RADWARE針對企業(yè)用戶的

1、RADWARE針對企企業(yè)用戶的整體解決方案以色列Radware有有限公司北京代表表處2007年1月目錄TOC o 1-3 h z u HYPERLINK l _Toc 一、行業(yè)背景 PAGEREF _Toc h 4j。 HYPERLINK l _Toc 二、企業(yè)用戶網(wǎng)絡(luò)應(yīng)應(yīng)用現(xiàn)狀 PAGEREF _Toc h 5c。 HYPERLINK l _Toc 2企業(yè)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀簡述述 PAGEREF _Toc h 52。 HYPERLINK l _Toc 2.1廣域網(wǎng)鏈路現(xiàn)現(xiàn)狀 PAGEREF _Toc h 6a。 HYPERLINK l _Toc 2.2網(wǎng)絡(luò)安全防護(hù)護(hù)現(xiàn)狀 PAGEREF _Toc

2、h 7q。 HYPERLINK l _Toc 2.3網(wǎng)絡(luò)應(yīng)應(yīng)用現(xiàn)狀 PAGEREF _Toc h 87。 HYPERLINK l _Toc 3企業(yè)網(wǎng)絡(luò)中存在的缺陷陷 PAGEREF _Toc h 8y。 HYPERLINK l _Toc 3.1廣域網(wǎng)鏈路存存在的缺陷 PAGEREF _Toc h 9H。 HYPERLINK l _Toc 3.2網(wǎng)絡(luò)安全防護(hù)護(hù)存在的缺陷 PAGEREF _Toc h 10C。 HYPERLINK l _Toc 3.3網(wǎng)絡(luò)應(yīng)用存在在的缺陷 PAGEREF _Toc h 11L。 HYPERLINK l _Toc 三、企業(yè)網(wǎng)絡(luò)應(yīng)用需需求分析 PAGEREF _Toc

3、 h 12B。 HYPERLINK l _Toc 1廣域網(wǎng)鏈路需求分析 PAGEREF _Toc h 120。 HYPERLINK l _Toc 2網(wǎng)絡(luò)安全防護(hù)需求分析析 PAGEREF _Toc h 13X。 HYPERLINK l _Toc 3網(wǎng)絡(luò)應(yīng)用需求分析 PAGEREF _Toc h 14t。 HYPERLINK l _Toc 四、Radware解解決方案 PAGEREF _Toc h 16h。 HYPERLINK l _Toc 1.Radware公公司簡介 PAGEREF _Toc h 16t。 HYPERLINK l _Toc 2Radware解決方方案介紹 PAGEREF _T

4、oc h 18A。 HYPERLINK l _Toc 2.1Radware解解決方案拓?fù)鋱D PAGEREF _Toc h 18V。 HYPERLINK l _Toc 2.2Radware解解決方案簡介 PAGEREF _Toc h 195。 HYPERLINK l _Toc 2.2.1Radware連連接解決方案部分分簡介 PAGEREF _Toc h 20a。 HYPERLINK l _Toc 2.2.2Radware安安全解決方案部分分簡介 PAGEREF _Toc h 21T。 HYPERLINK l _Toc 2.2.3Radware應(yīng)應(yīng)用解決方案部分分簡介 PAGEREF _Toc

5、h 23f。 HYPERLINK l _Toc 3Radware技術(shù)介介紹 PAGEREF _Toc h 24s。 HYPERLINK l _Toc 3.1DefensePro 實(shí)現(xiàn)入侵和DOS攻擊的實(shí)時時防范 PAGEREF _Toc h 24p。 HYPERLINK l _Toc 3.1.1Dosshield實(shí)現(xiàn)已知攻擊工具防范 PAGEREF _Toc h 249。 HYPERLINK l _Toc 3.1.2Behavioral DoS基于網(wǎng)絡(luò)絡(luò)行為模式實(shí)現(xiàn)自自動攻擊防范 PAGEREF _Toc h 25s。 HYPERLINK l _Toc 3.1.3入侵防范范防范各類應(yīng)用攻攻擊

6、PAGEREF _Toc h 27a。 HYPERLINK l _Toc 3.1.4帶寬管理理 PAGEREF _Toc h 28F。 HYPERLINK l _Toc 3.1.5其它安全全相關(guān)功能 PAGEREF _Toc h 28f。 HYPERLINK l _Toc 3.1.6DefensePro的安全報(bào)告 PAGEREF _Toc h 29m。 HYPERLINK l _Toc 3.2LinkProof 鏈路優(yōu)選方案 PAGEREF _Toc h 30e。 HYPERLINK l _Toc 3.2.1鏈路健康康檢測 PAGEREF _Toc h 30w。 HYPERLINK l _To

7、c 3.2.2流入（Inbound）流流量處理 PAGEREF _Toc h 31h。 HYPERLINK l _Toc 3.2.3流出（Outbound）流量處理 PAGEREF _Toc h 32J。 HYPERLINK l _Toc 3.2.4獨(dú)特優(yōu)勢勢-“就近性”運(yùn)算 PAGEREF _Toc h 337。 HYPERLINK l _Toc 3.3SecureFlow對防御系統(tǒng)進(jìn)行中央管理 PAGEREF _Toc h 34M。 HYPERLINK l _Toc 3.3.1保證各安安全工具的高可用用性 PAGEREF _Toc h 348。 HYPERLINK l _Toc 3.3.2

8、提升各安安全工具的處理性性能 PAGEREF _Toc h 35k。 HYPERLINK l _Toc 3.3.3統(tǒng)一和可升級的的安全體系結(jié)構(gòu) PAGEREF _Toc h 358。 HYPERLINK l _Toc 3.4AppDirector-實(shí)現(xiàn)服務(wù)器負(fù)載載均衡 PAGEREF _Toc h 35S。 HYPERLINK l _Toc 3.4.1健康狀況況檢查 PAGEREF _Toc h 36T。 HYPERLINK l _Toc 3.4.2交易完整性的可可靠保證 PAGEREF _Toc h 36k。 HYPERLINK l _Toc 3.4.3完全的容容錯與冗余 PAGEREF _

9、Toc h 36H。 HYPERLINK l _Toc 3.4.4通過正常常退出服務(wù)保證穩(wěn)穩(wěn)定運(yùn)行 PAGEREF _Toc h 36P。 HYPERLINK l _Toc 3.4.5智能的服務(wù)器服服務(wù)恢復(fù) PAGEREF _Toc h 37H。 HYPERLINK l _Toc 3.4.6通過負(fù)載載均衡優(yōu)化服務(wù)器器資源 PAGEREF _Toc h 37N。 HYPERLINK l _Toc 3.4.7應(yīng)用交換換 PAGEREF _Toc h 37U。 HYPERLINK l _Toc 3.4.8URL交交換 PAGEREF _Toc h 37E。 HYPERLINK l _Toc 3.4.

10、9內(nèi)容交換換 PAGEREF _Toc h 375。 HYPERLINK l _Toc 3.5AppXcel 智能應(yīng)用加速 PAGEREF _Toc h 37B。 HYPERLINK l _Toc 3.5.1SSL加加速 PAGEREF _Toc h 38U。 HYPERLINK l _Toc 3.5.2集中處理理多設(shè)備應(yīng)用程序序和SSL協(xié)議管理 PAGEREF _Toc h 38P。 HYPERLINK l _Toc 3.5.3TCP 優(yōu)化 PAGEREF _Toc h 39K。 HYPERLINK l _Toc 3.5.4多路HTTP/s協(xié)議 PAGEREF _Toc h 397。 HYP

11、ERLINK l _Toc 3.5.5高速緩存存 PAGEREF _Toc h 39w。 HYPERLINK l _Toc 3.5.6http壓縮 PAGEREF _Toc h 39L。 HYPERLINK l _Toc 3.5.7數(shù)據(jù)壓縮縮 PAGEREF _Toc h 40u。 HYPERLINK l _Toc 五、Radware整整體解決方案的優(yōu)優(yōu)勢 PAGEREF _Toc h 41X。RADWARE針對企企業(yè)用戶的整體解決方案行業(yè)背景人類社會在進(jìn)入80年年代以來，以現(xiàn)代代通信技術(shù)與計(jì)算算機(jī)、網(wǎng)絡(luò)技術(shù)引引導(dǎo)的技術(shù)革命取取得了巨大的成功功?；贗nternet及及Intranet技技術(shù)得

12、到了普遍的的應(yīng)用。大大地推推動了全球信息化化的進(jìn)程，改變了了人類傳統(tǒng)的生產(chǎn)產(chǎn)和生活方式。促促進(jìn)了知識經(jīng)濟(jì)的的成長，加快了世世界經(jīng)濟(jì)一體化進(jìn)進(jìn)程。對信息的掌掌握、利用與傳播播成為影響生產(chǎn)力力發(fā)展水平和綜合合國力增強(qiáng)的關(guān)鍵鍵因素，信息化程程度已成為國家發(fā)發(fā)展?jié)摿桶l(fā)展水水平的重要標(biāo)志。然然而一個國家信息息化的程度如何最最終體現(xiàn)在企業(yè)信信息化的程度。因因?yàn)槠髽I(yè)才是財(cái)富富最終的創(chuàng)造者。也也就是說，企業(yè)信信息化的程度是衡衡量一個國家信息息化水平高低的一一個最重要的標(biāo)志志。 r。所謂企業(yè)信息化是指“企業(yè)利用現(xiàn)代信信息技術(shù)手段，在在生產(chǎn)、經(jīng)營、管管理過程中，有效效地開發(fā)、利用信信息資源的過程”。實(shí)現(xiàn)企業(yè)信息

13、息化，就是企業(yè)充充分運(yùn)用通訊、計(jì)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)術(shù)等現(xiàn)代信息技術(shù)術(shù)與裝備，采集、加工、處理、傳傳遞和貯存信息，對對信息資源進(jìn)行有有效地開發(fā)與利用用。企業(yè)能否有效效地開發(fā)利用信息息、優(yōu)化信息資源源的配置，決定著著企業(yè)管理效率高高低、整體素質(zhì)優(yōu)優(yōu)劣和競爭優(yōu)勢強(qiáng)強(qiáng)弱。開展企業(yè)信信息化有利于企業(yè)業(yè)實(shí)現(xiàn)信息資源的的共享、有利于加加強(qiáng)企業(yè)的管理、決策、運(yùn)營的現(xiàn)現(xiàn)代化與信息化。R。近年來，很多企業(yè)都建建立了與互聯(lián)網(wǎng)相相連的企業(yè)內(nèi)部網(wǎng)網(wǎng)（專網(wǎng)），大大大促進(jìn)了我國的企企業(yè)信息化進(jìn)程。隨著中國市場逐步開放，許多國內(nèi)企業(yè)走出國門謀求更大的市場空間。在網(wǎng)絡(luò)信息技術(shù)高速發(fā)展的今天，企業(yè)信息網(wǎng)絡(luò)是否高效、暢通、安全在很大

14、程度上影響企業(yè)的生產(chǎn)、銷售、管理等各個環(huán)節(jié)。對于現(xiàn)代企業(yè)來說，及時了解客戶的需求和市場動態(tài)非常重要，建立一個高效、可靠的企業(yè)信息網(wǎng)絡(luò)就顯得尤為迫切。F。企業(yè)網(wǎng)內(nèi)的應(yīng)用大致包包括如下內(nèi)容：企業(yè)不同部門之間的文文件資源共享、打打印共享；收發(fā)電子郵件、網(wǎng)絡(luò)傳傳真，召開視頻、網(wǎng)絡(luò)電話會議最最大限度降低辦公公成本；a。企業(yè)自有的辦公OA 系統(tǒng)、ERP、CRM 等信息息管理系統(tǒng)；企業(yè)建立自己的門戶網(wǎng)網(wǎng)站，通過網(wǎng)絡(luò)宣宣傳企業(yè)或開展電電子商務(wù)。然而，就在我們得益于于現(xiàn)代網(wǎng)絡(luò)通信技技術(shù)給我們帶來便便利的同時，我們們也體會到了網(wǎng)絡(luò)絡(luò)給我們帶來的災(zāi)災(zāi)難。來自外部的的蓄意攻擊、計(jì)算算機(jī)病毒的侵襲、和來自商業(yè)間諜諜對信

15、息數(shù)據(jù)的竊竊取、破壞使我們們防不勝防；網(wǎng)絡(luò)絡(luò)安全問題得到了了普遍的重視。如如何為企業(yè)用戶提提供一個安全、穩(wěn)穩(wěn)定的網(wǎng)絡(luò)應(yīng)用平平臺已成為一個日日益突出的問題。w。Radware公司針針對日益突出的網(wǎng)網(wǎng)絡(luò)安全問題推出出了一系列網(wǎng)絡(luò)安安全產(chǎn)品。 旨在在推動我國網(wǎng)絡(luò)安安全事業(yè)的發(fā)展，為為我國的信息網(wǎng)絡(luò)絡(luò)保駕護(hù)航。為廣廣大的網(wǎng)絡(luò)用戶提提供一個安全、穩(wěn)穩(wěn)定的網(wǎng)絡(luò)應(yīng)用平平臺。本方案就是是針對我國企業(yè)用用戶提供的一套整整體解決方案。K。企業(yè)用戶網(wǎng)絡(luò)應(yīng)用現(xiàn)狀狀企業(yè)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀簡述述一個典型的企業(yè)的網(wǎng)絡(luò)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下下圖所示：可以看出上述典型的企企業(yè)網(wǎng)絡(luò)大致由3 部分組成：網(wǎng)絡(luò)連接部分網(wǎng)絡(luò)安全部分網(wǎng)絡(luò)應(yīng)用部分下面

16、我們就這三部分做做簡要描述：廣域網(wǎng)鏈路現(xiàn)狀網(wǎng)絡(luò)連接部分還可以分分為Internet連接部分和專網(wǎng)連接部分：W。Internet連接接部分Internet連接接部分是指企業(yè)網(wǎng)絡(luò)數(shù)據(jù)中心心通過ISP運(yùn)營商的鏈鏈路連接到Internet，用于企業(yè)對外的網(wǎng)上公共信息發(fā)布、為Internet用戶提供企業(yè)網(wǎng)上應(yīng)用，同時企業(yè)內(nèi)部用戶也可以訪問Internet上的資源；W。專網(wǎng)連接部分專網(wǎng)連接部分用于企業(yè)業(yè)網(wǎng)絡(luò)連接各地分分支機(jī)構(gòu)。分支機(jī)構(gòu)的內(nèi)部用戶通通過專網(wǎng)連接訪問問數(shù)據(jù)中心的應(yīng)用用服務(wù)器，例如：WEB服務(wù)器，E-Mail服務(wù)器等等，同時也可以通通過數(shù)據(jù)中心的Internet鏈路訪問Internet上的資源。

17、z。網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀網(wǎng)絡(luò)安全部分通常由防防火墻、入侵檢測測系統(tǒng)（IDS）和防病毒毒網(wǎng)關(guān)等設(shè)備構(gòu)成，用于于制定內(nèi)部信息資資源的不同訪問策策略，保護(hù)數(shù)據(jù)中中心的應(yīng)用免受來來自Internet的網(wǎng)絡(luò)攻擊。g。網(wǎng)絡(luò)應(yīng)用現(xiàn)狀網(wǎng)絡(luò)應(yīng)用由企業(yè)對外WWW信息發(fā)布系系統(tǒng)，業(yè)務(wù)應(yīng)用系系統(tǒng)和后臺數(shù)據(jù)庫庫系統(tǒng)組成b。企業(yè)網(wǎng)絡(luò)中存在的缺陷陷從上圖中可以看出，在在企業(yè)網(wǎng)絡(luò)中存在很很多網(wǎng)絡(luò)設(shè)計(jì)上的的缺陷，總結(jié)起來來可以分為以下三三個部分的問題：0。網(wǎng)絡(luò)連接部分存在的問問題網(wǎng)絡(luò)安全部分存在的問問題網(wǎng)絡(luò)應(yīng)用部分存在的問問題下面我們就這三部分存存在的問題做詳細(xì)細(xì)描述：廣域網(wǎng)鏈路存在的缺陷企業(yè)網(wǎng)絡(luò)連接部分存在在的問題可以分為為以下

18、兩部分：企業(yè)中央機(jī)構(gòu)Internet鏈路存在的問題：各分支機(jī)構(gòu)到中央機(jī)構(gòu)構(gòu)之間廣域網(wǎng)鏈路路存在的問題：企業(yè)中央機(jī)構(gòu)Internet鏈路存在的問題：鏈路的單點(diǎn)失效性：采用單一Internet連接鏈路存在單點(diǎn)失效性，一旦該鏈路出現(xiàn)故障將造成整個網(wǎng)絡(luò)的癱瘓；0。鏈路性能的瓶頸：單一Internet連接鏈路的帶寬資源是有限的，無法滿足企業(yè)內(nèi)部全體用戶對網(wǎng)絡(luò)訪問Internet時帶寬不斷增長的需求，同時也無法大量的Internet上的用戶對企業(yè)的訪問；v。訪問快慢不一內(nèi)部用戶訪問internet資資源時，或外部用用戶訪問企業(yè)發(fā)布布的內(nèi)部資源時，會會受到ISP提供供商的不同，而產(chǎn)產(chǎn)生訪問快慢不一一的現(xiàn)像。

19、例如：如果企業(yè)采用的的ISP是通過網(wǎng)網(wǎng)通接入的，在訪訪問處于電信的資資源時，會由于不不同ISP之間互互連互通的問題造造成訪問變慢，而而訪問網(wǎng)通資源時時，就不會存在問問題。5。網(wǎng)絡(luò)安全防護(hù)能力弱：目前Internet上的各種各樣的網(wǎng)絡(luò)攻擊層出不窮，路由器自身對網(wǎng)絡(luò)攻擊的防護(hù)能力非常有限，DOS/DDOS 網(wǎng)絡(luò)攻擊會對廣域網(wǎng)絡(luò)由器產(chǎn)生嚴(yán)重的影響；c。各分支機(jī)構(gòu)到中央機(jī)構(gòu)構(gòu)之間廣域網(wǎng)鏈路路存在的問題：鏈路的單點(diǎn)失效性：各省級機(jī)關(guān)到中央機(jī)構(gòu)之之間采用單一廣域域網(wǎng)鏈路，存在單單點(diǎn)失效性，一旦旦該鏈路出現(xiàn)故障障將造成該省級機(jī)機(jī)關(guān)無法訪問中央機(jī)構(gòu)構(gòu)和Internet；U。鏈路性能的瓶頸：各省級機(jī)關(guān)到中央機(jī)構(gòu)

20、之之間采用低速的廣廣域網(wǎng)鏈路（Frame Relay，DDN），而各分分支機(jī)的用戶訪問問中心的應(yīng)用服務(wù)務(wù)器的網(wǎng)絡(luò)流量，以以及各分支機(jī)的用用戶訪問Internet的網(wǎng)絡(luò)流量都要要經(jīng)過這條單一的的廣域網(wǎng)鏈路，因因此無法滿足用戶戶對網(wǎng)絡(luò)帶寬不斷斷增長的需求；W。網(wǎng)絡(luò)安全防護(hù)能力弱：各省級機(jī)關(guān)中收病毒感染染的機(jī)器會向中央央機(jī)構(gòu)發(fā)送攻擊數(shù)數(shù)據(jù)包，造成各省省級機(jī)關(guān)到中央機(jī)構(gòu)之間的鏈鏈路擁塞，從而影影響網(wǎng)絡(luò)中的關(guān)鍵鍵應(yīng)用的正常運(yùn)行行n。網(wǎng)絡(luò)安全防護(hù)存在的缺陷網(wǎng)絡(luò)安全設(shè)備的單點(diǎn)失失效性：單一的網(wǎng)絡(luò)安全設(shè)備存存在單點(diǎn)失效性，例例如：圖中的防火火墻和防病毒設(shè)備備一旦出現(xiàn)問題，將將造成整個網(wǎng)絡(luò)的的癱瘓；k。網(wǎng)絡(luò)安全

21、設(shè)備性能的瓶瓶頸：網(wǎng)絡(luò)安全設(shè)備由于要對對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)據(jù)包進(jìn)行安全性檢檢查，與網(wǎng)絡(luò)路由由器和網(wǎng)絡(luò)交換機(jī)機(jī)相比，性能通常常會降低很多，例例如防病毒設(shè)備的的網(wǎng)絡(luò)吞吐量通常常只有310Mbps。因因此網(wǎng)絡(luò)中的安全全設(shè)備通常都是制制約網(wǎng)絡(luò)傳輸速度度的瓶頸點(diǎn)。S。安全體系架構(gòu)存在漏洞洞：防火墻可以基于網(wǎng)絡(luò)中中的TCP、UDP端口對網(wǎng)絡(luò)絡(luò)流量進(jìn)行訪問控控制，并且可以對對基于狀態(tài)的協(xié)議議進(jìn)行協(xié)議狀態(tài)檢檢查，因此防火墻墻通常是在網(wǎng)絡(luò)第第四層上對用戶的的網(wǎng)絡(luò)進(jìn)行保護(hù)。但但是防火墻無法對對基于網(wǎng)絡(luò)七層中中的網(wǎng)絡(luò)攻擊進(jìn)行行防護(hù)例如： G。蠕蟲入侵病毒入侵。后門攻擊。IDS可以對網(wǎng)絡(luò)中的的數(shù)據(jù)包進(jìn)行深入入的分析，可以

22、檢檢查到資料包中第第7層的信息，它具具備隨時對可疑流流量進(jìn)行檢查和識識別的能力。但是是IDS最大的問題題是IDS并不能阻止止攻擊的入侵，僅僅僅能發(fā)出告警，而而此時網(wǎng)絡(luò)攻擊已已經(jīng)進(jìn)入到網(wǎng)絡(luò)內(nèi)內(nèi)部。O。目前我們面臨著手段各各異形式多樣的混混合式攻擊威脅，這這些攻擊中應(yīng)用級級層的攻擊占了絕絕大多數(shù)，為了抑抑制這些攻擊，Gartner建建議“在作出安全方面面的決策時除了考考慮簡單的靜態(tài)協(xié)協(xié)議過濾外，還要要考慮對應(yīng)用內(nèi)容容（網(wǎng)絡(luò)七層中的的攻擊特征）進(jìn)行行深入的數(shù)據(jù)包檢檢查，并阻擋該攻攻擊”。e。因此，企業(yè)在面臨多種種多樣的攻擊威脅脅時，急需找到更更嚴(yán)密的安全防護(hù)護(hù)手段。o。網(wǎng)絡(luò)應(yīng)用存在的缺陷網(wǎng)絡(luò)應(yīng)用的可

23、靠性較差差：應(yīng)用服務(wù)器由于服務(wù)器器硬件的穩(wěn)定性、流量壓力超載、網(wǎng)絡(luò)攻擊等情況況經(jīng)常會出現(xiàn)意外外宕機(jī)的情況，從從而無法保證網(wǎng)絡(luò)絡(luò)應(yīng)用的7x24 小時的持續(xù)性服服務(wù)。U。網(wǎng)絡(luò)應(yīng)用的性能瓶頸：在網(wǎng)絡(luò)應(yīng)用系統(tǒng)中，通通常會采用多臺服服務(wù)器同時提供服服務(wù)的方式。但是是由于網(wǎng)絡(luò)中的流流量并不均衡，因因此經(jīng)常會出現(xiàn)某某臺服務(wù)器由于訪訪問量過大而宕機(jī)機(jī)，造成網(wǎng)絡(luò)應(yīng)用用性能的不穩(wěn)定，從從而影響到整個網(wǎng)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的性性能。 5。網(wǎng)絡(luò)應(yīng)用的安全性較差差：從上圖中可以看出現(xiàn)有有網(wǎng)絡(luò)中的安全性性防護(hù)機(jī)制的特點(diǎn)點(diǎn)是：現(xiàn)有的安全性防護(hù)機(jī)制制通常是針對來自自外網(wǎng)的攻擊；缺乏針對來自內(nèi)網(wǎng)的攻攻擊防護(hù)機(jī)制；現(xiàn)有的安全性防護(hù)機(jī)制制

24、通常是針對整體體網(wǎng)絡(luò)層面的攻擊擊防護(hù)，即針對網(wǎng)網(wǎng)絡(luò)IP層、TCP/UDP層層的網(wǎng)絡(luò)4層以下的攻擊防防護(hù)；e。缺乏針對具體的、特定定的企業(yè)網(wǎng)絡(luò)應(yīng)用的特特點(diǎn)而專門制定的的符合企業(yè)網(wǎng)絡(luò)應(yīng)用的基基于網(wǎng)絡(luò)7層防護(hù)的安全性性防護(hù)機(jī)制；T。企業(yè)網(wǎng)絡(luò)應(yīng)用需求分析析廣域網(wǎng)鏈路需求分析網(wǎng)絡(luò)連接方面的需求多鏈路負(fù)載均衡衡技術(shù)企業(yè)在網(wǎng)絡(luò)連接方面的的需求可以分為以以下兩部分：中央機(jī)構(gòu)Internet網(wǎng)絡(luò)連接方面的需求各省級機(jī)關(guān)到中央機(jī)構(gòu)之之間網(wǎng)絡(luò)連接方面面的需求中央機(jī)構(gòu)Internet網(wǎng)絡(luò)連接方面的需求目前在國內(nèi)由于多家ISP的競爭，Internet 接入鏈路的成本本大幅降低，多鏈鏈路Internet的接入已成為許多用

25、戶在的選擇網(wǎng)絡(luò)連接方面的需求。因此在中央機(jī)構(gòu)Internet網(wǎng)絡(luò)連接方面,企業(yè)網(wǎng)絡(luò)將存在如下要求：X。提高Internet網(wǎng)絡(luò)鏈路的可用性：建議企業(yè)采用接入多個個ISP的方式提提高可用性，而當(dāng)當(dāng)企業(yè)網(wǎng)絡(luò)中心具有有多條Internet鏈路后，應(yīng)提高Internet網(wǎng)絡(luò)鏈路可用性的智慧檢查能力，防止出現(xiàn)由于某一條Internet鏈路的失效造成整體網(wǎng)絡(luò)的不可訪問。O。提高Internet鏈路的網(wǎng)絡(luò)吞吐量：提高網(wǎng)絡(luò)中心的Internet網(wǎng)絡(luò)鏈路的吞吐量，申請多條Internet鏈路l。提高Internet網(wǎng)絡(luò)鏈路的抗網(wǎng)絡(luò)攻擊的能力：Internet上的的各種各樣的網(wǎng)絡(luò)絡(luò)攻擊首先影響的的將會是Inter

26、net網(wǎng)絡(luò)鏈路，因此應(yīng)加強(qiáng)在Internet鏈路上的攻擊防護(hù)。q。各省級機(jī)關(guān)到中央機(jī)構(gòu)之之間網(wǎng)絡(luò)連接方面面的需求目前各省級機(jī)關(guān)到中央央機(jī)構(gòu)之間通常采采用Frame Relay或DDN等昂貴的專專線廣域網(wǎng)鏈路，而而目前國內(nèi)運(yùn)營商商可以提供相對高高速同時價(jià)格便宜宜的Internet 接入鏈路，例如如： ADSL，因此此企業(yè)網(wǎng)絡(luò)存在入下下要求：3。提高省級機(jī)關(guān)到中央機(jī)機(jī)構(gòu)的廣域網(wǎng)鏈路路的可用性：如果各地省級機(jī)關(guān)與中中央機(jī)構(gòu)之間存在在多條鏈路，應(yīng)注注意提高省級機(jī)關(guān)關(guān)到中央機(jī)構(gòu)的廣域網(wǎng)網(wǎng)鏈路可用性的智智慧檢查，防止出出現(xiàn)由于某一條鏈鏈路的失效造成整整個省級機(jī)關(guān)無法訪問問到中央機(jī)構(gòu)。D。增加省級機(jī)關(guān)到中央

27、機(jī)機(jī)構(gòu)的鏈路，增加加帶寬，同時降低低省級機(jī)關(guān)與中央機(jī)構(gòu)之間廣域域網(wǎng)鏈路的成本：4。利用運(yùn)營商提供的低價(jià)價(jià)、高速鏈路，在在各地省級機(jī)關(guān)與中央機(jī)構(gòu)之間增加加鏈路帶寬，設(shè)法法降低減輕各地省省級機(jī)關(guān)與中央機(jī)構(gòu)之間專線線的流量壓力，降降低廣域網(wǎng)鏈路的的成本C。提高各個省級機(jī)關(guān)的網(wǎng)網(wǎng)絡(luò)安全防護(hù)能力力：在各個省級機(jī)關(guān)的廣域域網(wǎng)出口和Internet出口的位置增加網(wǎng)絡(luò)安全防護(hù)的能力，以保證各省級機(jī)關(guān)的網(wǎng)絡(luò)安全，同時可以保證一旦某個省級機(jī)關(guān)內(nèi)部的用戶受到網(wǎng)絡(luò)攻擊的侵襲，那么該網(wǎng)絡(luò)攻擊不會擴(kuò)散到中央機(jī)構(gòu)，以及其它省級機(jī)關(guān)。Q。網(wǎng)絡(luò)安全防護(hù)需求分析析網(wǎng)絡(luò)安全方面的需求防火墻、IDS、防病毒設(shè)設(shè)備負(fù)載均衡技術(shù)術(shù)的需求

28、M。為了保證企業(yè)的網(wǎng)絡(luò)在在網(wǎng)絡(luò)安全防護(hù)方方面的高可用性、高性能和安全性性，企業(yè)在網(wǎng)絡(luò)安全方方面的需求可以分分為以下幾部分：2。提高網(wǎng)絡(luò)安全設(shè)備的可可用性：網(wǎng)絡(luò)中應(yīng)具備安全設(shè)備備的的可用性檢查查，避免單一的網(wǎng)網(wǎng)絡(luò)安全設(shè)備的單單點(diǎn)失效性。O。提高網(wǎng)絡(luò)安全設(shè)備性能能：在網(wǎng)絡(luò)中采用多臺網(wǎng)絡(luò)絡(luò)安全設(shè)備，避免免網(wǎng)絡(luò)安全設(shè)備帶帶來的瓶頸，提高高網(wǎng)絡(luò)傳輸速度。f。完善網(wǎng)絡(luò)安全體系架構(gòu)構(gòu)：現(xiàn)今，各種各樣的網(wǎng)絡(luò)絡(luò)攻擊層出不窮，導(dǎo)導(dǎo)致防火墻的負(fù)荷荷在不斷提高，再再相對于網(wǎng)絡(luò)物理理帶寬的大幅度提提高，防火墻逐漸漸成為了網(wǎng)絡(luò)的瓶瓶頸，本案希望使使用一組（2個以上）防火墻墻采用負(fù)載均衡技技術(shù)提供安全服務(wù)務(wù)，以提升性能。6

29、。網(wǎng)絡(luò)安全方面的需求具備深層檢測、高性能的安全防防護(hù)設(shè)備需求當(dāng)前的黑客攻擊，具備備層出不窮，隱蔽蔽性強(qiáng)，攻量大，影影響廣等特點(diǎn)，對對安全網(wǎng)關(guān)設(shè)備提提出了更高的要求求，因此需要企業(yè)業(yè)的網(wǎng)絡(luò)中的安全全產(chǎn)品提出了新的的需求，要求應(yīng)用用安全產(chǎn)品具備防范一系系列攻擊的智能和和性能： V。需要集成的實(shí)時安全性性，發(fā)現(xiàn)攻擊和入入侵立即攔截能夠深入檢查數(shù)據(jù)包，防范各種應(yīng)用層層攻擊，例如蠕蟲蟲、病毒、木馬和和Dos 攻擊Z。能夠即使攔截大流量，爆爆發(fā)性的DoS/DDos攻攻擊，與此同時，要要求網(wǎng)絡(luò)訪問正常常進(jìn)行，網(wǎng)絡(luò)的性性能不能有太大降降低0。要求安全產(chǎn)品具備數(shù)千千兆位速度雙向掃掃描的安全檢測性性能能夠?qū)︽溌返?/p>

30、帶寬使用用進(jìn)行有效管理，如如對消耗帶寬資源源非常嚴(yán)重的P2P流流量進(jìn)行有效控制制，保證關(guān)鍵應(yīng)用用的帶寬使用T。網(wǎng)絡(luò)應(yīng)用需求分析網(wǎng)絡(luò)應(yīng)用方面的需求應(yīng)用服務(wù)器負(fù)載載均衡技術(shù)的需求求為了保證企業(yè)的網(wǎng)絡(luò)應(yīng)應(yīng)用的高可用性、高性能和安全性性，企業(yè)的網(wǎng)絡(luò)應(yīng)用存存在下列需求：J。提高網(wǎng)絡(luò)應(yīng)用的可靠性性：自動的網(wǎng)絡(luò)應(yīng)用可用性性檢查，保證網(wǎng)絡(luò)絡(luò)應(yīng)用的7x24 小時的持續(xù)性服服務(wù)。X。提高網(wǎng)絡(luò)應(yīng)用的性能：如果網(wǎng)絡(luò)中僅有單臺服服務(wù)器提供網(wǎng)絡(luò)應(yīng)應(yīng)用的服務(wù)，很難難保證網(wǎng)絡(luò)應(yīng)用的的性能，可以考慮慮增加相應(yīng)的服務(wù)務(wù)器數(shù)量，配合負(fù)負(fù)載均衡技術(shù)來提提高網(wǎng)絡(luò)網(wǎng)絡(luò)應(yīng)用用的性能。Y。網(wǎng)絡(luò)應(yīng)用的安全性較差差：制定針對具體的、特定定的網(wǎng)絡(luò)

31、應(yīng)用的特特點(diǎn)而專門制定的的基于網(wǎng)絡(luò)7層防護(hù)的安全性性防護(hù)機(jī)制；C。Radware解決方方案Radware公司簡簡介Radware公司是是RAD集團(tuán)的成員員之一，RAD集團(tuán)目前擁擁有14個各自獨(dú)立的的公司，在網(wǎng)絡(luò)及及通訊產(chǎn)業(yè)領(lǐng)域提提供不同的技術(shù)，服服務(wù)不同的市場。Radware 公司于1999年在NASDAQ上市(RDWR)，目前，Radware公司的網(wǎng)絡(luò)產(chǎn)品行銷40多個國家，在全球擁有130家經(jīng)銷商，為廣大用戶提供了全面的產(chǎn)品和解決方案。4。Radware 一直直致力于提供智能能應(yīng)用交換（IAS）技術(shù)，以以保證IP網(wǎng)絡(luò)應(yīng)用在Internet/Intranet上的最佳運(yùn)行和服務(wù)。Radware

32、將應(yīng)用需求和網(wǎng)絡(luò)設(shè)施緊密結(jié)合在一起，可無縫分配資源、優(yōu)化應(yīng)用系統(tǒng)的運(yùn)行以及提高網(wǎng)絡(luò)安全性，最終為用戶提供高可靠性的、高性能的、高安全性的網(wǎng)絡(luò)智能應(yīng)用解決方案。A。作為網(wǎng)絡(luò)智能應(yīng)用交換換（IAS）領(lǐng)域的佼佼佼者，Radware通通過在47層網(wǎng)絡(luò)交換領(lǐng)域域和網(wǎng)絡(luò)入侵防護(hù)護(hù)（IPS）領(lǐng)域?qū)Ｗ⒆⒌募夹g(shù)研發(fā)，不不斷為市場提供功功能強(qiáng)大、穩(wěn)定高高效的網(wǎng)絡(luò)智能應(yīng)應(yīng)用解決方案。Radware目目前提供3大類網(wǎng)絡(luò)智能應(yīng)應(yīng)用解決方案：Q。Radware網(wǎng)絡(luò)連連接解決方案；Radware網(wǎng)絡(luò)安安全解決方案；Radware網(wǎng)絡(luò)應(yīng)應(yīng)用解決方案；通過最優(yōu)化的網(wǎng)絡(luò)資源源利用以及完善的的安全防護(hù)體系架架構(gòu)為廣大用戶打打造全方

33、位、高效效率的網(wǎng)絡(luò)安全空空間。J。Radware 解決決方案借助屢獲殊殊榮的產(chǎn)品來構(gòu)架架Radware網(wǎng)網(wǎng)絡(luò)智能應(yīng)用解決決方案用于滿足企企業(yè)、服務(wù)提供商商以及電子商務(wù)機(jī)機(jī)構(gòu)的網(wǎng)絡(luò)需求。這這些產(chǎn)品包括：LinkProof（LP）、Linkproof-Branch（LPB）、Defense-pro（DP）、AppDirector 、SecureFlow(SF)、AppXcel 、FireProof（FP）、Content Inspection Director (CID)。Radware公司全面的產(chǎn)品組合可服務(wù)于端到端的應(yīng)用業(yè)務(wù)，同時提供可靠和可擴(kuò)展的網(wǎng)絡(luò)流量保證。Radware 可讓您對網(wǎng)絡(luò)環(huán)境

34、中從點(diǎn)擊到內(nèi)容的方方面面做到萬無一失。0。Radware在智能能應(yīng)用交換（IAS）技術(shù)上一直處于領(lǐng)先先地位，Radware的的產(chǎn)品獲得過眾多多的業(yè)界大獎，這這些獎項(xiàng)包擴(kuò)：8。PC Magazine Editors ChoiceNetwork magazines Product of the Year8。ZD Internet Labs Net BestSpring Internet World98Los Angeles, Best of Show Network Computing magazines Editors Choiceg。 Radware解決方方案介紹 Radware解決方方案拓?fù)?/p>

35、圖根據(jù)上述網(wǎng)絡(luò)應(yīng)用現(xiàn)狀狀分析和用戶的需求分析，結(jié)合合Radware產(chǎn)產(chǎn)品的技術(shù)實(shí)現(xiàn)和特點(diǎn)，我們建議的企業(yè)方案設(shè)計(jì)包括兩大部分，中央機(jī)構(gòu)構(gòu)方案設(shè)計(jì)和省級機(jī)關(guān)方案設(shè)計(jì)，如下圖所示：Z。圖一：中央機(jī)構(gòu)網(wǎng)絡(luò)拓?fù)鋼浞?wù)器客戶端 WAN企業(yè)專網(wǎng)總部LinkProof Branch防火墻交換機(jī)分支機(jī)構(gòu)l。圖二、中央機(jī)構(gòu)與各分支支機(jī)構(gòu)的連接拓?fù)?Radware解決方方案簡介建議在中央機(jī)構(gòu)網(wǎng)絡(luò)各層面上上共采用了如下Radware的的設(shè)備，其中包括:K。DefensePRO(DP)-專用的透明安全設(shè)備LinkProof(LP)-鏈路負(fù)負(fù)載均衡設(shè)備SecureFlow(SF)-安全網(wǎng)網(wǎng)關(guān)負(fù)載均衡設(shè)備備AppDire

36、ctor-服務(wù)器負(fù)載均衡衡AppXcel-服務(wù)務(wù)器優(yōu)化設(shè)備在各分支機(jī)構(gòu)的internet出口處部署一臺 LinkProof Branch(分支機(jī)構(gòu)鏈路負(fù)載均衡器)，并在其上部署應(yīng)用安全模塊(具備DP所有功能)。d。該解決方案從功能上分為3個個部分：連接解決方案部分安全解決方案部分應(yīng)用的解決方案部分Radware連接解解決方案部分簡介LinkProof實(shí)實(shí)現(xiàn)多鏈路的負(fù)載均衡和防火墻的負(fù)載均衡如上圖所示，我們建議議在網(wǎng)絡(luò)接入處，部署LinkProof，實(shí)現(xiàn)對多條internet接入鏈路（最多100條）的負(fù)載均衡，可以同時實(shí)現(xiàn)outbound流量（內(nèi)部辦公用戶訪問internet）和inbound流

37、量（internet用戶訪問內(nèi)部服務(wù)器）雙向的負(fù)載均衡。x。同時使用Radware專專利技術(shù)動態(tài)就近性來保證進(jìn)出的雙向流量的智能的的動態(tài)的就近性選擇，大大提高用用戶訪問的服務(wù)質(zhì)量和訪問效率。4。LinkProof可可以配合SecureFlow實(shí)現(xiàn)多臺防火墻（最多100臺）的負(fù)載均衡，防火墻可以是不同廠家，不同型號，不同性能，大大提供防火墻的擴(kuò)展性和可用性。J。各分支機(jī)構(gòu)的LinkProof Branch實(shí)實(shí)現(xiàn)多鏈路的負(fù)載均衡L。服務(wù)器客戶端 WAN企業(yè)專網(wǎng)總部LinkProof Branch防火墻交換機(jī)分支機(jī)構(gòu)u。如上圖所示，我們建議議在各分支機(jī)構(gòu)的網(wǎng)絡(luò)接入處，部署LinkProof Bran

38、ch，實(shí)現(xiàn)對internet接入和企業(yè)廣域網(wǎng)接入這兩條鏈路的負(fù)載均衡，根據(jù)分支機(jī)構(gòu)辦公用的訪問的目的地址或者應(yīng)用，智能的選擇鏈路，實(shí)現(xiàn)兩條鏈路的冗余備份和透明容錯，保證了分支機(jī)構(gòu)訪問中央機(jī)構(gòu)關(guān)鍵應(yīng)用的100的高可用性。J。Radware安全解解決方案部分簡介我們建議的安全解決方方案部分，包括2款產(chǎn)品，DefensePro(DP)，SecureFlow(SF)，每臺設(shè)備簡要功能描述如下：B。DefensePro實(shí)實(shí)現(xiàn)實(shí)時的攻擊防御如上圖所示，我們建議議在網(wǎng)絡(luò)接入處，部署DefensePro，可以識別并實(shí)時抵御1600多種蠕蟲、病毒、DOS攻擊和異常的流量模式，保護(hù)內(nèi)部用戶和服務(wù)器的安全。c。同時

39、，通過把端口兩兩靜態(tài)態(tài)綁定，虛擬成多臺邏輯設(shè)備，分別部署在核心交換機(jī)和企業(yè)廣域網(wǎng)之間保護(hù)入侵和攻擊不致互相擴(kuò)散。W。使用一臺邏輯設(shè)備部署署在核心交換機(jī)和AppDirector之間，保護(hù)服務(wù)器群免受內(nèi)部辦公用戶的非法攻擊。V。使用多臺邏輯設(shè)備部署署在內(nèi)部辦公用戶的不同網(wǎng)段（或或者樓層）之間，保證非法入侵和攻擊不致擴(kuò)散到其它辦公網(wǎng)段或者者樓層。x。SecureFlow(SF)實(shí)現(xiàn)各安全網(wǎng)關(guān)的的負(fù)載均衡如上圖所示，我們建議議在多臺防火墻和核心交換機(jī)之間，部署SecureFlow，實(shí)現(xiàn)多臺防火墻（最多100臺）的負(fù)載均衡，防火墻可以是不同廠家，不同型號，不同性能，大大提供防火墻的擴(kuò)展性和可用性。k。通

40、過旁路部署各安全網(wǎng)網(wǎng)關(guān)設(shè)備，SecureFlow可以實(shí)現(xiàn)多臺IDS（最多100臺）、cache服務(wù)器、防病毒網(wǎng)關(guān)，URL過濾網(wǎng)關(guān)的負(fù)載均衡，這些安全網(wǎng)關(guān)設(shè)備可以是不同廠家，不同型號，不同性能，大大提供安全網(wǎng)關(guān)的擴(kuò)展性和可用性。l。Radware應(yīng)用解解決方案部分簡介我們建議的應(yīng)用解決方方案部分，包括2款產(chǎn)品，AppDirector，AppXcel,每臺設(shè)備簡要功能描述如下：B。AppDirector實(shí)現(xiàn)服務(wù)器的負(fù)載均衡AppDirector位于核心交換機(jī)和各種IP應(yīng)用服務(wù)器之間，主要實(shí)現(xiàn)所有基于IP協(xié)議的各種服務(wù)器的負(fù)載均衡功能，通過部署AppDirector,可以實(shí)現(xiàn)服務(wù)器業(yè)務(wù)的7*24不間

41、斷的運(yùn)行和保證業(yè)務(wù)的最佳服務(wù)器質(zhì)量，從而實(shí)現(xiàn)了服務(wù)器所承載的業(yè)務(wù)的100的高可用性和高性能。I。AppXcel實(shí)現(xiàn)SSL加速和和HTTP（HTTPS）頁頁面的加速Q(mào)。SSL加速功能：AppXcel與AppDirector配合，為用戶提供SSL加密加速服務(wù)。利用AppDirector的負(fù)載均衡可以使Web服務(wù)器擺脫密集型處理的SSL密鑰交換和加密/解密功能。為應(yīng)用處理釋放了服務(wù)器資源，并且使服務(wù)器的投資發(fā)揮最大效益。f。HTTP（HTTPS）頁面面的加速AppXcel通過WEB壓縮和HTTP連接復(fù)用用技術(shù)，大大提升升internet用戶對服務(wù)器的訪問速度。較大地節(jié)省了internet的接入帶寬，

42、大大地降低了WEB服務(wù)器的處理資源消耗。 Q。Radware技術(shù)介介紹DefensePro 實(shí)現(xiàn)入侵和DOS攻擊的實(shí)時時防范DefensePro 采用了多層安全全架構(gòu)，分別檢測測和抵抗不同類型型的攻擊，確保只只有“清潔”流量進(jìn)入收保護(hù)護(hù)的區(qū)域。Q。Dosshield實(shí)實(shí)現(xiàn)已知攻擊工具具防范DefensePro的DoSShield模塊借助高級的取樣機(jī)制和基準(zhǔn)流量行為監(jiān)測來識別異常流量，提供了實(shí)時的、數(shù)千兆位速度 的DoS防范。X。該機(jī)制會對照DefensePro 攻擊數(shù)據(jù)庫中的的DoS攻擊特征列列表（潛在攻擊）來來比較流量樣本。一一旦達(dá)到了某個潛潛在攻擊的激活閾閾值，該潛在攻擊擊的狀態(tài)就會變?yōu)闉?/p>

43、Currently Active （當(dāng)前活動），這這樣就會使用該潛潛在攻擊的特征文文件來比較各個數(shù)數(shù)據(jù)包。如果發(fā)現(xiàn)現(xiàn)匹配的特征，相相應(yīng)的數(shù)據(jù)包就會會被丟棄。如果沒沒有匹配的特征，則則會將數(shù)據(jù)包轉(zhuǎn)發(fā)發(fā)給網(wǎng)絡(luò)。z。借助高級的取樣機(jī)制檢檢測DoS 攻擊，DoSShield只只在出現(xiàn)了嚴(yán)重帶帶寬濫用的情況下下，才會判斷攻擊擊的存在，它會外外科手術(shù)般地采用逐包過濾除除去攻擊流量。而而當(dāng)攻擊不再活躍躍時，DoS Shield也也能檢測到相應(yīng)狀狀態(tài)并停止逐包過過濾的操。這樣不僅可實(shí)現(xiàn)完完全的DoS和DDos 防范能力，而且且還保持了大型網(wǎng)網(wǎng)絡(luò)的高吞吐量。M。Dosshield的的主要優(yōu)勢：監(jiān)聽和采樣機(jī)制，只

44、有有在出現(xiàn)嚴(yán)重攻擊擊時才采取防范措措施，保證了大型型網(wǎng)絡(luò)的高性能和和高吞吐量；2。基于特征碼的防范策略略，對正常應(yīng)用無無影響，保持了極極低的誤判率。DoS Shield作為第一道防范體系，負(fù)責(zé)在抵御已知Flood攻擊的同時傳輸其他流量，而這些其他流量中還可能包含未知的新型攻擊，它們將由第二道防范體系Behavioral DoS 模塊來實(shí)現(xiàn)防護(hù)。8。Behavioral DoS基于網(wǎng)絡(luò)絡(luò)行為模式實(shí)現(xiàn)自自動攻擊防范借助于先進(jìn)的統(tǒng)計(jì)分析析、模糊邏輯和新新穎的閉環(huán)反饋過過濾技術(shù)，Radware B-DoS 防防范模塊能夠自動動和提前防范網(wǎng)絡(luò)絡(luò)Flood攻擊擊和高速自我繁殖殖的病毒，避免危危害的發(fā)生。6

45、。Radwares 自適應(yīng)Behavioral DoS防范模塊塊自動學(xué)習(xí)網(wǎng)絡(luò)上上的行為模式，建建立正?；鶞?zhǔn)，并并通過先進(jìn)的模糊糊關(guān)系邏輯運(yùn)算判判斷背離正常行為為的異常流量。 通過概率分析，該該模塊使用一系列列提取自數(shù)據(jù)包包包頭和負(fù)荷的參數(shù)數(shù)，例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查詢, Packet Checksum值等共17 個參數(shù)，來實(shí)時定義即時異常流量的特點(diǎn)。為了避免誤判而阻止合法用戶的正常流量，該模塊還會采用“與”“或”邏輯運(yùn)算來盡量精確攻擊的防范策略。 k。所有上述流程都由D

46、efensePro自自動完成，無需人人為干預(yù)，能夠在在數(shù)千兆位的網(wǎng)絡(luò)絡(luò)環(huán)境中精確防范范已知攻擊、Zero-day Dos/DDos攻擊和和自我繁殖網(wǎng)絡(luò)蠕蠕蟲。H。Behavioral DoS 防護(hù)模模塊的攻擊檢索機(jī)機(jī)制即不使用特征征碼，也不依賴于于用戶定義的行為為策略和閥值。它它還可以自動適應(yīng)應(yīng)網(wǎng)絡(luò)中的正常流流量變化，因此它它不會影響網(wǎng)絡(luò)中中的正常應(yīng)用行為為。t。B-DoS 能夠非常常有效的抑制以下下已知和未知的攻攻擊：SYN FloodTCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods) m。UDP FloodsDNS floods (基于UDP 53

47、端口)UDP Flood 和 ICMP反向散散射(unreachable 信息) M。ICMP FloodsIGMP Floods Zero-Day 高高速自我繁殖蠕蟲蟲(SQL Slammer, Blaster, Welchia, 等) X。Behavioral DoS的主要優(yōu)優(yōu)勢：Zero-day Dos/DDos的未知知攻擊防范，無需需認(rèn)為手工干涉；r。對DoS攻擊的完全防防范，較低的CPU資資源消耗；自適應(yīng)的行為判別模式式，將誤判率降至至最低；完全自適應(yīng)功能，無需需策略配置，無需需維護(hù)成本。入侵防范防范各類應(yīng)用用攻擊為了確保DoSShield和Behavioral DoS模塊不會會遺漏

48、任何攻擊并并危害運(yùn)用戶網(wǎng)絡(luò)絡(luò)應(yīng)用的關(guān)鍵應(yīng)用系統(tǒng)，Radware還還提供另一道防護(hù)護(hù)屏障入侵防范范。 通過對比入侵特征征庫，DefensePro阻阻止攻擊數(shù)據(jù)包來來建立最后一道屏屏障。o。入侵特征庫羅列一系列列會對網(wǎng)絡(luò)造成嚴(yán)嚴(yán)重破壞的應(yīng)用層層攻擊，通常包括括在Internet上上近期出現(xiàn)和爆發(fā)發(fā)的濫用帶寬資源源的攻擊，NetSky,、Bagle、Mytob、Blackmal、Sober等蠕蟲以及它們的變種都在其中。DefensePro會對數(shù)據(jù)包進(jìn)行逐一檢查，并根據(jù)惡意攻擊模式執(zhí)行特征比較。它可以識別Radware安全數(shù)據(jù)庫中的1600多種攻擊特征。為了防范新的攻擊形式，數(shù)據(jù)庫會不斷被更新。對于未

49、知形式的攻擊，可以使用協(xié)議異常檢查功能來檢測。通過檢查協(xié)議的異常性，可以檢測異常的數(shù)據(jù)包碎片，而這大多數(shù)情況下標(biāo)識了惡意活動。T?？焖俚墓籼卣鞅容^為了支持?jǐn)?shù)千兆位的特特征掃描速度，DefensePro專門采用了基于ASIC的強(qiáng)大加速器 StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作，可對照特征數(shù)據(jù)庫進(jìn)行高速的檢測和數(shù)據(jù)包比較。同使用Intel Pentium 4 CPU進(jìn)行串行特征搜索相比，其字符串搜索速度提高了300倍。6。實(shí)時抑制攻擊當(dāng)檢測到惡意活動時，DefensePro可能以任何組合形式立即執(zhí)行以下的這些操作：丟棄數(shù)據(jù)包、重置連接

50、以及向管理位置發(fā)送報(bào)告。這樣就為該設(shè)備之后的應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和其它網(wǎng)絡(luò)資源提供了全面保護(hù)，以免它們遭到蠕蟲、病毒和其它形式的攻擊。X。入侵防范的主要優(yōu)勢：基于特征的入侵識別，能能夠準(zhǔn)確地識別和和抑制攻擊；專用的硬件加速器，確確保了告訴的檢測測和防范以及網(wǎng)絡(luò)絡(luò)吞吐量。帶寬管理在提供強(qiáng)大的安全功能能同時，DefensePro 的帶寬管理功能能。DefensePro能能夠根據(jù)網(wǎng)絡(luò)數(shù)據(jù)據(jù)包的源/目的地址、應(yīng)用用端口和內(nèi)容（IP header或或IP Data）區(qū)區(qū)分流量，還可以以限制相同用戶的的并發(fā)會話和每個個會話的帶寬，從從而阻止和控制各各種流量的帶寬應(yīng)應(yīng)用。j。其它安全相關(guān)功能除了上述四個

51、功能模塊塊外，DefensePro還還提供以下功能：黑白名單（Black and White List）訪問控制列表E。Syn Flood防防范為了提供全面的的SynFlood攻擊防范能力，除了Dosshield和Behavioral Dos之外，DefensePro采用SynCookie技術(shù)基于源地址監(jiān)視來發(fā)現(xiàn)惡意攻擊源，并提供多重級別的防范措施。r。異常流量（Anomalies）防防范為了逃避安全設(shè)設(shè)備的檢查，黑客客通常會采用拆包包并將攻擊分成多多個數(shù)據(jù)包碎片傳傳輸。此類攻擊被被稱作Anomalies。O。針對此類攻擊，DefensePro提提供了也體動相應(yīng)應(yīng)的防范能力：F。異常協(xié)議類；B

52、uffer Overflow類類；HTTP碎片類狀態(tài)檢測（Stateful inspection）DefensePro提供針對協(xié)議濫用等攻擊，提供狀態(tài)檢測攻擊防范能力，可以防范的攻擊例如：7。TCP Flooding：SYN-ACK (反射攻擊), TCP數(shù)據(jù)包風(fēng)暴；b。Stealth 掃描描：通過發(fā)送TCP fin / rst /ack / syn-fin數(shù)據(jù)包，以圖發(fā)現(xiàn)開放的端口；5。DNS reply flooding： 使用大量的DNS響應(yīng)數(shù)據(jù)包攻擊服務(wù)器；e。ICMP Echo reply flooding： 使用大量的echo reply數(shù)據(jù)包攻擊服務(wù)器（Smurf）；2。防掃描（

53、AntiScanning）黑客在發(fā)起攻擊之前，通常會試圖確定目標(biāo)上開放的TCP/UDP端口，而一個開放的端口通常意味著某種應(yīng)用，操作系統(tǒng)或者后門。DefensePro提供此類探測的防范能力。M。DefensePro的的安全報(bào)告當(dāng)DefensePro檢測到攻擊時，它會將該安全事件報(bào)告。在報(bào)告中包含有全面的流量信息，比如源IP地址和目標(biāo)IP地址、TCP/UDP 端口號、物理接口以及攻擊的日期和時間?？梢允褂迷O(shè)備日志文件和報(bào)警表格在內(nèi)部記錄安全事件信息，或者通過系統(tǒng)日志渠道、SNMP 陷阱或電子郵件將安全事件信息發(fā)送到外部。P。 還可以根據(jù)網(wǎng)絡(luò)中的實(shí)實(shí)時安全狀況，以以雷達(dá)圖的方式提提供當(dāng)前的攻擊嚴(yán)嚴(yán)

54、重程度以及數(shù)量量等信息。5。LinkProof 鏈路優(yōu)選方案LinkProof能能夠同時實(shí)現(xiàn)雙向向（Inbound和和Outbound）流流量在多條鏈路上上的負(fù)載均衡的。o。鏈路健康狀況檢查：LP可可以采用多種方式式判斷鏈路的健康康狀況，例如Ping（全全鏈路健康檢查），以以及通過檢查多個個Internet目目標(biāo)來共同判斷鏈鏈路狀況。s。Inbound流量處處理方面主要利用用了DNS和SmartNAT技技術(shù)；O。Outbound流量量處理主要利用了了SmartNAT技技術(shù)。鏈路健康檢測LinkProof會會通過多種方式檢檢測兩條鏈路的健健康狀況，一旦發(fā)發(fā)現(xiàn)其中一條鏈路路故障，會立即將將所有用戶

55、流量定定向至其它可用鏈鏈路，從而實(shí)現(xiàn)Internet連連接的高可用性。主主要的方法有：u。全路徑健康檢查為了確保ISP鏈路的的暢通，LinkProof將將采用Ping的的方法，不僅僅檢檢查和其相連的路路由器的端口是否否可達(dá)，還可以檢檢查該鏈路后續(xù)路路由節(jié)點(diǎn)的連通性性（10跳），已已確保整個路徑的的暢通。r。注：該方法要求ISP的的鏈路對ICMP開開放。高級健康檢查針對所有的網(wǎng)絡(luò)環(huán)境（包包括禁止ICMP的的ISP），LinkProof提提供了豐富的47層檢查方式，并并可以通過多種檢檢查結(jié)果的“與”和“或”運(yùn)算結(jié)果，最終終準(zhǔn)確判斷鏈路的的健康狀況。例如如：通過CNC的的路徑，同時檢查查 HYPER

56、LINK 和 HYPERLINK 的80端口，并將檢查結(jié)果做“或”運(yùn)算，只要一個檢查通過即可判斷CNC鏈路正常。避免了某網(wǎng)站故障導(dǎo)致鏈路狀態(tài)誤判的可能性。j。流入（Inbound）流流量處理LinkProof需需要客戶配合將域域名的解析功能導(dǎo)導(dǎo)向到LinkProof，由由LinkProof來進(jìn)行域名的解析。這樣當(dāng)遠(yuǎn)程通過域名訪問企業(yè)網(wǎng)時，逐步通過遠(yuǎn)程用戶的本地DNS服務(wù)器、根DNS服務(wù)器，最終由LinkProof來進(jìn)行域名的解析。此時LinkProof就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路，然后將域名解析成相應(yīng)線路的IP地址。o。例如：當(dāng)某個網(wǎng)通的遠(yuǎn)遠(yuǎn)程用戶訪問企業(yè)業(yè)網(wǎng)時，首先向他他

57、當(dāng)?shù)氐腄NS服服務(wù)器發(fā)起域名解解析的請求，再通通過他接入運(yùn)營商商的根DNS服務(wù)務(wù)器，最終總歸會會向LinkProof請請求DNS解析，此此時LinkProof就就會通過靜態(tài)列表表或者動態(tài)判斷算算法，選擇最優(yōu)的的線路（網(wǎng)通），然然后將域名解析成成網(wǎng)通線路的IP地地址（218.x.x.1）。這這樣遠(yuǎn)程的網(wǎng)通用用戶就會使用網(wǎng)通通的目標(biāo)IP地址址，通過網(wǎng)通的線線路進(jìn)行訪問，實(shí)實(shí)現(xiàn)了訪問時鏈路路方面的負(fù)載均衡衡優(yōu)化。l。下面以 HYPERLINK 為例，描述Inbound流量處理的過程。h。假設(shè)圖中的Server1是是Web服務(wù)器，Internet主主機(jī)名為 HYPERLINK ，地址為私有IP：00/

58、24。b。如圖所示，在DNS服服務(wù)器上主則兩筆筆NS記錄，指向向LinkProof：J。NS www.R NS www.R 而在LinkProof上上設(shè)置URL與內(nèi)內(nèi)部主機(jī)地址的對對應(yīng)關(guān)系： HYPERLINK 00V。而在LinkProof上上設(shè)置靜態(tài)的地址址翻譯：00 00 當(dāng)有Internet用用戶訪問是是時，DNS服務(wù)務(wù)器回應(yīng)給用戶由由LinkProof來來完成最終地址解解析。LinkProof根根據(jù)具體設(shè)置來選選定適當(dāng)?shù)腎SP線線路，如果選擇ISP1，則則將地址解析為。同同樣，如果選擇ISP2，則則將地址解析為。從從而完成流入流量量的負(fù)載均衡。p。流出（Outbound）流流量處理L

59、inkProof主主要采用以下集中中方式來處理流出出流量。SmartNAT對于流出流量的智能地地址管理，LinkProof使使用了稱為SmartNAT的的算法。當(dāng)選定一一個路由器（某一一個ISP）傳送送流出流量時，LinkProof將將選擇該ISP提提供的地址。在圖圖二中，如果LinkProof選選擇ISP1作為為流出流量的路徑徑，則它將把內(nèi)部部的主機(jī)地址192.168.2.A/24翻譯為100.1.1.A/24，并作為流流出數(shù)據(jù)包的源地地址。同樣，如果果LinkProof選選擇ISP2作為為流出流量的路徑徑，則它將把內(nèi)部部的主機(jī)地址192.168.2.A/24翻譯為200.1.1.A/24，

60、并作為流流出數(shù)據(jù)包的源地地址。u。獨(dú)特優(yōu)勢-“就近性”運(yùn)算LinkProof的的專利技術(shù)：就近近性，能夠根據(jù)用用戶訪問的目的IP、各條鏈路的負(fù)載載等情況來綜合考考慮，計(jì)算出內(nèi)部部用戶訪問Internet的的最佳路徑，以保保證用戶能夠得到到最快和最高效的的服務(wù)和響應(yīng)。2。靜態(tài)就近性：用戶可在LinkProof上上為某個目標(biāo)定義義靜態(tài)的最佳鏈路路。例如目標(biāo)IP地地址屬于ISP1的的，應(yīng)選擇ISP1鏈鏈路；目標(biāo)IP地地址屬于ISP2的的，應(yīng)選擇ISP2鏈鏈路。6。動態(tài)就近性：在選擇最佳鏈路時，LinkProof會綜合考慮與目標(biāo)網(wǎng)絡(luò)之間的路由節(jié)點(diǎn)數(shù)量、數(shù)據(jù)傳輸?shù)难舆t和鏈路的實(shí)時負(fù)載，準(zhǔn)確計(jì)算出最佳路徑