网络安全和数据私密性
网络在确保不间断业务运营和增长方面的重要性与日俱增,网络中的数据数量庞大而且种类繁多,包含有关企业或个人的更全面信息,凸显了在网络中确保数据安全性和私密性的必要性。博科提供先进的解决方案,帮助企业应对各种安全漏洞——这些漏洞有可能导致故障停机,带来合规性问题或损坏数据完整性和私密性。
移动设备、云和社交媒体领域的重大技术和文化演变正给网络带来重大影响。最终用户预期不断发展变化,推动着对全新应用架构、服务部署模式及虚拟化等基础架构的需求。然而在企业试图满足这些需求的过程中,他们也面临一些严峻挑战,如以更低的成本实现更高的生产率,同时确保理想的服务水平和安全性。IP电话、视频流、协作、移动性和基于云的各种下一代应用有望大大提高整个组织和个人的生产率,但同时也凸显了一个普遍的问题——如何确保IT基础架构的安全性和完整性。
全面的安全解决方案需要涵盖数据、应用和整个网络基础架构。确保数据私密性和控制数据传输范围是所有企业担心的主要安全问题。网络基础架构包括物理和虚拟交换及路由设备、应用设备和安全服务,是企业安全性和私密性策略中不可或缺的组成部分。
为帮助企业应对这些网络安全挑战,博科IP网络连接产品可提供原生安全性和加密功能,与领先的安全提供商产品相得益彰,提供灵活、开放而高效的解决方案来保护多种网络环境。博科与其安全合作伙伴密切合作,帮助企业利用公认的解决方案部署并管理安全的网络。这些解决方案可提供可靠、从边缘到核心、从客户端到服务器受到有效保护的弹性网络基础架构,并提供积极主动的安全性来帮助确保业务连续性和监管合规性。
端到端网络与集成数据加密、行业领先的安全产品相结合,共同提供可靠的架构,其中包括增强的MAC层和IP转发功能、线速MACsec、IPsec加密和防火墙功能。博科安全解决方案合作伙伴生态系统可提供高级数据和应用保护,支持高性能低延时防火墙设备、防火墙、网络准入控制、网络入侵检测和防护、电子邮件和Web安全性、数据丢失防护和DoS缓解功能,实现全面的威胁防护。
身份验证
博科网络产品已通过验证,证明可与最先进的身份验证解决方案互操作,包括基于RADIUS、Windows登录及其它常用身份验证技术的解决方案。博科与McAfee等安全合作伙伴携手,致力于开展互操作性测试和共同开发,支持最常用的行业标准身份验证解决方案,验证其网络、安全和流量管理解决方案可在各种环境中无缝地运行。
Brocade IronShield 360安全解决方案可支持多种身份验证机制,满足许多企业的安全需求。这包括基于RADIUS的802.1x、MAC和Web身份验证。博科2层和3层交换机和路由器已通过互操作性、可扩展性和可靠性测试,证明可用于多种最先进RADIUS服务器,包括Microsoft Internet Authentication Server(IAS)和Windows Supplicant;Juniper Networks Steel-Belted RADIUS Series [即Funk Software的原Steel Belted RADIUS(SBR)]和Odyssey Client;开源FreeRadius产品;Cisco Access Control Server(ACS);Radiator及Infoblox。
博科网络边缘产品可在不同端口上支持不同的身份验证机制。这样就可以在多个用户使用同一个端口,或某个客户端PC与IP电话或多媒体设备共享一个端口时确保全面的终端设备安全性和有效的身份验证。
对于可能不能控制终端主机或使用多种不同操作系统的站点,博科对Web身份验证的支持可提供有效的安全性。在需要保护网络接入但又不能将Supplicant放到终端客户端上的大学和热点环境中,这是最理想的解决方案。在这种环境中,试图接入Web的用户通过为他们提供服务的博科交换机进行重定向,以验证他们的证书。
与最先进的RADIUS厂商解决方案一同使用时,博科产品可支持业内最著名的身份验证方法。这样就使企业可以选择最适合满足其需求的理想身份验证方法和厂商,而不会将他们锁定在专用解决方案上。
交换机安全性
今天的网络正越来越多地变为融合交付环境,它们必须确保每一层的安全性。通过防止DoS攻击、探听和无线攻击,博科网络解决方案可提供全面的交换机和路由器安全性。博科交换机和路由器可防止各种攻击;而且借助嵌入式sFlow功能,它们可以为第三方安全设备提供额外的可视性和数据。
博科2-3层有线和无线LAN交换机可提供先进的融合、嵌入式和高速安全特性,使网络基础架构免受恶意用户或恶作剧用户的攻击。这些特性可帮助确保基于博科2层和IP转发产品的网络始终安全稳定,而且可继续以线速转发数据包而不造成任何漏洞或服务中断。
博科嵌入式安全特性还设计用于安全的服务。这样就可以帮助确保为融合语音、视频和数据服务提供安全的通信和基础架构。随着VoIP和视频交付服务在许多企业中的普及,有一点非常重要,那就是这些服务必须得到有效保护,而且所有流量可保证正常传输。
博科网络连接产品可支持多种关键的安全特性,包括面向业内最广泛服务的DoS攻击缓解及2层、3层和4层(TCP/UDP)服务保护。线速接入控制列表和速率限制功能可在博科LAN交换机中轻松实施并得到管理。博科还支持针对非法服务的保护特性,包括DHCP侦听、ARP检查和IP源保护,以防止IP和MAC层侦听并验证DHCP服务。在无线环境中,博科接入点(AP)可轻松转变为非法AP检测和抑制引擎,防止非法AP违反网络安全策略。
博科致力于与不同厂商合作,确保博科产品可用于客户端准入控制环境中,进而确保可提供广泛的网络接入控制(NAC)支持。这些环境包括802.1x Supplicants和RADIUS服务器以及使用NAC设备方法的产品。博科产品通过了多项互操作性验证测试,可通过开放、基于标准的方法来交付NAC解决方案。这包括自动允许符合标准的用户接入;进行修补或限制/禁止该用户接入等。
802.1x是根据用户名和密码证书保护网络接入安全的有效协议,但它也有一些缺陷。主要缺陷是无法验证客户端工作正常并运行必要的安全软件,无法保护其自身及用户尝试接入的网络资源所属的企业。
注重内部网络安全性的企业必须实施适当的策略来确保这种安全性。帮助确保内部网络安全性的策略实例包括:
· 客户端必须运行特定的Windows版本和Service Pack
· 客户端必须运行特定的防病毒软件
· 客户端必须运行特定的个人防火墙软件
· 客户端必须运行规定的入侵检测和防护软件
· 客户端必须运行间谍软件/广告软件防护软件
虽然这些IT策略可帮助企业确保内部安全性,但如果没有具体的策略实施,则只能是纸上谈兵。为帮助实施IT安全策略,积极主动地确保连接到网络的客户端运行健康,不会偶然或恶意地感染网络中的其它系统,博科开发了业内最具可扩展性、基于标准的网络准入控制架构。
博科与McAfee、微软、Symantec等一流合作伙伴携手,交付积极主动、可轻松添加到基于802.1x RADIUS的现有身份验证系统中的网络准入控制解决方案,确保只有达到适用的IT策略后才允许客户端接入网络资源。
博科安全架构中提供的这种开发标准支持确保了只有符合IT策略的客户端才能接入生产网络。如果出现不符合策略的情况,则用户将根本无法接入网络或只能获得有限的接入权限(如接入互联网)。否则,用户将被隔离并采取修复措施,使作为合法用户(但不符合IT安全策略)的客户端可以快速确定为什么需要修补及如何修补自己的系统以接入生产网络。
在这种架构中,Brocade RADIUS/802.1x安全模式中新增了几种新组件以提供这种健康状况检查功能。这包括NAC客户端和服务器。NAC客户端安装在获准接入内部网络前将接受健康状况检查的每台客户端上。NAC服务器可以是与RADIUS服务器一同运行的设备,作为RADIUS代理。通过与Impulse Point、McAfee、微软、Symantec及Check Point Software合作,博科证明其边缘交换机和无线AP解决方案可提供广泛的可互操作性而且易于部署。博科解决方案和合作伙伴产品协同运行,帮助企业实施IT安全策略,提供积极主动的网络安全性。
博科与行业领先的安全技术合作伙伴McAfee密切合作,提供业内最全面的闭环入侵检测、防护和修复解决方案。企业可以针对客户端和服务器操作系统和应用漏洞、恶意软件感染、拒绝服务(DoS)和分布式DoS攻击提供全面的威胁防护。
McAfee可提供先进的威胁防护技术,将签名、协议验证、异常检测、行为分析和其它方法相结合,帮助确保最有效的网络IPS保护。此外,博科多层LAN交换机可以提供线速sFlow功能,为通过网络基础架构传输的流量提供网络监控和分析功能。
在需要保护网络中任何位置上的战略资产时,企业可以部署来自博科和McAfee等的IPS解决方案。这些解决方案可以部署在网络边界、数据中心内、核心和汇聚层甚至网络边缘(在这里解决安全问题通常非常昂贵而且困难)。
经济高效、适用于网络边缘的博科解决方案的秘诀是始终遵从开放标准,确保与主要入侵防护厂商产品的可互操作性及对sFlow技术的嵌入式支持。嵌入式sFlow使博科产品可以将数据包发送回IPS系统以进行详细的数据包检查和分析,补充入侵防护技术的主要功能,而IPS设备部署在适当的网络层中以检测并阻止恶意软件,缓解DDoS攻击。博科解决方案可完成数据包捕获而不影响LAN交换机的线速性能。
企业可以轻松配置博科交换机,以此作为传感器,通过嵌入式sFlow功能捕获数据包然后再发回到作为sFlow收集器(collector)运行的INM。然后,INM将sFlow数据转为各种开源产品都可以支持的pcap格式。这样,所有这些产品就都可以提供宝贵的工具来检测并防御网络攻击。
若欲更多地了解McAfee IPS功能,请点击该链接和链接。
有关McAfee IPS管理功能的信息请参阅McAfee Network Security Manager。
博科网络连接产品设计用于交付线速2-3层转发功能,可通过嵌入的sFlow技术提供流量信息。这样就可以帮助将网络流量实时交付给各种安全、报告和合规性设备。这包括IPS、流量计费设备及应用。借助sFlow,博科可向sFlow收集器(collector)提供网络监控功能,补充通过博科安全合作伙伴(如McAfee和CheckPoint)的IPS解决方案提供的保护服务。
不管企业规模如何,全面的网络管理一直是网络管理员的一个重要目标。试图了解所有可能的流量、带宽要求、性能影响、安全威胁和计费分配只是当代网络面临的众多挑战中的一小部分。随着网络规模、速度和容量的增加,要使用传统工具(采用基于RMON或NetFlow的计数器和统计技术)进行监控和管理,难度日益加大。
sFlow是一种先进的标准网络导出协议(RFC 3176),可帮助化解企业目前面临的许多挑战。通过将sFlow技术嵌入到LAN交换机ASIC中,博科可提供以线速性能运行的“一直在线(always-on)”技术。与使用镜像端口、探针和线路分流器(line tap)技术的传统网络监控解决方案相比,博科解决方案的实施成本要低得多。现在,有了sFlow,就可以在企业网络的每个端口上实施全面的企业级监控功能。
Brocade sFlow实施的优势包括:
· 基于ASIC,可实现快速、低开销的监控
· 降低在整个网络中使用端口镜像和配置网络探针的需求(这样就可以降低成本和复杂性,同时确保高性能)
· 支持多种协议(IPv4、IPv6和MPLS)
· 可轻松集成多种网络管理和合作伙伴威胁防护技术
· 与InMon Traffic Server协同运行,提供连续网络流量监控和分析功能。有关InMon Traffic Sentinel的更多信息请访问:http://www.inmon.com/。
|
以太网
|
