Radware數(shù)據(jù)中心戰(zhàn)略

Radware 數(shù)據(jù)中心 戰(zhàn) 略 November, 2010 Agenda Slide 2 Radware能 為 用 戶帶 來什么？ Radware數(shù)據(jù)中心 戰(zhàn) 略之 應(yīng) 用交付 Radware 數(shù)據(jù)中心 戰(zhàn) 略之安全防 護(hù) Radware數(shù)據(jù)中心 戰(zhàn) 略之高效管理 總結(jié) Radware 能 為 用 戶帶 來什么？ Slide 3 Radware - 優(yōu)化用戶數(shù)據(jù)中心 Radware 能 為 用 戶帶 來什么？ Slide 4 快速應(yīng)用交付 全面安全防護(hù) Radware數(shù)據(jù)中心 戰(zhàn) 略之 應(yīng) 用交付 數(shù)據(jù)中心面臨的應(yīng)用交付挑戰(zhàn) 快速 如何消除應(yīng)用層和網(wǎng)絡(luò)層之間的瓶頸，是核心業(yè)務(wù)能快速交付到客戶手中 ? 效能 您如何保證核心業(yè)務(wù)應(yīng)用的高效運(yùn)行 ? 穩(wěn)定 如何保持 Internet出口和核心業(yè)務(wù)運(yùn)行的穩(wěn)定 ? 可擴(kuò)充性 您如何確保在可預(yù)期的未來 ,數(shù)據(jù)中心的擴(kuò)充能夠花費(fèi)最小的投資已達(dá)到最大的效益 ? 降低成本 如何能夠解決上述問題而且又能夠降低成本 ? Slide6 我們保障數(shù)據(jù)中心核心業(yè)務(wù)的快速應(yīng)用交付 Radware 應(yīng) 用交付 產(chǎn) 品 Slide 7 LinkProof AppDirector / Alteon Radware 應(yīng) 用前端解決方案 AppDirector/Alteon & Users Employees Customers Partners Data Center Application Servers Web & Portal Servers Database servers Application Security & QoS B/DoS Protection Syn Protection QoS Capabilities Compliance & Reporting Max Throughput 20Gbps AppDirector/Alteon Application Availability Layer 4-7 Load balance Health monitoring Local traffic redirection Global traffic redirection Persistency Redundancy Application Acceleration SSL acceleration Compression Caching TCP multiplexing TCP optimization IPv4 / IPv6 Slide 8 Radware全局 負(fù)載 均衡 實(shí)現(xiàn) 多數(shù)據(jù)中心 訪問 容災(zāi) Database Servers Firewall Data Center 2 Front Tier Middle Tier Database Servers Firewall Data Center 1 Front Tier Middle Tier AppDirector Local / Global TR AppDirector Local / Global TR Internet Slide 9 User accesses data center Resource 100 150 Data Center HIS Servers Web & Portal Servers Database servers & Users Employees AppDirector Employees 北京地 壇 醫(yī)院 HIS/PACS系 統(tǒng) 拓?fù)?Slide 10 方案特點(diǎn)： 一、實(shí)現(xiàn)醫(yī)院 HIS/PACS系統(tǒng)負(fù)載均衡，提高醫(yī)院運(yùn)行效率； 二、實(shí)時(shí)監(jiān)控 HIS/PACS服務(wù)器運(yùn)行狀況，保證用戶最優(yōu)訪問； 濰 柴 動(dòng) 力 GSLB系 統(tǒng) 拓?fù)?Data Center Application Servers Web & Portal Servers Database servers Users AppDirector Users 電 信 網(wǎng)通 山 東濰 坊 Application Servers Web & Portal Servers Database servers AppDirector 新加坡 辦 事 處 Data Center Internet Slide 11 方案特點(diǎn)： 一、通過 GSLB實(shí)現(xiàn)全球用戶對(duì)核心應(yīng)用的最快訪問； 二、實(shí)現(xiàn)了異地多數(shù)據(jù)中心的互為災(zāi)備； 三、通過 AD實(shí)現(xiàn)了本地多鏈路的入向負(fù)載均衡； Router Router Switch Firewall Application Servers Web & Portal Servers Internet LinkProof Switch Students Teachers LinkProof Link Load balance (Proximity) Link Health monitoring Smart NAT-Traffic redirection Client Table Log Flow Control Redundancy Radware 應(yīng) 用 訪問 解決方案 - LinkProof Slide 12 ISP1 ISP2 Throughput (bps) 4G 16G 8G LinkProof 按需 擴(kuò) 展硬件平臺(tái) 100M Slide 13 Throughput licenses: LP 108 up to 100Mbps LP 208 up to 200Mbps LP 1008 up to 1Gbps LP 2008 up to 2Gbps LP 4008 up to 4Gbps Throughput licenses: LP 8016 up to 8Gbps LP 12016 up to 12Gbps LP 16016 up to 16Gbps Slide 14 Database Servers Application Servers Web Servers Firewall 2 x LinkProof Slide 14 電 信 聯(lián) 通 Internet 電 信通 首都機(jī) 場(chǎng) 網(wǎng) 絡(luò) 出口拓?fù)?2 x Bluecoat Local Users HTTP Traffic Non HTTP Traffic 方案特點(diǎn)： 一、 Flow控制技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)出口安全及優(yōu)化； 二、實(shí)現(xiàn) Bluecoat的負(fù)載均衡及冗余切換； 三、通過 L4-L7信息識(shí)別流量類型，智能轉(zhuǎn)發(fā)流量； Slide 15 復(fù)旦大學(xué)網(wǎng) 絡(luò) 出口拓?fù)?Slide 15 校園網(wǎng) 東 區(qū)用 戶 郵電 Firewall 特殊用 戶 電 信 2* LinkProof 4016 Cernet 聯(lián) 通 Internet 方案特點(diǎn)： 一、高性能的 ODS設(shè)備承載網(wǎng)絡(luò)出口小包大流量； 二、 Proximity實(shí)現(xiàn)用戶到達(dá) Internet的最快訪問； 三、獨(dú)有的內(nèi)部 DNS解決方案實(shí)現(xiàn)入向負(fù)載均衡； Slide 16 Database Servers AIP Web Servers Firewall Slide 16 電 信 網(wǎng)通 Internet Radware數(shù)據(jù)中心 戰(zhàn) 略之 應(yīng) 用交付 CPP 最快響應(yīng) LinkProof AppDirector 高效穩(wěn)定 實(shí)時(shí)可用 快速應(yīng)用交付 實(shí)現(xiàn) 從服 務(wù) 器端到客 戶 端的快速 應(yīng) 用交付 Radware數(shù)據(jù)中心 戰(zhàn) 略之安全防 護(hù) 數(shù)據(jù)中心面臨的安全風(fēng)險(xiǎn)與挑戰(zhàn) 可靠度 您如何確保企業(yè)應(yīng)用程序能在網(wǎng)絡(luò)攻擊下正常運(yùn)行 ? 效能 您如何保證您的用戶在網(wǎng)絡(luò)攻擊下能夠保持相當(dāng)程度的聯(lián)機(jī)質(zhì)量 ? 安全性 如何考慮資源的濫用與數(shù)據(jù)的流失造成巨大的成本支出 ? 可擴(kuò)充性 您如何確保在可預(yù)期的未來 ,數(shù)據(jù)中心的擴(kuò)充能夠花費(fèi)最小的投資已達(dá)到最大的效益 ? 降低成本 如何能夠解決上述問題而且又能夠降低成本 ? Slide18 我們給予數(shù)據(jù)中心全面的安全防護(hù) Radware 安全 產(chǎn) 品 Slide 19 AppWall Web 應(yīng) 用防火 墻 (WAF) DefensePro 網(wǎng) 絡(luò) 安全方案 基于特征防護(hù)的 IPS 漏洞研究中心 周期性特征升級(jí) 特征保護(hù) 已知漏洞攻擊防范 : 蠕蟲 , 木馬 , 客戶端漏洞 間諜軟件 , 郵件和 web漏洞 , VoIP 漏洞 異常探測(cè) 協(xié)議 (狀態(tài)監(jiān)測(cè) , RFC 標(biāo)準(zhǔn) ) 流量 (基于流量 , 流量限制 ) 斷電 保護(hù) Fail-Open 串聯(lián)接入 集中式配置、管理和報(bào)告 傳統(tǒng) IPS特性 Slide 20 July 2009 Cyber Attacks From The News Slide 21 Slide22 傳統(tǒng) IPS面對(duì)新型攻擊時(shí)的局限性 Internet Public Web Servers Bot (Infected host) Bot (Infected host) Attacker BOT Command C&C Server Bot (Infected host) Bot (Infected host) Legitimate User Mydoom.EA Botnet特性 50,000 僵尸計(jì)算機(jī) 多樣化的攻擊手法 : HTTP page flood SYN flood with packet anomalies UDP flood ICMP flood 目的為美國(guó)與南韓 6-7 Gbps inbound traffic(2 Million PPS) Radware網(wǎng)絡(luò)安全防護(hù) - DefensePro Slide23 Internet Access Router Web Servers Application Servers Firewall DoS Protection IPS NBA Anti Trojan / phishing IPS DoS Protection NBA DefensePro IPS DoS Protection NBA Radware DefensePro 提供 All-in-One的解決方案 一款合眾多功能于一身的新型 IPS DefensePro IPS DoS Protection NBA 采用 DefensePro一次搞定 ! Slide24 IPS DoS Protection NBA 特征碼 偵測(cè) Rate-based Rate-based 行為化 分析 特征碼 分析 行為化 分析 狀態(tài)異常 分析 SYN Cookies IPS:靜態(tài)特征碼防御 特征碼防御 頂尖資安事件搜尋團(tuán)隊(duì) 防御已知的應(yīng)用程序弱點(diǎn) 周期性與緊急性的特征碼更新 可立即啟用防御 Worms, Bots, Trojans, Phishing, Spyware Web, Mail, SQL, VoIP (SIP), DNS vulnerabilities Anonymizers, IPv6 attacks Microsoft vulnerabilities Protocol anomalies Slide 25 DoS Protection:實(shí)時(shí)特征防御 自動(dòng)實(shí)時(shí)產(chǎn)生特征碼防御網(wǎng)絡(luò) DDoS攻擊行為 : SYN floods TCP floods UDP/ICMP floods 效益預(yù)期 維護(hù)重要應(yīng)用資產(chǎn)能在攻擊時(shí)可有效提供服務(wù) 有效阻隔攻擊而不會(huì)造成正常聯(lián)機(jī)中斷 純自動(dòng) ,實(shí)時(shí)性的防御網(wǎng)絡(luò) Flood攻擊行為 ,無須人為干預(yù) Slide 26 Network BehavioralAnalysis:實(shí)時(shí)特征學(xué)習(xí)防御 NBA (Network behavioral analysis)可偵測(cè)異常的用戶與應(yīng)用程序狀態(tài) 自動(dòng)實(shí)時(shí)產(chǎn)生特征碼可有效防御 : 惡意軟件的擴(kuò)散 應(yīng)用程序資源誤用 : Brute force attacks Web application scanning HTTP page floods SIP Scans SIP Floods 效益預(yù)期 維護(hù)重要應(yīng)用資產(chǎn)能在攻擊時(shí)可有效提供服務(wù) 有效阻隔攻擊而不會(huì)造成正常聯(lián)機(jī)中斷 純自動(dòng) ,實(shí)時(shí)性的防御網(wǎng)絡(luò) Flood攻擊行為 ,無須人為干預(yù) Slide 27 版本 5.10 信譽(yù)引擎 Slide 28 Reputation 信譽(yù)引擎 : 實(shí)時(shí) 反 饋 保 護(hù) 網(wǎng) 絡(luò) 用 戶 免于下列威 脅 金融欺 騙 信息盜取 已知與未知 惡 意 軟 件 擴(kuò) 散 RSA Anti Fraud Command Center (AFCC)實(shí)時(shí) 反 饋 市面上最大最具 經(jīng)驗(yàn) 的反欺 詐團(tuán)隊(duì) 預(yù) 防 木 馬 安裝及 遠(yuǎn) 程控制 用 戶 信息披露 網(wǎng) 絡(luò)釣魚 企 圖 Slide 29 ERT 緊 急響 應(yīng) 小 組 Slide 30 ERT 緊 急響 應(yīng) 小 組 背景 : July 2009 大量 DDoS 事件在 USA 與 Korea 攻 擊 新 趨勢(shì) 往量與 質(zhì)發(fā) 展 Radware決定 針對(duì) 此 類 攻 擊 提供立即響 應(yīng) 幫助用 戶 解決 問題 ERT目 標(biāo) To provide swift and professional response that allowed customers to neutralize attacks and restore network and service operational status 特性 24x7 服 務(wù) 立即響 應(yīng) 打 擊 DoS/DDoS 攻 擊 與 惡 意 軟 件 擴(kuò) 散 Slide 31 多任務(wù)分類各司其職 Slide32 OnDemand Switch 平臺(tái)效能可透過軟件升級(jí)方式至 12Gbps DoS Mitigation Engine ASIC 高效能芯片組防御 防御巨量攻擊 可防御 高達(dá) 10 Million PPS攻擊事件封包 NBA Protections 防御應(yīng)用資源濫用 防御惡意軟件與蠕蟲擴(kuò)散 IPS 硬件芯片進(jìn)行特征碼比對(duì)分析 防御已知的應(yīng)用程序風(fēng)險(xiǎn)與漏洞 Reputation Engine 對(duì)抗木馬與釣魚威脅 Slide 33 相對(duì)的優(yōu)勢(shì) Multi-Gbps Capacity Legitimate Traffic 10 Million PPS Attack Traffic Other Network Security Solutions Multi-Gbps Capacity Legitimate Traffic + Attack Attack Attack Attack Traffic DefensePro 攻擊事件流量 , 需要耗損 IPS資源進(jìn)行防御 ,造成影響正常流量行為 攻擊事件流量不會(huì)影響正常流量行為 DefensePro 特點(diǎn) 單 機(jī)提供網(wǎng) 絡(luò) 與數(shù)據(jù)中心最佳安全方案 : 入侵防御 (IPS) DoS 攻 擊 防 護(hù) 網(wǎng) 絡(luò) 行 為 分析 (NBA) 信譽(yù)引擎服 務(wù) 多重安全科技 專 利 最佳防御性能方案 DME DoS 防御引擎 在攻 擊 狀況下依然 維 持正常 處 理量 最佳 CAPEX 單 機(jī)提供多重安全工具 按需升 級(jí) 許 可 證 平滑升 級(jí) 最低 OPEX 自 動(dòng)實(shí)時(shí) 防 護(hù) 無需人工介入 Slide 34 “Radware offers low product and maintenance cost, as compared with most competitors.” Greg Young & John Pescatore, Gartner, April 2009 陜 西 電 信 DNS安全防 護(hù)項(xiàng) 目 Customers Data Center DNS Servers AppDirector Firewall DefensePro Slide 35 Customers Customers DNS Servers Internet 方案特點(diǎn)： DefensePro基于行為的安全防護(hù)有效防范對(duì)于 DNS Server的安全威脅 關(guān)于 Web應(yīng) 用安全的 統(tǒng)計(jì) 進(jìn) 來研究 顯 示 75% 的攻 擊 在 Web應(yīng) 用 層執(zhí) 行 2005年 2月以來，大 約 8,000萬條 記錄 因 為 黑客攻 擊 有被盜取的威 脅 目前網(wǎng) 絡(luò) 上的 Web站點(diǎn)存在著有超 過 8,000 個(gè)漏洞 70% 的 Web站點(diǎn)有隨 時(shí) 被黑客攻 擊 的危 險(xiǎn) 關(guān)于 Web站點(diǎn)漏洞的 統(tǒng)計(jì) 客戶信任度喪失 網(wǎng)站可信性受到損害 收入減少 站點(diǎn)宕機(jī)時(shí)間增加 恢復(fù)和維修的話費(fèi) 法律責(zé)任 No one in the Internet is immune from security threats! 網(wǎng)站被黑客攻 擊 后的 損 失 Network Access (OSI Layer 1 3) Protocols (OSI Layer 4 7) Application (New Layer 8+) Network Layer Application Layer Data Layer 傳統(tǒng)防火墻只偵測(cè)網(wǎng)絡(luò)層的攻擊 只檢查 IP位置，網(wǎng)絡(luò)服務(wù)端口號(hào) (TCP/UDP service port) IPS 設(shè)備只檢查已知的攻擊特征 無法解讀應(yīng)用程序內(nèi)容；造成高度的誤判及漏判 無法追蹤使用者及聯(lián)機(jī)信息 ； 無法保護(hù) SSL流量 只有 Web Application Firewall 能阻止應(yīng)用層的攻擊 ! Perimeter Firewall Network Firewall Data Center Firewall Radware AppWall Web Application Firewall Departmental Firewall Intrusion Prevention System (IPS) & Deep Inspection Firewall WAF的必要性 Introducing AppWall Radwares AppWallTM 是用于保障 Web應(yīng) 用安全與符合 PCI安全 規(guī) 范的Web 應(yīng) 用安全防火 墻 (WAF) 系 統(tǒng) 防 護(hù) Web 應(yīng) 用安全威 脅 與弱點(diǎn)保 護(hù) 避免公司與個(gè)人敏感數(shù)據(jù)遭竊取與修改 Slide 40 Technology owned by Radware AppWall 簡(jiǎn) 介 Slide 41 Internet Access Router Web Servers Firewall DefensePro ADC 完整 web應(yīng) 用保 護(hù) - OWASP Top-10 威 脅 完整涵蓋防 護(hù) - 正向與 負(fù) 向行 為 分析提供 16層偵測(cè)安全防 護(hù) AppWall 威 脅 管理 提供 詳 盡的安全 報(bào) 告 符合 PCI 安全 規(guī) 范 - 高 級(jí) 安全 報(bào) 告與合 規(guī) 化 報(bào) 告 - 同 時(shí) 提供 WAF + IPS (PCI 6.6 & 11.4) 安裝迅速 同 類 最佳自 動(dòng) 策略生成機(jī)制 Tunnel-IP (untrusted zone) Interface-IP (trusted zone) Server-IP (Protected Web Server) Client-IP Security Filter Security Policy AppWall 是如何做到的 Slide 42 攻 擊報(bào) 告 安全 監(jiān) 控 合 規(guī)報(bào) 告 安全與合 規(guī)報(bào) 告 Slide 43 最高 級(jí) 與 詳細(xì)報(bào) 告 PCI compliance reports Security reports, learning reports, audit reports Web & Portal Servers Database servers Users AppDirector Users 北 侖 區(qū)政府 應(yīng) 用安全拓?fù)?AppWall Internet DefensePro Slide 44 方案特點(diǎn)： 一、 DefensePro基于行為的安全防護(hù)有效防范各種安全威脅 二、 AppWall實(shí)現(xiàn)門戶網(wǎng)站的基于 Web應(yīng)用的安全防護(hù) 三、 AppDirector實(shí)現(xiàn)門戶網(wǎng)站的最快交付 Radware數(shù)據(jù)中心 戰(zhàn) 略之安全防 護(hù) Slide 45 Internet Access Router Web Servers Firewall DefensePro ADC AppWall AppWall 提供 Web 應(yīng) 用威 脅 完全防 護(hù) PCI 合 規(guī) 化 DefensePro 在網(wǎng) 絡(luò)層 提供攻 擊 防御 提供網(wǎng) 絡(luò) 架構(gòu)與 應(yīng) 用保 護(hù) 實(shí)現(xiàn) 從網(wǎng) 絡(luò)層 到 應(yīng) 用 層 的全面安全防 護(hù) Radware數(shù)據(jù)中心 戰(zhàn) 略之高效管理 Radware 數(shù)據(jù)中心 戰(zhàn) 略之高效管理 Slide 47 APSolute Vision 管理與安全日志系 統(tǒng) Easy access for all device configuration topics Hierarchical logical element grouping Cross-referenced data entry Graphical change notation Drill-down configuration topics Inline filtering Page 48 APSolute Vision:配置 Easy access to monitoring topic