法。ProCurve在提供100%基于标准和可互操作的产品方面处于行业领先地位。客户可以随着业务需求的发展扩展和扩大ProCurve网络,而不必从头开始,或被专有解决方案和服务合同所束缚和限制。

3.您的解决方案中最重要的安全特性是什么?

在我们的解决方案中,最重要的安全特性不是特性本身,而是我们解决网络安全问题的方法。我们将安全能力整合到网络结构中。维护交换机和接入点,有助于防止安全违规,监控行为,并应用安全策略,最大限度地提高网络可用性。

我们的集成安全方法的几个例子包括:

1.ProCurve交换机和接入点实现了包防火墙功能,这些功能与身份驱动管理器(IDM)一起,允许执行基于每个用户位置和时间的动态访问策略。

2.ProCurve交换机和接入点通过支持基于mac、基于Web (Web Auth)或802.1X认证能力,提供了灵活的用户认证方案。

3.ProCurve交换机和接入点提供入侵检测服务(IDS)功能,如检测ARP攻击、登录/认证失败过多、IP地址计数异常高、MAC地址计数异常/学习/移动等。

4.ProCurve交换机和接入点提供入侵防御服务(Intrusion Prevention Services, IPS)特性,如病毒和ICMP流量调节、非法DHCP防御、动态ARP保护、BPDU过滤和阻断等。

5.ProCurve交换机和接入点实现sFlow数据采样,从第2层(数据链路)到第7层(应用)获得全面的网络可见性,以识别过度的带宽消费者、顶级通话者和协议攻击。

6.ProVision switch asic具有可重新编程的深度包检测引擎,用于包过滤、防火墙和每用户acl,并在未来可以与新的安全应用程序编程。

7.大多数ProCurve交换机包括复杂的端到端数据检查,如嵌入式内存错误检测和外部内存的ECC (error Correcting Code),以保持最高水平的数据完整性。

4.为什么您的网络访问控制解决方案是您的安全解决方案的重要组成部分?

网络访问控制是我们主动防御安全愿景的三个重要组成部分之一。NAC是一种进攻性组件,用于保护网络不受未经授权的访问,这种访问可能会对企业造成破坏。我们的NAC方法是基于我们的Adaptive Edge架构,它要求对边缘进行控制,从中心发出命令。控制边缘意味着我们依靠存在于网络边缘(局域网、WLAN或广域网边缘)的重要智能来实施动态网络访问策略。中心命令是指所有访问策略由用户或设备所连接的边缘网络设备统一管理,并动态执行。

除了构成NAC强制层的网络基础设施本身,构成我们访问控制解决方案的管理组件有:

1.采购经理加分是来自中心管理架构的ProCurve Command的基础,并提供了一个健壮的平台,可以轻松安全地、一致地管理网络基础设施设备。ProCurve Manager Plus是一个安全的、基于windows的高级网络管理平台,管理员可以通过易于使用的信息丰富的屏幕集中配置、更新、监控和排除ProCurve设备故障。

2.ProCurve身份驱动经理-增加基于策略的网络访问权限,以防止非法用户和设备访问网络,同时为合法用户提供适当的网络访问。ProCurve Identity Driven Manager基于用户、设备、位置、时间和客户端系统状态动态配置安全性和性能设置。

3.ProCurve Network Access Control 800-结合了一个基于radius的认证服务器和验证连接到网络的系统的完整性的能力,允许网络管理员保护网络免受非法用户和系统对网络资源构成的威胁。

5.移动性安全如何在您的安全解决方案中发挥作用?为什么它比其他供应商更好?

ProCurve移动解决方案是安全统一网络的延伸。无线连接不需要单独的网络。它是现有的一个延伸。无论用户如何连接,网络的行为都是相同的。当用户通过有线或无线访问连接到网络时,可以获得相同的可管理性和安全性。管理员使用跨有线和无线基础设施工作的通用工具和应用程序来管理他们的网络。

ProCurve移动解决方案与访问控制系统紧密集成,帮助管理未经授权访问网络的风险。在网络的边缘处理安全威胁,而不允许潜在威胁首先进入网络。智能网络边缘在入口执行安全策略。网络设备提供详细的可见性,主动解决有线和无线基础设施上任何地方的安全威胁。通过在有线和无线访问中应用相同的策略来实现一致的安全策略,同时避免重复,且不损害策略的完整性。我们的解决方案提供了灵活性,以实现对客户的不同级别的安全访问。

6.您的安全解决方案如何适应客户不断变化的环境?

我们的安全解决方案可以适应客户不断变化的环境,因为它们基于我们的自适应网络哲学。ProCurve商业模型的基础是Adaptive Networks愿景,该愿景交付的网络可适应用户、应用程序和组织的需求。ProCurve让公司可以花更多的时间实现业务目标,而不用花太多时间担心自己的关系网。

自适应网络是ProCurve对未来的愿景。它是一种网络能够适应用户、应用程序和组织需求的愿景。自适应网络使企业能够实施IT解决方案,将其网络转变为战略资产。ProCurve的使命是为客户提供基于标准、性价比高的产品,帮助企业加强安全、提高生产力和降低复杂性。

Adaptive Networks建立在ProCurve当前的企业网络架构蓝图上,即Adaptive EDGE架构(AEA)。在用户和设备连接的网络边缘,通过定位智能(网络响应和行动的能力),AEA使“控制边缘”和“来自中心的命令”成为可能。AEA使网络管理员能够保持对管理网络智能的政策和规则的控制。AEA对于网络适应不断变化的业务需求的能力至关重要。

7.如果一个公司可以在现有设备上节省资金,那么交换机安全解决方案如何与来自不同供应商的客户SIM、NAC、IDS、反病毒或一般网络管理工具一起工作呢?

如果客户现有的安全投资支持行业标准,那么我们的安全解决方案可以集成到这些解决方案中。ProCurve在提供100%基于标准和可互操作的产品方面处于行业领先地位。客户可以随着业务需求的发展扩展和扩大ProCurve网络,而不必从头开始,或被专有解决方案和服务合同所束缚和限制。

8.客户现在关注的是VOIP和汇聚安全,这从交换机开始。为什么您的解决方案比其他供应商更好?

ProCurve是该领域的领导者,帮助推动多用户和多角色网络访问控制认证……和in addition, working with many of the leading IP telephony vendors getting these capabilities as well as LLDP-MED onto their product roadmaps.

根据NetworkWorld四个月的独立产品评估测试,ProCurve的得分与思科不相上下,而成本却不到思科的1/2:

//m.amiribrahem.com/reviews/2008/032408-switch-test-scorecard.html

//m.amiribrahem.com/reviews/2008/032408-switch-test-authentication.html?nwwpkg=slideshows

融合和多供应商互操作性正在改变游戏,交换机之间开始出现更大的差异……尤其是在边缘。

9.客户需要主动的安全性,以便实时处理问题,您的解决方案能否实时修复问题,它是如何工作的,为什么它比其他供应商更好?

我们的主动防御安全愿景有一个防御组件,即网络免疫,专门用于处理实时威胁。客户可以利用我们的网络免疫管理器来部署网络免疫功能。ProCurve Network Immunity Manager是ProCurve Manager Plus的一个插件,可以检测并自动响应网络上的病毒攻击等威胁。该安全管理工具可以监控整个网络的设备,以防范内部网络攻击,并允许管理员设置检测和响应安全策略。它利用了ProCurve交换机与ProVision ASIC内置的安全和流量监控功能,如sFlow、病毒节流和远程镜像技术,并执行NBAD(网络行为异常检测)来检测攻击。

10.在未来的五年里,客户将不得不面对什么样的交换机安全解决方案?您的公司如何展望未来?

今天作为独立的盒子/解决方案存在的网络安全设备将会灭绝。目前独立安全设备提供的功能将集成到网络基础设施中。防火墙、全面入侵防御和检测以及VPN加密等安全功能将成为未来网络基础设施的内在功能。

对网络管理员来说,这种集成的好处是巨大的。因为他们将不再需要处理单独的网络和安全层,管理员可以避免成本、性能和管理折衷,现在需要独立的安全设备。

此外,网络安全将越来越以标准为基础。对于ProCurve来说,这一趋势不需要我们调整产品战略,因为ProCurve对标准领域的承诺和领导地位——尤其是在网络安全领域——是我们的主要价值之一。

定义可部署的安全网络基础设施环境的一组标准包括(但不限于):

  • IEEE 802.1AR安全设备标识
  • TCG可信平台模块
  • IEEE 802.1AE - MAC安全
  • IEEE 802.1af认证密钥协议
  • IETF EAP密钥框架

需要关注的重要端点评估标准包括IEEE 802.1X、TCG/TNC规范、IETF RFC 3580、RFC 4675、RFC 4849、IETF网络端点评估(NEA)、TCG TNC (Trusted Network Connect)和微软网络访问保护(NAP)。

链路安全协议包括IEEE 802.1X-2004、IEEE 802.1ae、IEEE 802.1af和IEEE 802.11 TGi。还有AAA传输协议、身份验证协议、策略配置、服务器和客户端api,以及许多其他与安全相关的标准,它们对您的网络非常重要。

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对自己最关心的话题发表评论。

版权所有©2008 IDG ComRaybet2munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题