《RADWARE针对企业用户的.docx》由会员分享,可在线阅读,更多相关《RADWARE针对企业用户的.docx(42页珍藏版)》请在三一办公上搜索。
1、RADWARE针对企业用户的整体解决方案以色列Radware有限公司北京代表处2007年1月目录一、行业背景4二、企业用户网络应用现状52企业网络应用现状简述52.1广域网链路现状62.2网络安全防护现状72.3网络应用现状83企业网络中存在的缺陷83.1广域网链路存在的缺陷93.2网络安全防护存在的缺陷103.3网络应用存在的缺陷11三、企业网络应用需求分析121广域网链路需求分析122网络安全防护需求分析133网络应用需求分析14四、Radware解决方案161.Radware公司简介162Radware解决方案介绍182.1Radware解决方案拓扑图182.2Radware解决方案简介
2、192.2.1Radware连接解决方案部分简介202.2.2Radware安全解决方案部分简介212.2.3Radware应用解决方案部分简介233Radware技术介绍243.1DefensePro 实现入侵和DOS攻击的实时防范243.1.1Dosshield实现已知攻击工具防范243.1.2Behavioral DoS基于网络行为模式实现自动攻击防范253.1.3入侵防范防范各类应用攻击273.1.4带宽管理283.1.5其它安全相关功能283.1.6DefensePro的安全报告293.2LinkProof 链路优选方案303.2.1链路健康检测303.2.2流入(Inbound)流
3、量处理313.2.3流出(Outbound)流量处理323.2.4独特优势-“就近性”运算333.3SecureFlow对防御系统进行中央管理343.3.1保证各安全工具的高可用性343.3.2提升各安全工具的处理性能353.3.3统一和可升级的安全体系结构353.4AppDirector-实现服务器负载均衡353.4.1健康状况检查363.4.2交易完整性的可靠保证363.4.3完全的容错与冗余363.4.4通过正常退出服务保证稳定运行363.4.5智能的服务器服务恢复373.4.6通过负载均衡优化服务器资源373.4.7应用交换373.4.8URL交换373.4.9内容交换373.5App
4、Xcel 智能应用加速373.5.1SSL加速383.5.2集中处理多设备应用程序和SSL协议管理383.5.3TCP 优化393.5.4多路HTTP/s协议393.5.5高速缓存393.5.6http压缩393.5.7数据压缩40五、Radware整体解决方案的优势41RADWARE针对企业用户的整体解决方案一、 行业背景人类社会在进入80年代以来,以现代通信技术与计算机、网络技术引导的技术革命取得了巨大的成功。基于Internet及Intranet技术得到了普遍的应用。大大地推动了全球信息化的进程,改变了人类传统的生产和生活方式。促进了知识经济的成长,加快了世界经济一体化进程。对信息的掌握
5、、利用与传播成为影响生产力发展水平和综合国力增强的关键因素,信息化程度已成为国家发展潜力和发展水平的重要标志。然而一个国家信息化的程度如何最终体现在企业信息化的程度。因为企业才是财富最终的创造者。也就是说,企业信息化的程度是衡量一个国家信息化水平高低的一个最重要的标志。 所谓企业信息化是指“企业利用现代信息技术手段,在生产、经营、管理过程中,有效地开发、利用信息资源的过程”。实现企业信息化,就是企业充分运用通讯、计算机和网络技术等现代信息技术与装备,采集、加工、处理、传递和贮存信息,对信息资源进行有效地开发与利用。企业能否有效地开发利用信息、优化信息资源的配置,决定着企业管理效率高低、整体素质
6、优劣和竞争优势强弱。开展企业信息化有利于企业实现信息资源的共享、有利于加强企业的管理、决策、运营的现代化与信息化。近年来,很多企业都建立了与互联网相连的企业内部网(专网),大大促进了我国的企业信息化进程。随着中国市场逐步开放,许多国内企业走出国门谋求更大的市场空间。在网络信息技术高速发展的今天,企业信息网络是否高效、畅通、安全在很大程度上影响企业的生产、销售、管理等各个环节。对于现代企业来说,及时了解客户的需求和市场动态非常重要,建立一个高效、可靠的企业信息网络就显得尤为迫切。企业网内的应用大致包括如下内容:企业不同部门之间的文件资源共享、打印共享;收发电子邮件、网络传真,召开视频、网络电话会
7、议最大限度降低办公成本;企业自有的办公OA 系统、ERP、CRM 等信息管理系统;企业建立自己的门户网站,通过网络宣传企业或开展电子商务。然而,就在我们得益于现代网络通信技术给我们带来便利的同时,我们也体会到了网络给我们带来的灾难。来自外部的蓄意攻击、计算机病毒的侵袭、和来自商业间谍对信息数据的窃取、破坏使我们防不胜防;网络安全问题得到了普遍的重视。如何为企业用户提供一个安全、稳定的网络应用平台已成为一个日益突出的问题。Radware公司针对日益突出的网络安全问题推出了一系列网络安全产品。 旨在推动我国网络安全事业的发展,为我国的信息网络保驾护航。为广大的网络用户提供一个安全、稳定的网络应用平
8、台。本方案就是针对我国企业用户提供的一套整体解决方案。二、 企业用户网络应用现状2 企业网络应用现状简述一个典型的企业的网络拓扑结构图如下图所示:可以看出上述典型的企业网络大致由3 部分组成:l 网络连接部分l 网络安全部分l 网络应用部分下面我们就这三部分做简要描述:2.1 广域网链路现状网络连接部分还可以分为Internet连接部分和专网连接部分:Internet连接部分Internet连接部分是指企业网络数据中心通过ISP运营商的链路连接到Internet,用于企业对外的网上公共信息发布、为Internet用户提供企业网上应用,同时企业内部用户也可以访问Internet上的资源;专网连接
9、部分专网连接部分用于企业网络连接各地分支机构。分支机构的内部用户通过专网连接访问数据中心的应用服务器,例如:WEB服务器,E-Mail服务器等,同时也可以通过数据中心的Internet链路访问Internet上的资源。2.2 网络安全防护现状网络安全部分通常由防火墙、入侵检测系统(IDS)和防病毒网关等设备构成,用于制定内部信息资源的不同访问策略,保护数据中心的应用免受来自Internet的网络攻击。2.3 网络应用现状网络应用由企业对外WWW信息发布系统,业务应用系统和后台数据库系统组成3 企业网络中存在的缺陷从上图中可以看出,在企业网络中存在很多网络设计上的缺陷,总结起来可以分为以下三个部
10、分的问题: 网络连接部分存在的问题 网络安全部分存在的问题 网络应用部分存在的问题下面我们就这三部分存在的问题做详细描述:3.1 广域网链路存在的缺陷企业网络连接部分存在的问题可以分为以下两部分: 企业中央机构Internet链路存在的问题: 各分支机构到中央机构之间广域网链路存在的问题:企业中央机构Internet链路存在的问题:l 链路的单点失效性:采用单一Internet连接链路存在单点失效性,一旦该链路出现故障将造成整个网络的瘫痪;l 链路性能的瓶颈:单一Internet连接链路的带宽资源是有限的,无法满足企业内部全体用户对网络访问Internet时带宽不断增长的需求,同时也无法大量的
11、Internet上的用户对企业的访问;l 访问快慢不一内部用户访问internet资源时,或外部用户访问企业发布的内部资源时,会受到ISP提供商的不同,而产生访问快慢不一的现像。例如:如果企业采用的ISP是通过网通接入的,在访问处于电信的资源时,会由于不同ISP之间互连互通的问题造成访问变慢,而访问网通资源时,就不会存在问题。l 网络安全防护能力弱:目前Internet上的各种各样的网络攻击层出不穷,路由器自身对网络攻击的防护能力非常有限,DOS/DDOS 网络攻击会对广域网络由器产生严重的影响;各分支机构到中央机构之间广域网链路存在的问题:l 链路的单点失效性:各省级机关到中央机构之间采用单
12、一广域网链路,存在单点失效性,一旦该链路出现故障将造成该省级机关无法访问中央机构和Internet;l 链路性能的瓶颈:各省级机关到中央机构之间采用低速的广域网链路(Frame Relay,DDN),而各分支机的用户访问中心的应用服务器的网络流量,以及各分支机的用户访问Internet的网络流量都要经过这条单一的广域网链路,因此无法满足用户对网络带宽不断增长的需求;l 网络安全防护能力弱:各省级机关中收病毒感染的机器会向中央机构发送攻击数据包,造成各省级机关到中央机构之间的链路拥塞,从而影响网络中的关键应用的正常运行3.2 网络安全防护存在的缺陷l 网络安全设备的单点失效性:单一的网络安全设备
13、存在单点失效性,例如:图中的防火墙和防病毒设备一旦出现问题,将造成整个网络的瘫痪;l 网络安全设备性能的瓶颈:网络安全设备由于要对进出网络的数据包进行安全性检查,与网络路由器和网络交换机相比,性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有310Mbps。因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。l 安全体系架构存在漏洞:防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制,并且可以对基于状态的协议进行协议状态检查,因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如: 蠕虫入侵病毒入侵。后门攻击。IDS可以对网络
14、中的数据包进行深入的分析,可以检查到资料包中第7层的信息,它具备随时对可疑流量进行检查和识别的能力。但是IDS最大的问题是IDS并不能阻止攻击的入侵,仅仅能发出告警,而此时网络攻击已经进入到网络内部。目前我们面临着手段各异形式多样的混合式攻击威胁,这些攻击中应用级层的攻击占了绝大多数,为了抑制这些攻击,Gartner建议“在作出安全方面的决策时除了考虑简单的静态协议过滤外,还要考虑对应用内容(网络七层中的攻击特征)进行深入的数据包检查,并阻挡该攻击”。因此,企业在面临多种多样的攻击威胁时,急需找到更严密的安全防护手段。3.3 网络应用存在的缺陷l 网络应用的可靠性较差:应用服务器由于服务器硬件
15、的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7x24 小时的持续性服务。l 网络应用的性能瓶颈:在网络应用系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。 l 网络应用的安全性较差:从上图中可以看出现有网络中的安全性防护机制的特点是: 现有的安全性防护机制通常是针对来自外网的攻击; 缺乏针对来自内网的攻击防护机制; 现有的安全性防护机制通常是针对整体网络层面的攻击防护,即针对网络IP层、TCP/UDP层的网络4层以下的
16、攻击防护; 缺乏针对具体的、特定的企业网络应用的特点而专门制定的符合企业网络应用的基于网络7层防护的安全性防护机制;三、 企业网络应用需求分析1 广域网链路需求分析网络连接方面的需求多链路负载均衡技术企业在网络连接方面的需求可以分为以下两部分: 中央机构Internet网络连接方面的需求 各省级机关到中央机构之间网络连接方面的需求中央机构Internet网络连接方面的需求目前在国内由于多家ISP的竞争,Internet 接入链路的成本大幅降低,多链路Internet的接入已成为许多用户在的选择网络连接方面的需求。因此在中央机构Internet网络连接方面,企业网络将存在如下要求:l 提高Int
17、ernet网络链路的可用性:建议企业采用接入多个ISP的方式提高可用性,而当企业网络中心具有多条Internet链路后,应提高Internet网络链路可用性的智慧检查能力,防止出现由于某一条Internet链路的失效造成整体网络的不可访问。l 提高Internet链路的网络吞吐量:提高网络中心的Internet网络链路的吞吐量,申请多条Internet链路l 提高Internet网络链路的抗网络攻击的能力:Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路,因此应加强在Internet链路上的攻击防护。各省级机关到中央机构之间网络连接方面的需求目前各省级机关到中央机
18、构之间通常采用Frame Relay或DDN等昂贵的专线广域网链路,而目前国内运营商可以提供相对高速同时价格便宜的Internet 接入链路,例如: ADSL,因此企业网络存在入下要求:l 提高省级机关到中央机构的广域网链路的可用性:如果各地省级机关与中央机构之间存在多条链路,应注意提高省级机关到中央机构的广域网链路可用性的智慧检查,防止出现由于某一条链路的失效造成整个省级机关无法访问到中央机构。l 增加省级机关到中央机构的链路,增加带宽,同时降低省级机关与中央机构之间广域网链路的成本:利用运营商提供的低价、高速链路,在各地省级机关与中央机构之间增加链路带宽,设法降低减轻各地省级机关与中央机构
19、之间专线的流量压力,降低广域网链路的成本l 提高各个省级机关的网络安全防护能力:在各个省级机关的广域网出口和Internet出口的位置增加网络安全防护的能力,以保证各省级机关的网络安全,同时可以保证一旦某个省级机关内部的用户受到网络攻击的侵袭,那么该网络攻击不会扩散到中央机构,以及其它省级机关。2 网络安全防护需求分析网络安全方面的需求防火墙、IDS、防病毒设备负载均衡技术的需求为了保证企业的网络在网络安全防护方面的高可用性、高性能和安全性,企业在网络安全方面的需求可以分为以下几部分:l 提高网络安全设备的可用性:网络中应具备安全设备的的可用性检查,避免单一的网络安全设备的单点失效性。l 提高
20、网络安全设备性能:在网络中采用多台网络安全设备,避免网络安全设备带来的瓶颈,提高网络传输速度。l 完善网络安全体系架构:现今,各种各样的网络攻击层出不穷,导致防火墙的负荷在不断提高,再相对于网络物理带宽的大幅度提高,防火墙逐渐成为了网络的瓶颈,本案希望使用一组(2个以上)防火墙采用负载均衡技术提供安全服务,以提升性能。网络安全方面的需求具备深层检测、高性能的安全防护设备需求当前的黑客攻击,具备层出不穷,隐蔽性强,攻量大,影响广等特点,对安全网关设备提出了更高的要求,因此需要企业的网络中的安全产品提出了新的需求,要求应用安全产品具备防范一系列攻击的智能和性能: 第一, 需要集成的实时安全性,发现
21、攻击和入侵立即拦截第二, 能够深入检查数据包,防范各种应用层攻击,例如蠕虫、病毒、木马和Dos 攻击第三, 能够即使拦截大流量,爆发性的DoS/DDos攻击,与此同时,要求网络访问正常进行,网络的性能不能有太大降低第四, 要求安全产品具备数千兆位速度双向扫描的安全检测性能第五, 能够对链路的带宽使用进行有效管理,如对消耗带宽资源非常严重的P2P流量进行有效控制,保证关键应用的带宽使用3 网络应用需求分析网络应用方面的需求应用服务器负载均衡技术的需求为了保证企业的网络应用的高可用性、高性能和安全性,企业的网络应用存在下列需求:l 提高网络应用的可靠性:自动的网络应用可用性检查,保证网络应用的7x
22、24 小时的持续性服务。l 提高网络应用的性能:如果网络中仅有单台服务器提供网络应用的服务,很难保证网络应用的性能,可以考虑增加相应的服务器数量,配合负载均衡技术来提高网络网络应用的性能。l 网络应用的安全性较差:制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制;四、 Radware解决方案1. Radware公司简介Radware公司是RAD集团的成员之一,RAD集团目前拥有14个各自独立的公司,在网络及通讯产业领域提供不同的技术,服务不同的市场。Radware 公司于1999年在NASDAQ上市(RDWR),目前,Radware公司的网络产品行销40多个国家
23、,在全球拥有130家经销商,为广大用户提供了全面的产品和解决方案。Radware 一直致力于提供智能应用交换(IAS)技术,以保证IP网络应用在Internet/Intranet上的最佳运行和服务。Radware 将应用需求和网络设施紧密结合在一起,可无缝分配资源、优化应用系统的运行以及提高网络安全性,最终为用户提供高可靠性的、高性能的、高安全性的网络智能应用解决方案。作为网络智能应用交换(IAS)领域的佼佼者,Radware通过在47层网络交换领域和网络入侵防护(IPS)领域专注的技术研发,不断为市场提供功能强大、稳定高效的网络智能应用解决方案。Radware目前提供3大类网络智能应用解决方
24、案:Radware网络连接解决方案;Radware网络安全解决方案;Radware网络应用解决方案;通过最优化的网络资源利用以及完善的安全防护体系架构为广大用户打造全方位、高效率的网络安全空间。Radware 解决方案借助屡获殊荣的产品来构架Radware网络智能应用解决方案用于满足企业、服务提供商以及电子商务机构的网络需求。这些产品包括:LinkProof(LP)、Linkproof-Branch(LPB)、Defense-pro(DP)、AppDirector 、SecureFlow(SF)、AppXcel 、FireProof(FP)、Content Inspection Directo
25、r (CID)。Radware公司全面的产品组合可服务于端到端的应用业务,同时提供可靠和可扩展的网络流量保证。Radware 可让您对网络环境中从点击到内容的方方面面做到万无一失。Radware在智能应用交换(IAS)技术上一直处于领先地位,Radware的产品获得过众多的业界大奖,这些奖项包扩:PC Magazine Editors ChoiceNetwork magazines Product of the YearZD Internet Labs Net BestSpring Internet World98Los Angeles, Best of Show Network Comput
26、ing magazines Editors Choice 2 Radware解决方案介绍2.1 Radware解决方案拓扑图根据上述网络应用现状分析和用户的需求分析,结合Radware产品的技术实现和特点,我们建议的企业方案设计包括两大部分,中央机构方案设计和省级机关方案设计,如下图所示:图一:中央机构网络拓扑服务器客户端 WAN企业专网总部LinkProof Branch防火墙交换机分支机构图二、中央机构与各分支机构的连接拓扑2.2 Radware解决方案简介建议在中央机构网络各层面上共采用了如下Radware的设备,其中包括:DefensePRO(DP)-专用的透明安全设备LinkProo
27、f(LP)-链路负载均衡设备SecureFlow(SF)-安全网关负载均衡设备AppDirector-服务器负载均衡AppXcel-服务器优化设备在各分支机构的internet出口处部署一台 LinkProof Branch(分支机构链路负载均衡器),并在其上部署应用安全模块(具备DP所有功能)。该解决方案从功能上分为3个部分:l 连接解决方案部分l 安全解决方案部分l 应用的解决方案部分2.2.1 Radware连接解决方案部分简介l LinkProof实现多链路的负载均衡和防火墙的负载均衡如上图所示,我们建议在网络接入处,部署LinkProof,实现对多条internet接入链路(最多10
28、0条)的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问内部服务器)双向的负载均衡。同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择,大大提高用户访问的服务质量和访问效率。LinkProof可以配合SecureFlow实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。l 各分支机构的LinkProof Branch实现多链路的负载均衡服务器客户端 WAN企业专网总部LinkProof Branch防火墙交换机分支机构如
29、上图所示,我们建议在各分支机构的网络接入处,部署LinkProof Branch,实现对internet接入和企业广域网接入这两条链路的负载均衡,根据分支机构办公用的访问的目的地址或者应用,智能的选择链路,实现两条链路的冗余备份和透明容错,保证了分支机构访问中央机构关键应用的100的高可用性。2.2.2 Radware安全解决方案部分简介我们建议的安全解决方案部分,包括2款产品,DefensePro(DP),SecureFlow(SF),每台设备简要功能描述如下:l DefensePro实现实时的攻击防御如上图所示,我们建议在网络接入处,部署DefensePro,可以识别并实时抵御1600多种
30、蠕虫、病毒、DOS攻击和异常的流量模式,保护内部用户和服务器的安全。同时,通过把端口两两静态绑定,虚拟成多台逻辑设备,分别部署在核心交换机和企业广域网之间保护入侵和攻击不致互相扩散。使用一台逻辑设备部署在核心交换机和AppDirector之间,保护服务器群免受内部办公用户的非法攻击。使用多台逻辑设备部署在内部办公用户的不同网段(或者楼层)之间,保证非法入侵和攻击不致扩散到其它办公网段或者楼层。l SecureFlow(SF)实现各安全网关的负载均衡如上图所示,我们建议在多台防火墙和核心交换机之间,部署SecureFlow,实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号
31、,不同性能,大大提供防火墙的扩展性和可用性。通过旁路部署各安全网关设备,SecureFlow可以实现多台IDS(最多100台)、cache服务器、防病毒网关,URL过滤网关的负载均衡,这些安全网关设备可以是不同厂家,不同型号,不同性能,大大提供安全网关的扩展性和可用性。2.2.3 Radware应用解决方案部分简介我们建议的应用解决方案部分,包括2款产品,AppDirector,AppXcel,每台设备简要功能描述如下:l AppDirector实现服务器的负载均衡AppDirector位于核心交换机和各种IP应用服务器之间,主要实现所有基于IP协议的各种服务器的负载均衡功能,通过部署AppD
32、irector,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量,从而实现了服务器所承载的业务的100的高可用性和高性能。l AppXcel实现SSL加速和HTTP(HTTPS)页面的加速SSL加速功能:AppXcel与AppDirector配合,为用户提供SSL加密加速服务。利用AppDirector的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源,并且使服务器的投资发挥最大效益。HTTP(HTTPS)页面的加速AppXcel通过WEB压缩和HTTP连接复用技术,大大提升internet用户对服务器的访问速度。较大地节省
33、了internet的接入带宽,大大地降低了WEB服务器的处理资源消耗。 3 Radware技术介绍3.1 DefensePro 实现入侵和DOS攻击的实时防范DefensePro 采用了多层安全架构,分别检测和抵抗不同类型的攻击,确保只有“清洁”流量进入收保护的区域。3.1.1 Dosshield实现已知攻击工具防范DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度 的DoS防范。该机制会对照DefensePro 攻击数据库中的DoS攻击特征列表(潜在攻击)来比较流量样本。一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态
34、就会变为Currently Active (当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征,相应的数据包就会被丢弃。如果没有匹配的特征,则会将数据包转发给网络。借助高级的取样机制检测DoS 攻击,DoSShield只在出现了严重带宽滥用的情况下,才会判断攻击的存在,它会外科手术般地采用逐包过滤除去攻击流量。而当攻击不再活跃时,DoS Shield也能检测到相应状态并停止逐包过滤的操。这样不仅可实现完全的DoS和DDos 防范能力,而且还保持了大型网络的高吞吐量。Dosshield的主要优势:l 监听和采样机制,只有在出现严重攻击时才采取防范措施,保证了大型网络
35、的高性能和高吞吐量;l 基于特征码的防范策略,对正常应用无影响,保持了极低的误判率。DoS Shield作为第一道防范体系,负责在抵御已知Flood攻击的同时传输其他流量,而这些其他流量中还可能包含未知的新型攻击,它们将由第二道防范体系Behavioral DoS 模块来实现防护。3.1.2 Behavioral DoS基于网络行为模式实现自动攻击防范借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术,Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒,避免危害的发生。Radwares 自适应Behavioral DoS防范模块自动学习网络上的行为
36、模式,建立正常基准,并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。 通过概率分析,该模块使用一系列提取自数据包包头和负荷的参数,例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum值等共17 个参数,来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量,该模块还会采用“与”“或”逻辑运算来尽量精确攻击的防范策略。 所有上述流程都由DefensePro自动完成,无需人为干预,能够在数千兆位的网络环境中精确防范已知攻击、Zero-day Do
37、s/DDos攻击和自我繁殖网络蠕虫。Behavioral DoS 防护模块的攻击检索机制即不使用特征码,也不依赖于用户定义的行为策略和阀值。它还可以自动适应网络中的正常流量变化,因此它不会影响网络中的正常应用行为。B-DoS 能够非常有效的抑制以下已知和未知的攻击:l SYN Floodl TCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods) l UDP Floodsl DNS floods (基于UDP 53端口)l UDP Flood 和 ICMP反向散射(unreachable 信息) l ICMP Floodsl IGMP Floods l Ze
38、ro-Day 高速自我繁殖蠕虫(SQL Slammer, Blaster, Welchia, 等) Behavioral DoS的主要优势:l Zero-day Dos/DDos的未知攻击防范,无需认为手工干涉;l 对DoS攻击的完全防范,较低的CPU资源消耗;l 自适应的行为判别模式,将误判率降至最低;l 完全自适应功能,无需策略配置,无需维护成本。3.1.3 入侵防范防范各类应用攻击为了确保DoSShield和Behavioral DoS模块不会遗漏任何攻击并危害运用户网络应用的关键应用系统,Radware还提供另一道防护屏障入侵防范。 通过对比入侵特征库,DefensePro阻止攻击数据
39、包来建立最后一道屏障。入侵特征库罗列一系列会对网络造成严重破坏的应用层攻击,通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击,NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。DefensePro会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1600多种攻击特征。为了防范新的攻击形式,数据库会不断被更新。对于未知形式的攻击,可以使用协议异常检查功能来检测。通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。快速的攻击特征比较为了支持数千兆位的特征扫描速度,D
40、efensePro专门采用了基于ASIC的强大加速器 StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作,可对照特征数据库进行高速的检测和数据包比较。同使用Intel Pentium 4 CPU进行串行特征搜索相比,其字符串搜索速度提高了300倍。实时抑制攻击当检测到恶意活动时,DefensePro可能以任何组合形式立即执行以下的这些操作:丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫、病毒和其它形式的攻击。入侵防范的主要优势:l 基于特征的入侵识别,能够准
41、确地识别和抑制攻击;l 专用的硬件加速器,确保了告诉的检测和防范以及网络吞吐量。3.1.4 带宽管理在提供强大的安全功能同时,DefensePro 的带宽管理功能。DefensePro能够根据网络数据包的源/目的地址、应用端口和内容(IP header或IP Data)区分流量,还可以限制相同用户的并发会话和每个会话的带宽,从而阻止和控制各种流量的带宽应用。3.1.5 其它安全相关功能除了上述四个功能模块外,DefensePro还提供以下功能:黑白名单(Black and White List)访问控制列表Syn Flood防范为了提供全面的SynFlood攻击防范能力,除了Dosshield
42、和Behavioral Dos之外,DefensePro采用SynCookie技术基于源地址监视来发现恶意攻击源,并提供多重级别的防范措施。异常流量(Anomalies)防范为了逃避安全设备的检查,黑客通常会采用拆包并将攻击分成多个数据包碎片传输。此类攻击被称作Anomalies。针对此类攻击,DefensePro提供了也体动相应的防范能力:l 异常协议类;l Buffer Overflow类;l HTTP碎片类状态检测(Stateful inspection)DefensePro提供针对协议滥用等攻击,提供状态检测攻击防范能力,可以防范的攻击例如:l TCP Flooding:SYN-ACK
43、 (反射攻击), TCP数据包风暴;l Stealth 扫描:通过发送TCP fin / rst /ack / syn-fin数据包,以图发现开放的端口;l DNS reply flooding: 使用大量的DNS响应数据包攻击服务器;l ICMP Echo reply flooding: 使用大量的echo reply数据包攻击服务器(Smurf);l 防扫描(AntiScanning)黑客在发起攻击之前,通常会试图确定目标上开放的TCP/UDP端口,而一个开放的端口通常意味着某种应用,操作系统或者后门。DefensePro提供此类探测的防范能力。3.1.6 DefensePro的安全报告当
44、DefensePro检测到攻击时,它会将该安全事件报告。在报告中包含有全面的流量信息,比如源IP地址和目标IP地址、TCP/UDP 端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息,或者通过系统日志渠道、SNMP 陷阱或电子邮件将安全事件信息发送到外部。 还可以根据网络中的实时安全状况,以雷达图的方式提供当前的攻击严重程度以及数量等信息。3.2 LinkProof 链路优选方案LinkProof能够同时实现双向(Inbound和Outbound)流量在多条链路上的负载均衡的。l 链路健康状况检查:LP可以采用多种方式判断链路的健康状况,例如Ping(全
45、链路健康检查),以及通过检查多个Internet目标来共同判断链路状况。l Inbound流量处理方面主要利用了DNS和SmartNAT技术;l Outbound流量处理主要利用了SmartNAT技术。3.2.1 链路健康检测LinkProof会通过多种方式检测两条链路的健康状况,一旦发现其中一条链路故障,会立即将所有用户流量定向至其它可用链路,从而实现Internet连接的高可用性。主要的方法有:l 全路径健康检查为了确保ISP链路的畅通,LinkProof将采用Ping的方法,不仅仅检查和其相连的路由器的端口是否可达,还可以检查该链路后续路由节点的连通性(10跳),已确保整个路径的畅通。注
46、:该方法要求ISP的链路对ICMP开放。l 高级健康检查针对所有的网络环境(包括禁止ICMP的ISP),LinkProof提供了丰富的47层检查方式,并可以通过多种检查结果的“与”和“或”运算结果,最终准确判断链路的健康状况。例如:通过CNC的路径,同时检查和的80端口,并将检查结果做“或”运算,只要一个检查通过即可判断CNC链路正常。避免了某网站故障导致链路状态误判的可能性。3.2.2 流入(Inbound)流量处理LinkProof需要客户配合将域名的解析功能导向到LinkProof,由LinkProof来进行域名的解析。这样当远程通过域名访问企业网时,逐步通过远程用户的本地DNS服务器、根DNS服务器,最终由LinkProof来进行域名的解析。此时LinkProof就会通过静态列表或者动态判断算法,选择最优的线路,然后将域
