RADWARE針對企業(yè)用戶的

1、RADWAREE針對企業(yè)用戶的整體解決方案以色列Radwware有限限公司北京代代表處2007年1月月目錄TOC o 1-3 h z u HYPERLINK l _Toc 一、行業(yè)背景 PAGEREF _Toc h 44 HYPERLINK l _Toc 二、企業(yè)用戶網(wǎng)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀狀 PAGEREF _Toc h 5 HYPERLINK l _Toc 2企業(yè)網(wǎng)絡(luò)應(yīng)用用現(xiàn)狀簡述 PAGEREF _Toc h 55 HYPERLINK l _Toc 2.1廣域網(wǎng)鏈鏈路現(xiàn)狀 PAGEREF _Toc h 6 HYPERLINK l _Toc 2.2網(wǎng)絡(luò)安全全防護(hù)現(xiàn)狀 PAGEREF _Toc h 7

2、7 HYPERLINK l _Toc 2.3網(wǎng)絡(luò)應(yīng)用用現(xiàn)狀 PAGEREF _Toc h 8 HYPERLINK l _Toc 3企業(yè)網(wǎng)絡(luò)中存存在的缺陷 PAGEREF _Toc h 88 HYPERLINK l _Toc 3.1廣域網(wǎng)鏈鏈路存在的缺缺陷 PAGEREF _Toc h 9 HYPERLINK l _Toc 3.2網(wǎng)絡(luò)安全全防護(hù)存在的的缺陷 PAGEREF _Toc h 10 HYPERLINK l _Toc 3.3網(wǎng)絡(luò)應(yīng)用用存在的缺陷陷 PAGEREF _Toc h 11 HYPERLINK l _Toc 三、企業(yè)網(wǎng)絡(luò)應(yīng)應(yīng)用需求分析析 PAGEREF _Toc h 12 HYP

3、ERLINK l _Toc 1廣域網(wǎng)鏈路需需求分析 PAGEREF _Toc h 122 HYPERLINK l _Toc 2網(wǎng)絡(luò)安全防護(hù)護(hù)需求分析 PAGEREF _Toc h 113 HYPERLINK l _Toc 3網(wǎng)絡(luò)應(yīng)用需求求分析 PAGEREF _Toc h 14 HYPERLINK l _Toc 四、Radwaare解決方方案 PAGEREF _Toc h 16 HYPERLINK l _Toc 1.Radwaare公司簡簡介 PAGEREF _Toc h 16 HYPERLINK l _Toc 2Radwarre解決方案案介紹 PAGEREF _Toc h 18 HYPERL

4、INK l _Toc 2.1Radwware解決決方案拓?fù)鋱D圖 PAGEREF _Toc h 18 HYPERLINK l _Toc 2.2Radwware解決決方案簡介 PAGEREF _Toc h 119 HYPERLINK l _Toc 2.2.1Raadwaree連接解決方方案部分簡介介 PAGEREF _Toc h 20 HYPERLINK l _Toc 2.2.2Raadwaree安全解決方方案部分簡介介 PAGEREF _Toc h 21 HYPERLINK l _Toc 2.2.3Raadwaree應(yīng)用解決方方案部分簡介介 PAGEREF _Toc h 23 HYPERLINK

5、 l _Toc 3Radwarre技術(shù)介紹紹 PAGEREF _Toc h 24 HYPERLINK l _Toc 3.1DefeensePrro 實現(xiàn)現(xiàn)入侵和DOOS攻擊的實實時防范 PAGEREF _Toc h 244 HYPERLINK l _Toc 3.1.1Doosshieeld實現(xiàn)已已知攻擊工具具防范 PAGEREF _Toc h 24 HYPERLINK l _Toc 3.1.2Beehaviooral DDoS基于網(wǎng)網(wǎng)絡(luò)行為模式式實現(xiàn)自動攻攻擊防范 PAGEREF _Toc h 255 HYPERLINK l _Toc 3.1.3入侵侵防范防范各各類應(yīng)用攻擊擊 PAGEREF

6、_Toc h 27 HYPERLINK l _Toc 3.1.4帶寬寬管理 PAGEREF _Toc h 28 HYPERLINK l _Toc 3.1.5其它它安全相關(guān)功功能 PAGEREF _Toc h 28 HYPERLINK l _Toc 3.1.6DeefenseePro的安安全報告 PAGEREF _Toc h 299 HYPERLINK l _Toc 3.2LinkkProoff 鏈路優(yōu)選選方案 PAGEREF _Toc h 30 HYPERLINK l _Toc 3.2.1鏈路路健康檢測 PAGEREF _Toc h 330 HYPERLINK l _Toc 3.2.2流入入（

7、Inboound）流流量處理 PAGEREF _Toc h 311 HYPERLINK l _Toc 3.2.3流出出（Outbbound）流流量處理 PAGEREF _Toc h 322 HYPERLINK l _Toc 3.2.4獨特特優(yōu)勢-“就近性”運算 PAGEREF _Toc h 33 HYPERLINK l _Toc 3.3SecuureFloow對防御系系統(tǒng)進(jìn)行中央央管理 PAGEREF _Toc h 34 HYPERLINK l _Toc 3.3.1保證證各安全工具具的高可用性性 PAGEREF _Toc h 34 HYPERLINK l _Toc 3.3.2提升升各安全工具具

8、的處理性能能 PAGEREF _Toc h 35 HYPERLINK l _Toc 3.3.3統(tǒng)一一和可升級的的安全體系結(jié)結(jié)構(gòu) PAGEREF _Toc h 35 HYPERLINK l _Toc 3.4AppDDirecttor-實現(xiàn)現(xiàn)服務(wù)器負(fù)載載均衡 PAGEREF _Toc h 35 HYPERLINK l _Toc 3.4.1健康康狀況檢查 PAGEREF _Toc h 336 HYPERLINK l _Toc 3.4.2交易易完整性的可可靠保證 PAGEREF _Toc h 366 HYPERLINK l _Toc 3.4.3完全全的容錯與冗冗余 PAGEREF _Toc h 36

9、HYPERLINK l _Toc 3.4.4通過過正常退出服服務(wù)保證穩(wěn)定定運行 PAGEREF _Toc h 36 HYPERLINK l _Toc 3.4.5智能能的服務(wù)器服服務(wù)恢復(fù) PAGEREF _Toc h 377 HYPERLINK l _Toc 3.4.6通過過負(fù)載均衡優(yōu)優(yōu)化服務(wù)器資資源 PAGEREF _Toc h 37 HYPERLINK l _Toc 3.4.7應(yīng)用用交換 PAGEREF _Toc h 37 HYPERLINK l _Toc 3.4.8URRL交換 PAGEREF _Toc h 37 HYPERLINK l _Toc 3.4.9內(nèi)容容交換 PAGEREF _T

10、oc h 37 HYPERLINK l _Toc 3.5AppXXcel 智智能應(yīng)用加速速 PAGEREF _Toc h 37 HYPERLINK l _Toc 3.5.1SSSL加速 PAGEREF _Toc h 38 HYPERLINK l _Toc 3.5.2集中中處理多設(shè)備備應(yīng)用程序和和SSL協(xié)議管管理 PAGEREF _Toc h 38 HYPERLINK l _Toc 3.5.3TCCP 優(yōu)化 PAGEREF _Toc h 39 HYPERLINK l _Toc 3.5.4多路路HTTP/s協(xié)議 PAGEREF _Toc h 39 HYPERLINK l _Toc 3.5.5高速速

11、緩存 PAGEREF _Toc h 39 HYPERLINK l _Toc 3.5.6htttp壓縮 PAGEREF _Toc h 39 HYPERLINK l _Toc 3.5.7數(shù)據(jù)據(jù)壓縮 PAGEREF _Toc h 40 HYPERLINK l _Toc 五、Radwaare整體解解決方案的優(yōu)優(yōu)勢 PAGEREF _Toc h 41RADWAREE針對企業(yè)用戶的整體解決方案行業(yè)背景人類社會在進(jìn)入入80年代以以來，以現(xiàn)代代通信技術(shù)與與計算機、網(wǎng)網(wǎng)絡(luò)技術(shù)引導(dǎo)導(dǎo)的技術(shù)革命命取得了巨大大的成功。基基于Inteernet及及Intraanet技術(shù)術(shù)得到了普遍遍的應(yīng)用。大大大地推動了了全球信息化化

12、的進(jìn)程，改改變了人類傳傳統(tǒng)的生產(chǎn)和和生活方式。促進(jìn)了知識識經(jīng)濟的成長長，加快了世世界經(jīng)濟一體體化進(jìn)程。對對信息的掌握握、利用與傳傳播成為影響響生產(chǎn)力發(fā)展展水平和綜合合國力增強的的關(guān)鍵因素，信信息化程度已已成為國家發(fā)發(fā)展?jié)摿桶l(fā)發(fā)展水平的重重要標(biāo)志。然然而一個國家家信息化的程程度如何最終終體現(xiàn)在企業(yè)業(yè)信息化的程程度。因為企企業(yè)才是財富富最終的創(chuàng)造造者。也就是是說，企業(yè)信信息化的程度度是衡量一個個國家信息化化水平高低的的一個最重要要的標(biāo)志。 所謂企業(yè)信息化化是指“企業(yè)利用現(xiàn)現(xiàn)代信息技術(shù)術(shù)手段，在生生產(chǎn)、經(jīng)營、管理過程中中，有效地開開發(fā)、利用信信息資源的過過程”。實現(xiàn)企業(yè)業(yè)信息化，就就是企業(yè)充分分運

13、用通訊、計算機和網(wǎng)網(wǎng)絡(luò)技術(shù)等現(xiàn)現(xiàn)代信息技術(shù)術(shù)與裝備，采采集、加工、處理、傳遞遞和貯存信息息，對信息資資源進(jìn)行有效效地開發(fā)與利利用。企業(yè)能能否有效地開開發(fā)利用信息息、優(yōu)化信息息資源的配置置，決定著企企業(yè)管理效率率高低、整體體素質(zhì)優(yōu)劣和和競爭優(yōu)勢強強弱。開展企企業(yè)信息化有有利于企業(yè)實實現(xiàn)信息資源源的共享、有有利于加強企企業(yè)的管理、決策、運營營的現(xiàn)代化與與信息化。近年來，很多企企業(yè)都建立了了與互聯(lián)網(wǎng)相相連的企業(yè)內(nèi)內(nèi)部網(wǎng)（專網(wǎng)網(wǎng)），大大促促進(jìn)了我國的的企業(yè)信息化化進(jìn)程。隨著著中國市場逐逐步開放，許許多國內(nèi)企業(yè)業(yè)走出國門謀謀求更大的市市場空間。在在網(wǎng)絡(luò)信息技技術(shù)高速發(fā)展展的今天，企企業(yè)信息網(wǎng)絡(luò)絡(luò)是否高效

14、、暢通、安全全在很大程度度上影響企業(yè)業(yè)的生產(chǎn)、銷銷售、管理等等各個環(huán)節(jié)。對于現(xiàn)代企企業(yè)來說，及及時了解客戶戶的需求和市市場動態(tài)非常常重要，建立立一個高效、可靠的企業(yè)業(yè)信息網(wǎng)絡(luò)就就顯得尤為迫迫切。企業(yè)網(wǎng)內(nèi)的應(yīng)用用大致包括如如下內(nèi)容：企業(yè)不同部門之之間的文件資資源共享、打打印共享；收發(fā)電子郵件、網(wǎng)絡(luò)傳真，召召開視頻、網(wǎng)網(wǎng)絡(luò)電話會議議最大限度降降低辦公成本本；企業(yè)自有的辦公公OA 系統(tǒng)統(tǒng)、ERP、CRM 等等信息管理系系統(tǒng)；企業(yè)建立自己的的門戶網(wǎng)站，通通過網(wǎng)絡(luò)宣傳傳企業(yè)或開展展電子商務(wù)。然而，就在我們們得益于現(xiàn)代代網(wǎng)絡(luò)通信技技術(shù)給我們帶帶來便利的同同時，我們也也體會到了網(wǎng)網(wǎng)絡(luò)給我們帶帶來的災(zāi)難。來自

15、外部的的蓄意攻擊、計算機病毒毒的侵襲、和和來自商業(yè)間間諜對信息數(shù)數(shù)據(jù)的竊取、破壞使我們們防不勝防；網(wǎng)絡(luò)安全問問題得到了普普遍的重視。如何為企業(yè)業(yè)用戶提供一一個安全、穩(wěn)穩(wěn)定的網(wǎng)絡(luò)應(yīng)應(yīng)用平臺已成成為一個日益益突出的問題題。Radwaree公司針對日日益突出的網(wǎng)網(wǎng)絡(luò)安全問題題推出了一系系列網(wǎng)絡(luò)安全全產(chǎn)品。 旨旨在推動我國國網(wǎng)絡(luò)安全事事業(yè)的發(fā)展，為為我國的信息息網(wǎng)絡(luò)保駕護(hù)護(hù)航。為廣大大的網(wǎng)絡(luò)用戶戶提供一個安安全、穩(wěn)定的的網(wǎng)絡(luò)應(yīng)用平平臺。本方案案就是針對我我國企業(yè)用戶戶提供的一套套整體解決方方案。企業(yè)用戶網(wǎng)絡(luò)應(yīng)應(yīng)用現(xiàn)狀企業(yè)網(wǎng)絡(luò)應(yīng)用現(xiàn)現(xiàn)狀簡述一個典型的企業(yè)業(yè)的網(wǎng)絡(luò)拓?fù)鋼浣Y(jié)構(gòu)圖如下下圖所示：可以看出上述典典

16、型的企業(yè)網(wǎng)絡(luò)大致致由3 部分組成成：網(wǎng)絡(luò)連接部分網(wǎng)絡(luò)安全部分網(wǎng)絡(luò)應(yīng)用部分下面我們就這三三部分做簡要要描述：廣域網(wǎng)鏈路現(xiàn)狀狀網(wǎng)絡(luò)連接部分還還可以分為IInternnet連接部部分和專網(wǎng)連連接部分：Interneet連接部分分Interneet連接部分分是指企業(yè)網(wǎng)絡(luò)數(shù)據(jù)據(jù)中心通過IISP運營商商的鏈路連接接到Inteernet，用用于企業(yè)對外的網(wǎng)網(wǎng)上公共信息息發(fā)布、為IInternnet用戶提提供企業(yè)網(wǎng)上應(yīng)用用，同時企業(yè)業(yè)內(nèi)部用戶也也可以訪問IInternnet上的資資源；專網(wǎng)連接部分專網(wǎng)連接部分用用于企業(yè)網(wǎng)絡(luò)連接接各地分支機機構(gòu)。分支機構(gòu)的內(nèi)部部用戶通過專專網(wǎng)連接訪問問數(shù)據(jù)中心的的應(yīng)用服務(wù)器器，

17、例如：WWEB服務(wù)器器，E-Mail服務(wù)務(wù)器等，同時時也可以通過過數(shù)據(jù)中心的的Interrnet鏈路路訪問Intternett上的資源。網(wǎng)絡(luò)安全防護(hù)現(xiàn)現(xiàn)狀網(wǎng)絡(luò)安全部分通通常由防火墻墻、入侵檢測測系統(tǒng)（IDDS）和防病病毒網(wǎng)關(guān)等設(shè)備構(gòu)成，用用于制定內(nèi)部部信息資源的的不同訪問策策略，保護(hù)數(shù)數(shù)據(jù)中心的應(yīng)應(yīng)用免受來自自Interrnet的網(wǎng)網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)應(yīng)用現(xiàn)狀網(wǎng)絡(luò)應(yīng)用由企業(yè)業(yè)對外WWW信息發(fā)發(fā)布系統(tǒng)，業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)統(tǒng)和后臺數(shù)據(jù)據(jù)庫系統(tǒng)組成成企業(yè)網(wǎng)絡(luò)中存在在的缺陷從上圖中可以看看出，在企業(yè)業(yè)網(wǎng)絡(luò)中存在在很多網(wǎng)絡(luò)設(shè)設(shè)計上的缺陷陷，總結(jié)起來來可以分為以以下三個部分分的問題：網(wǎng)絡(luò)連接部分存存在的問題網(wǎng)絡(luò)安全

18、部分存存在的問題網(wǎng)絡(luò)應(yīng)用部分存存在的問題下面我們就這三三部分存在的的問題做詳細(xì)細(xì)描述：廣域網(wǎng)鏈路存在在的缺陷企業(yè)網(wǎng)絡(luò)連接部部分存在的問問題可以分為為以下兩部分分：企業(yè)中央機構(gòu)IInternnet鏈路存存在的問題：各分支機構(gòu)到中中央機構(gòu)之間間廣域網(wǎng)鏈路路存在的問題題：企業(yè)中央機構(gòu)IInternnet鏈路存存在的問題：鏈路的單點失效效性：采用單一Intternett連接鏈路存存在單點失效效性，一旦該該鏈路出現(xiàn)故故障將造成整整個網(wǎng)絡(luò)的癱癱瘓；鏈路性能的瓶頸頸：單一Interrnet連接接鏈路的帶寬寬資源是有限限的，無法滿滿足企業(yè)內(nèi)部全體體用戶對網(wǎng)絡(luò)絡(luò)訪問Intternett時帶寬不斷斷增長的需求求，

19、同時也無無法大量的IInternnet上的用用戶對企業(yè)的訪問；訪問快慢不一內(nèi)部用戶訪問iinternnet資源時時，或外部用用戶訪問企業(yè)業(yè)發(fā)布的內(nèi)部部資源時，會會受到ISPP提供商的不不同，而產(chǎn)生生訪問快慢不不一的現(xiàn)像。例如：如果果企業(yè)采用的的ISP是通通過網(wǎng)通接入入的，在訪問問處于電信的的資源時，會會由于不同IISP之間互互連互通的問問題造成訪問問變慢，而訪訪問網(wǎng)通資源源時，就不會會存在問題。網(wǎng)絡(luò)安全防護(hù)能能力弱：目前Interrnet上的的各種各樣的的網(wǎng)絡(luò)攻擊層層出不窮，路路由器自身對對網(wǎng)絡(luò)攻擊的的防護(hù)能力非非常有限，DDOS/DDDOS 網(wǎng)絡(luò)絡(luò)攻擊會對廣廣域網(wǎng)絡(luò)由器器產(chǎn)生嚴(yán)重的的影響；各

20、分支機構(gòu)到中中央機構(gòu)之間間廣域網(wǎng)鏈路路存在的問題題：鏈路的單點失效效性：各省級機關(guān)到中中央機構(gòu)之間間采用單一廣廣域網(wǎng)鏈路，存存在單點失效效性，一旦該該鏈路出現(xiàn)故故障將造成該該省級機關(guān)無法法訪問中央機機構(gòu)和Interrnet；鏈路性能的瓶頸頸：各省級機關(guān)到中中央機構(gòu)之間間采用低速的的廣域網(wǎng)鏈路路（Framme Rellay，DDN），而而各分支機的的用戶訪問中中心的應(yīng)用服服務(wù)器的網(wǎng)絡(luò)絡(luò)流量，以及及各分支機的的用戶訪問IInternnet的網(wǎng)絡(luò)流量量都要經(jīng)過這這條單一的廣廣域網(wǎng)鏈路，因因此無法滿足足用戶對網(wǎng)絡(luò)絡(luò)帶寬不斷增增長的需求；網(wǎng)絡(luò)安全防護(hù)能能力弱：各省級機關(guān)中收收病毒感染的的機器會向中中央機

21、構(gòu)發(fā)送送攻擊數(shù)據(jù)包包，造成各省省級機關(guān)到中央機構(gòu)之間間的鏈路擁塞塞，從而影響響網(wǎng)絡(luò)中的關(guān)關(guān)鍵應(yīng)用的正正常運行網(wǎng)絡(luò)安全防護(hù)存存在的缺陷網(wǎng)絡(luò)安全設(shè)備的的單點失效性性：單一的網(wǎng)絡(luò)安全全設(shè)備存在單單點失效性，例例如：圖中的的防火墻和防防病毒設(shè)備一一旦出現(xiàn)問題題，將造成整整個網(wǎng)絡(luò)的癱癱瘓；網(wǎng)絡(luò)安全設(shè)備性性能的瓶頸：網(wǎng)絡(luò)安全設(shè)備由由于要對進(jìn)出出網(wǎng)絡(luò)的數(shù)據(jù)據(jù)包進(jìn)行安全全性檢查，與與網(wǎng)絡(luò)路由器器和網(wǎng)絡(luò)交換換機相比，性性能通常會降降低很多，例例如防病毒設(shè)設(shè)備的網(wǎng)絡(luò)吞吞吐量通常只只有310Mbpps。因此網(wǎng)網(wǎng)絡(luò)中的安全全設(shè)備通常都都是制約網(wǎng)絡(luò)絡(luò)傳輸速度的的瓶頸點。安全體系架構(gòu)存存在漏洞：防火墻可以基于于網(wǎng)絡(luò)中的T

22、TCP、UDP端口對對網(wǎng)絡(luò)流量進(jìn)進(jìn)行訪問控制制，并且可以以對基于狀態(tài)態(tài)的協(xié)議進(jìn)行行協(xié)議狀態(tài)檢檢查，因此防防火墻通常是是在網(wǎng)絡(luò)第四四層上對用戶戶的網(wǎng)絡(luò)進(jìn)行行保護(hù)。但是是防火墻無法法對基于網(wǎng)絡(luò)絡(luò)七層中的網(wǎng)網(wǎng)絡(luò)攻擊進(jìn)行行防護(hù)例如：蠕蟲入侵病毒入侵。后門攻擊。IDS可以對網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)據(jù)包進(jìn)行深入入的分析，可可以檢查到資資料包中第77層的信息，它它具備隨時對對可疑流量進(jìn)進(jìn)行檢查和識識別的能力。但是IDSS最大的問題題是IDS并不能能阻止攻擊的的入侵，僅僅僅能發(fā)出告警警，而此時網(wǎng)網(wǎng)絡(luò)攻擊已經(jīng)經(jīng)進(jìn)入到網(wǎng)絡(luò)絡(luò)內(nèi)部。目前我們面臨著著手段各異形形式多樣的混混合式攻擊威威脅，這些攻攻擊中應(yīng)用級級層的攻擊占占了絕大

23、多數(shù)數(shù)，為了抑制制這些攻擊，Gartner建議“在作出安全方面的決策時除了考慮簡單的靜態(tài)協(xié)議過濾外，還要考慮對應(yīng)用內(nèi)容（網(wǎng)絡(luò)七層中的攻擊特征）進(jìn)行深入的數(shù)據(jù)包檢查，并阻擋該攻擊”。因此，企業(yè)在面面臨多種多樣樣的攻擊威脅脅時，急需找找到更嚴(yán)密的的安全防護(hù)手手段。網(wǎng)絡(luò)應(yīng)用存在的的缺陷網(wǎng)絡(luò)應(yīng)用的可靠靠性較差：應(yīng)用服務(wù)器由于于服務(wù)器硬件件的穩(wěn)定性、流量壓力超超載、網(wǎng)絡(luò)攻攻擊等情況經(jīng)經(jīng)常會出現(xiàn)意意外宕機的情情況，從而無無法保證網(wǎng)絡(luò)絡(luò)應(yīng)用的7xx24 小時時的持續(xù)性服服務(wù)。網(wǎng)絡(luò)應(yīng)用的性能能瓶頸：在網(wǎng)絡(luò)應(yīng)用系統(tǒng)統(tǒng)中，通常會會采用多臺服服務(wù)器同時提提供服務(wù)的方方式。但是由由于網(wǎng)絡(luò)中的的流量并不均均衡，因此經(jīng)經(jīng)

24、常會出現(xiàn)某某臺服務(wù)器由由于訪問量過過大而宕機，造造成網(wǎng)絡(luò)應(yīng)用用性能的不穩(wěn)穩(wěn)定，從而影影響到整個網(wǎng)網(wǎng)絡(luò)應(yīng)用系統(tǒng)統(tǒng)的性能。網(wǎng)絡(luò)應(yīng)用的安全全性較差：從上圖中可以看看出現(xiàn)有網(wǎng)絡(luò)絡(luò)中的安全性性防護(hù)機制的的特點是：現(xiàn)有的安全性防防護(hù)機制通常常是針對來自自外網(wǎng)的攻擊擊；缺乏針對來自內(nèi)內(nèi)網(wǎng)的攻擊防防護(hù)機制；現(xiàn)有的安全性防防護(hù)機制通常常是針對整體體網(wǎng)絡(luò)層面的的攻擊防護(hù)，即即針對網(wǎng)絡(luò)IIP層、TCP/UDP層的的網(wǎng)絡(luò)4層以下的攻攻擊防護(hù)；缺乏針對具體的的、特定的企企業(yè)網(wǎng)絡(luò)應(yīng)用用的特點而專專門制定的符符合企業(yè)網(wǎng)絡(luò)應(yīng)用用的基于網(wǎng)絡(luò)絡(luò)7層防護(hù)的安安全性防護(hù)機機制；企業(yè)網(wǎng)絡(luò)應(yīng)用需需求分析廣域網(wǎng)鏈路需求求分析網(wǎng)絡(luò)連接方面的

25、的需求多鏈鏈路負(fù)載均衡衡技術(shù)企業(yè)在網(wǎng)絡(luò)連接接方面的需求求可以分為以以下兩部分：中央機構(gòu)Intternett網(wǎng)絡(luò)連接方方面的需求各省級機關(guān)到中中央機構(gòu)之間間網(wǎng)絡(luò)連接方方面的需求中央機構(gòu)Intternett網(wǎng)絡(luò)連接方方面的需求目前在國內(nèi)由于于多家ISPP的競爭，Internnet 接入入鏈路的成本本大幅降低，多多鏈路Intternett的接入已成成為許多用戶戶在的選擇網(wǎng)網(wǎng)絡(luò)連接方面面的需求。因因此在中央機機構(gòu)Inteernet網(wǎng)網(wǎng)絡(luò)連接方面面,企業(yè)網(wǎng)絡(luò)將將存在如下要要求：提高Interrnet網(wǎng)絡(luò)絡(luò)鏈路的可用用性：建議企業(yè)采用接接入多個ISSP的方式提提高可用性，而而當(dāng)企業(yè)網(wǎng)絡(luò)中心心具有多條IIn

26、ternnet鏈路后后，應(yīng)提高IInternnet網(wǎng)絡(luò)鏈鏈路可用性的的智慧檢查能能力，防止出出現(xiàn)由于某一一條Inteernet鏈鏈路的失效造造成整體網(wǎng)絡(luò)絡(luò)的不可訪問問。提高Interrnet鏈路路的網(wǎng)絡(luò)吞吐吐量：提高網(wǎng)絡(luò)中心的的Interrnet網(wǎng)絡(luò)絡(luò)鏈路的吞吐吐量，申請多多條Inteernet鏈鏈路提高Interrnet網(wǎng)絡(luò)絡(luò)鏈路的抗網(wǎng)網(wǎng)絡(luò)攻擊的能能力：Interneet上的各種種各樣的網(wǎng)絡(luò)絡(luò)攻擊首先影影響的將會是是Interrnet網(wǎng)絡(luò)絡(luò)鏈路，因此此應(yīng)加強在IInternnet鏈路上上的攻擊防護(hù)護(hù)。各省級機關(guān)到中中央機構(gòu)之間間網(wǎng)絡(luò)連接方方面的需求目前各省級機關(guān)關(guān)到中央機構(gòu)之間間通常采用FF

27、rame Relayy或DDN等昂貴貴的專線廣域域網(wǎng)鏈路，而而目前國內(nèi)運運營商可以提提供相對高速速同時價格便便宜的Intternett 接入鏈路路，例如： ADSL，因因此企業(yè)網(wǎng)絡(luò)存在在入下要求：提高省級機關(guān)到到中央機構(gòu)的廣廣域網(wǎng)鏈路的的可用性：如果各地省級機機關(guān)與中央機構(gòu)之間間存在多條鏈鏈路，應(yīng)注意意提高省級機機關(guān)到中央機構(gòu)的廣廣域網(wǎng)鏈路可可用性的智慧慧檢查，防止止出現(xiàn)由于某某一條鏈路的的失效造成整整個省級機關(guān)關(guān)無法訪問到到中央機構(gòu)。增加省級機關(guān)到到中央機構(gòu)的鏈鏈路，增加帶帶寬，同時降降低省級機關(guān)關(guān)與中央機構(gòu)之間間廣域網(wǎng)鏈路路的成本：利用運營商提供供的低價、高高速鏈路，在在各地省級機機關(guān)與中

28、央機構(gòu)之間間增加鏈路帶帶寬，設(shè)法降降低減輕各地地省級機關(guān)與中央機構(gòu)之間間專線的流量量壓力，降低低廣域網(wǎng)鏈路路的成本提高各個省級機機關(guān)的網(wǎng)絡(luò)安安全防護(hù)能力力：在各個省級機關(guān)關(guān)的廣域網(wǎng)出出口和Intternett出口的位置置增加網(wǎng)絡(luò)安安全防護(hù)的能能力，以保證證各省級機關(guān)關(guān)的網(wǎng)絡(luò)安全全，同時可以以保證一旦某某個省級機關(guān)關(guān)內(nèi)部的用戶戶受到網(wǎng)絡(luò)攻攻擊的侵襲，那那么該網(wǎng)絡(luò)攻攻擊不會擴散散到中央機構(gòu)構(gòu)，以及其它它省級機關(guān)。網(wǎng)絡(luò)安全防護(hù)需需求分析網(wǎng)絡(luò)安全方面的的需求防火火墻、IDSS、防病毒設(shè)設(shè)備負(fù)載均衡衡技術(shù)的需求求為了保證企業(yè)的的網(wǎng)絡(luò)在網(wǎng)絡(luò)絡(luò)安全防護(hù)方方面的高可用用性、高性能能和安全性，企業(yè)在網(wǎng)絡(luò)安全方面

29、的需求可以分為以下幾部分：提高網(wǎng)絡(luò)安全設(shè)設(shè)備的可用性性：網(wǎng)絡(luò)中應(yīng)具備安安全設(shè)備的的的可用性檢查查，避免單一一的網(wǎng)絡(luò)安全全設(shè)備的單點點失效性。提高網(wǎng)絡(luò)安全設(shè)設(shè)備性能：在網(wǎng)絡(luò)中采用多多臺網(wǎng)絡(luò)安全全設(shè)備，避免免網(wǎng)絡(luò)安全設(shè)設(shè)備帶來的瓶瓶頸，提高網(wǎng)網(wǎng)絡(luò)傳輸速度度。完善網(wǎng)絡(luò)安全體體系架構(gòu)：現(xiàn)今，各種各樣樣的網(wǎng)絡(luò)攻擊擊層出不窮，導(dǎo)導(dǎo)致防火墻的的負(fù)荷在不斷斷提高，再相相對于網(wǎng)絡(luò)物物理帶寬的大大幅度提高，防防火墻逐漸成成為了網(wǎng)絡(luò)的的瓶頸，本案案希望使用一一組（2個以上）防防火墻采用負(fù)負(fù)載均衡技術(shù)術(shù)提供安全服服務(wù)，以提升升性能。網(wǎng)絡(luò)安全方面的的需求具備備深層檢測、高性能的安安全防護(hù)設(shè)備備需求當(dāng)前的黑客攻擊擊，具備

30、層出出不窮，隱蔽蔽性強，攻量量大，影響廣廣等特點，對對安全網(wǎng)關(guān)設(shè)設(shè)備提出了更更高的要求，因因此需要企業(yè)業(yè)的網(wǎng)絡(luò)中的的安全產(chǎn)品提提出了新的需需求，要求應(yīng)應(yīng)用安全產(chǎn)品品具備防范一一系列攻擊的的智能和性能能： 需要集成的實時時安全性，發(fā)發(fā)現(xiàn)攻擊和入入侵立即攔截截能夠深入檢查數(shù)數(shù)據(jù)包，防范各種應(yīng)應(yīng)用層攻擊，例例如蠕蟲、病病毒、木馬和和Dos 攻攻擊能夠即使攔截大大流量，爆發(fā)發(fā)性的DoSS/DDoss攻擊，與此此同時，要求求網(wǎng)絡(luò)訪問正正常進(jìn)行，網(wǎng)網(wǎng)絡(luò)的性能不不能有太大降降低要求安全產(chǎn)品具具備數(shù)千兆位位速度雙向掃掃描的安全檢檢測性能能夠?qū)︽溌返膸捠褂眠M(jìn)行行有效管理，如如對消耗帶寬寬資源非常嚴(yán)嚴(yán)重的P2

31、PP流量進(jìn)行有有效控制，保保證關(guān)鍵應(yīng)用用的帶寬使用用網(wǎng)絡(luò)應(yīng)用需求分分析網(wǎng)絡(luò)應(yīng)用方面的的需求應(yīng)用用服務(wù)器負(fù)載載均衡技術(shù)的的需求為了保證企業(yè)的的網(wǎng)絡(luò)應(yīng)用的的高可用性、高性能和安安全性，企業(yè)業(yè)的網(wǎng)絡(luò)應(yīng)用用存在下列需需求：提高網(wǎng)絡(luò)應(yīng)用的的可靠性：自動的網(wǎng)絡(luò)應(yīng)用用可用性檢查查，保證網(wǎng)絡(luò)絡(luò)應(yīng)用的7xx24 小時時的持續(xù)性服服務(wù)。提高網(wǎng)絡(luò)應(yīng)用的的性能：如果網(wǎng)絡(luò)中僅有有單臺服務(wù)器器提供網(wǎng)絡(luò)應(yīng)應(yīng)用的服務(wù)，很很難保證網(wǎng)絡(luò)絡(luò)應(yīng)用的性能能，可以考慮慮增加相應(yīng)的的服務(wù)器數(shù)量量，配合負(fù)載載均衡技術(shù)來來提高網(wǎng)絡(luò)網(wǎng)網(wǎng)絡(luò)應(yīng)用的性性能。網(wǎng)絡(luò)應(yīng)用的安全全性較差：制定針對具體的的、特定的網(wǎng)網(wǎng)絡(luò)應(yīng)用的特特點而專門制制定的基于網(wǎng)網(wǎng)絡(luò)7層

32、防護(hù)的安安全性防護(hù)機機制；Radwaree解決方案Radwaree公司簡介Radwaree公司是RADD集團(tuán)的成員員之一，RAAD集團(tuán)目前前擁有14個各自獨獨立的公司，在在網(wǎng)絡(luò)及通訊訊產(chǎn)業(yè)領(lǐng)域提提供不同的技技術(shù)，服務(wù)不不同的市場。Radwaare 公司司于19999年在NASDDAQ上市(RDWWR)，目前前，Radwware公司司的網(wǎng)絡(luò)產(chǎn)品品行銷40多個國家家，在全球擁擁有130家經(jīng)銷銷商，為廣大大用戶提供了了全面的產(chǎn)品品和解決方案案。Radwaree 一直致力力于提供智能能應(yīng)用交換（IAS）技術(shù)，以保證IP網(wǎng)絡(luò)應(yīng)用在Internet/Intranet上的最佳運行和服務(wù)。Radware 將應(yīng)

33、用需求和網(wǎng)絡(luò)設(shè)施緊密結(jié)合在一起，可無縫分配資源、優(yōu)化應(yīng)用系統(tǒng)的運行以及提高網(wǎng)絡(luò)安全性，最終為用戶提供高可靠性的、高性能的、高安全性的網(wǎng)絡(luò)智能應(yīng)用解決方案。作為網(wǎng)絡(luò)智能應(yīng)應(yīng)用交換（IIAS）領(lǐng)域域的佼佼者，Radware通過在47層網(wǎng)絡(luò)交換領(lǐng)域和網(wǎng)絡(luò)入侵防護(hù)（IPS）領(lǐng)域?qū)Ｗ⒌募夹g(shù)研發(fā)，不斷為市場提供功能強大、穩(wěn)定高效的網(wǎng)絡(luò)智能應(yīng)用解決方案。Radware目前提供3大類網(wǎng)絡(luò)智能應(yīng)用解決方案：Radwaree網(wǎng)絡(luò)連接解解決方案；Radwaree網(wǎng)絡(luò)安全解解決方案；Radwaree網(wǎng)絡(luò)應(yīng)用解解決方案；通過最優(yōu)化的網(wǎng)網(wǎng)絡(luò)資源利用用以及完善的的安全防護(hù)體體系架構(gòu)為廣廣大用戶打造造全方位、高高效率的網(wǎng)絡(luò)絡(luò)

34、安全空間。Radwaree 解決方案案借助屢獲殊殊榮的產(chǎn)品來來構(gòu)架Raddware網(wǎng)網(wǎng)絡(luò)智能應(yīng)用用解決方案用用于滿足企業(yè)業(yè)、服務(wù)提供供商以及電子子商務(wù)機構(gòu)的的網(wǎng)絡(luò)需求。這些產(chǎn)品包包括：LinnkProoof（LP）、Linkkprooff-Brannch（LPB）、Defennse-prro（DP）、AppDDirecttor、SecurreFloww(SF)、AppXccel、FirePProof（FP）、Conttent IInspecction Direcctor (CID)。Radwaare公司全全面的產(chǎn)品組組合可服務(wù)于于端到端的應(yīng)應(yīng)用業(yè)務(wù)，同同時提供可靠靠和可擴展的的網(wǎng)絡(luò)流量保保證。

35、Raddware 可讓您對網(wǎng)網(wǎng)絡(luò)環(huán)境中從從點擊到內(nèi)容容的方方面面面做到萬無一一失。Radwaree在智能應(yīng)用交換（IAS）技術(shù)上一直處于于領(lǐng)先地位，Radware的產(chǎn)品獲得過眾多的業(yè)界大獎，這些獎項包擴：PC Magaazine Editoors CChoiceeNetworkk magaazines Prooduct of thhe YeaarZD Inteernet Labss Net BestSpring Interrnet WWorld98Los Anggeles, Bestt of SShowNetworkk Compputingg magaazines Ediitorss Choi

36、ice Radwaree解決方案介介紹Radwaree解決方案拓?fù)鋱D根據(jù)上述網(wǎng)絡(luò)應(yīng)應(yīng)用現(xiàn)狀分析和用用戶的需求分析析，結(jié)合Raadwaree產(chǎn)品的技術(shù)實現(xiàn)現(xiàn)和特點，我們建議的企業(yè)方案設(shè)計包括兩大部分，中央央機構(gòu)方案設(shè)計和省級機關(guān)方案案設(shè)計，如下圖所示：圖一：中央機構(gòu)構(gòu)網(wǎng)絡(luò)拓?fù)浞?wù)器客戶端 WAN企業(yè)專網(wǎng)總部LinkProof Branch防火墻交換機分支機構(gòu)圖二、中央機構(gòu)構(gòu)與各分支機構(gòu)構(gòu)的連接拓?fù)銻adwaree解決方案簡介建議在中央機構(gòu)構(gòu)網(wǎng)絡(luò)各層面上共共采用了如下下Radwaare的設(shè)備，其中包包括:DefenseePRO(DDP)-專用用的透明安全全設(shè)備LinkProoof(LPP)-鏈路負(fù)

37、負(fù)載均衡設(shè)備備SecureFFlow(SSF)-安全全網(wǎng)關(guān)負(fù)載均均衡設(shè)備AppDireector-服務(wù)器負(fù)載載均衡AppXcell-服務(wù)器優(yōu)優(yōu)化設(shè)備在各分支機構(gòu)的的interrnet出口口處部署一臺 LLinkPrroof BBranchh(分支機構(gòu)構(gòu)鏈路負(fù)載均均衡器)，并并在其上部署署應(yīng)用安全模塊(具備DPP所有功能)。該解決方案從功功能上分為33個部分：連接解決方案部部分安全解決方案部部分應(yīng)用的解決方案案部分Radwaree連接解決方案部分簡介LinkProoof實現(xiàn)多多鏈路的負(fù)載均衡和防防火墻的負(fù)載均衡如上圖所示，我我們建議在網(wǎng)絡(luò)接入處，部部署LinkkProoff，實現(xiàn)對多條intee

38、rnet接接入鏈路（最多1000條）的負(fù)載均衡，可以同同時實現(xiàn)ouutbounnd流量（內(nèi)部辦公用戶訪問iinternnet）和inboound流量量（inteernet用用戶訪問內(nèi)部服服務(wù)器）雙向的負(fù)載均衡。同時使用Raddware專專利技術(shù)動態(tài)就近性性來保證進(jìn)出的雙向流量的智智能的動態(tài)的就近性性選擇，大大提提高用戶訪問問的服務(wù)質(zhì)量和訪問效率。LinkProoof可以配配合SecuureFloow實現(xiàn)多臺防火火墻（最多1000臺）的負(fù)載均衡，防防火墻可以是不同同廠家，不同同型號，不同性能能，大大提供供防火墻的擴擴展性和可用用性。各分支機構(gòu)的LLinkPrroof BBranchh實現(xiàn)多鏈路的

39、負(fù)載均衡服務(wù)器客戶端 WAN企業(yè)專網(wǎng)總部LinkProof Branch防火墻交換機分支機構(gòu)如上圖所示，我我們建議在各分支機機構(gòu)的網(wǎng)絡(luò)接入處處，部署LinnkProoof Braanch，實現(xiàn)對innterneet接入和企業(yè)廣域網(wǎng)接入這兩兩條鏈路的負(fù)載均衡，根根據(jù)分支機構(gòu)構(gòu)辦公用的訪問的目的地地址或者應(yīng)用，智能的的選擇鏈路，實現(xiàn)兩條條鏈路的冗余余備份和透明容容錯，保證了分支機構(gòu)訪問問中央機構(gòu)關(guān)鍵鍵應(yīng)用的100的高高可用性。Radwaree安全解決方案部分簡介我們建議的安全全解決方案部分，包包括2款產(chǎn)品，DefeensePrro(DP)，SecurreFloww(SF)，每每臺設(shè)備簡要要功能描述

40、如如下：DefenseePro實現(xiàn)現(xiàn)實時的攻擊防御如上圖所示，我我們建議在網(wǎng)絡(luò)接入處，部部署DefeensePrro，可以識別并實時抵御1600多種蠕蟲蟲、病毒、DDOS攻擊和異常的流流量模式，保保護(hù)內(nèi)部用戶和服務(wù)器的安全。同時，通過把端端口兩兩靜態(tài)態(tài)綁定，虛擬成多臺邏輯設(shè)設(shè)備，分別部署在核心心交換機和企業(yè)廣域網(wǎng)之間保護(hù)入侵和攻擊不致互相擴散。使用一臺邏輯設(shè)設(shè)備部署在核核心交換機和AppDDirecttor之間，保護(hù)服務(wù)器群免受內(nèi)部辦公用戶的非法攻擊。使用多臺邏輯設(shè)設(shè)備部署在內(nèi)部辦公用戶的不同網(wǎng)段段（或者樓層層）之間，保證非法入侵和和攻擊不致擴散到其它辦公網(wǎng)段段或者樓層。SecureFFlow

41、(SSF)實現(xiàn)各安全網(wǎng)網(wǎng)關(guān)的負(fù)載均均衡如上圖所示，我我們建議在多臺防火火墻和核心交換機之間，部署SecuureFloow，實現(xiàn)多臺防火火墻（最多1000臺）的負(fù)載均衡，防防火墻可以是不同同廠家，不同同型號，不同性能能，大大提供供防火墻的擴擴展性和可用用性。通過旁路部署各各安全網(wǎng)關(guān)設(shè)設(shè)備，SeccureFllow可以實現(xiàn)多臺IDS（最多多100臺）、cachee服務(wù)器、防病毒毒網(wǎng)關(guān)，URL過濾濾網(wǎng)關(guān)的負(fù)載均衡，這些安安全網(wǎng)關(guān)設(shè)備備可以是不同同廠家，不同同型號，不同性能能，大大提供供安全網(wǎng)關(guān)的擴擴展性和可用用性。Radwaree應(yīng)用解決方案部分簡介我們建議的應(yīng)用用解決方案部分，包包括2款產(chǎn)品，Ap

42、pDDirecttor，AppXccel,每臺設(shè)備簡要要功能描述如如下：AppDireector實實現(xiàn)服務(wù)器的負(fù)載均衡AppDireector位位于核心交換換機和各種IPP應(yīng)用服務(wù)器之間，主要實現(xiàn)所有基于于IP協(xié)議的各各種服務(wù)器的負(fù)載均衡功能能，通過部署AppDDirecttor,可以實現(xiàn)服務(wù)器業(yè)務(wù)的7*24不間斷的運行和保證業(yè)務(wù)務(wù)的最佳服務(wù)器質(zhì)量，從而實現(xiàn)了服務(wù)器所承載的業(yè)務(wù)的100的高高可用性和高高性能。AppXcell實現(xiàn)SSLL加速和HTTTP（HTTPSS）頁面的加加速SSL加速功能能：AppXcell與AppDiirectoor配合，為為用戶提供SSSL加密加加速服務(wù)。利利用App

43、DDirecttor的負(fù)載載均衡可以使使Web服務(wù)器器擺脫密集型型處理的SSSL密鑰交換換和加密/解密功能。為應(yīng)用處理理釋放了服務(wù)務(wù)器資源，并并且使服務(wù)器器的投資發(fā)揮揮最大效益。HTTP（HTTTPS）頁頁面的加速AppXcell通過WEB壓縮和和HTTP連接接復(fù)用技術(shù)，大大大提升innterneet用戶對服服務(wù)器的訪問問速度。較大大地節(jié)省了iinternnet的接入入帶寬，大大大地降低了WWEB服務(wù)器器的處理資源源消耗。Radwaree技術(shù)介紹DefenseePro 實現(xiàn)入侵和和DOS攻擊的的實時防范DefenseePro 采采用了多層安安全架構(gòu)，分分別檢測和抵抵抗不同類型型的攻擊，確確保只

44、有“清潔”流量進(jìn)入收收保護(hù)的區(qū)域域。Dosshieeld實現(xiàn)已已知攻擊工具具防范DefenseePro的DoSShiield模塊塊借助高級的的取樣機制和和基準(zhǔn)流量行行為監(jiān)測來識識別異常流量量，提供了實實時的、數(shù)千千兆位速度的的DoS防范。該機制會對照DDefenssePro 攻擊數(shù)據(jù)庫庫中的DoSS攻擊特征列列表（潛在攻攻擊）來比較較流量樣本。一旦達(dá)到了了某個潛在攻攻擊的激活閾閾值，該潛在在攻擊的狀態(tài)態(tài)就會變?yōu)镃Currenntly AActivee （當(dāng)前活活動），這樣樣就會使用該該潛在攻擊的的特征文件來來比較各個數(shù)數(shù)據(jù)包。如果果發(fā)現(xiàn)匹配的的特征，相應(yīng)應(yīng)的數(shù)據(jù)包就就會被丟棄。如果沒有匹匹配的

45、特征，則則會將數(shù)據(jù)包包轉(zhuǎn)發(fā)給網(wǎng)絡(luò)絡(luò)。借助高級的取樣樣機制檢測DDoS 攻擊擊，DoSShiield只在在出現(xiàn)了嚴(yán)重重帶寬濫用的的情況下，才才會判斷攻擊擊的存在，它它會外科手術(shù)般地采用逐包過過濾除去攻擊擊流量。而當(dāng)當(dāng)攻擊不再活活躍時，DoS Shhield也也能檢測到相相應(yīng)狀態(tài)并停停止逐包過濾濾的操。這樣樣不僅可實現(xiàn)現(xiàn)完全的DooS和DDos防范能力，而而且還保持了了大型網(wǎng)絡(luò)的的高吞吐量。Dosshieeld的主要要優(yōu)勢：監(jiān)聽和采樣機制制，只有在出出現(xiàn)嚴(yán)重攻擊擊時才采取防防范措施，保保證了大型網(wǎng)網(wǎng)絡(luò)的高性能能和高吞吐量量；基于特征碼的防防范策略，對對正常應(yīng)用無無影響，保持持了極低的誤誤判率。Do

46、S Shiield作為為第一道防范范體系，負(fù)責(zé)責(zé)在抵御已知知Floodd攻擊的同時時傳輸其他流流量，而這些些其他流量中中還可能包含含未知的新型型攻擊，它們們將由第二道道防范體系Behavviorall DoS 模塊來實現(xiàn)現(xiàn)防護(hù)。Behaviooral DDoS基于網(wǎng)網(wǎng)絡(luò)行為模式式實現(xiàn)自動攻攻擊防范借助于先進(jìn)的統(tǒng)統(tǒng)計分析、模模糊邏輯和新新穎的閉環(huán)反反饋過濾技術(shù)術(shù)，Radwware BB-DoS 防范模塊能能夠自動和提提前防范網(wǎng)絡(luò)絡(luò)Floodd攻擊和高速速自我繁殖的的病毒，避免免危害的發(fā)生生。Radwarees 自適適應(yīng)Behaavioraal DoSS防范模塊自自動學(xué)習(xí)網(wǎng)絡(luò)絡(luò)上的行為模模式，建立

47、正正?；鶞?zhǔn)，并并通過先進(jìn)的的模糊關(guān)系邏邏輯運算判斷斷背離正常行行為的異常流流量。通過概概率分析，該該模塊使用一一系列提取自自數(shù)據(jù)包包頭頭和負(fù)荷的參參數(shù)，例如IID (paacket identtificaation numbeer), TTTL (TTime tto Livve), PPackett sizee, DNSS 查詢, Paacket Checkksum值等等共17 個參數(shù)數(shù)，來實時定定義即時異常常流量的特點點。為了避免免誤判而阻止止合法用戶的的正常流量，該該模塊還會采采用“與”“或”邏輯運算來來盡量精確攻攻擊的防范策策略。所有上述流程都都由DefeensePrro自動完成成，無需

48、人為為干預(yù)，能夠夠在數(shù)千兆位位的網(wǎng)絡(luò)環(huán)境境中精確防范范已知攻擊、Zero-day DDos/DDDos攻擊和和自我繁殖網(wǎng)網(wǎng)絡(luò)蠕蟲。Behaviooral DDoS 防護(hù)護(hù)模塊的攻擊擊檢索機制即即不使用特征征碼，也不依依賴于用戶定定義的行為策策略和閥值。它還可以自自動適應(yīng)網(wǎng)絡(luò)絡(luò)中的正常流流量變化，因因此它不會影影響網(wǎng)絡(luò)中的的正常應(yīng)用行行為。B-DoS 能能夠非常有效效的抑制以下下已知和未知知的攻擊：SYN FlooodTCP Flooods (Ack, Psh+AAck, FFin+Acck, Rsst flooods) UDP FlooodsDNS flooods (基于UDPP 53端口)U

49、DP Floood 和 ICMPP反向散射(uunreacchablee 信息) ICMP FlloodsIGMP Flloods Zero-Daay 高速自自我繁殖蠕蟲蟲(SQL Slammmer, BBlasteer, Weelchiaa, 等) Behaviooral DDoS的主要要優(yōu)勢：Zero-daay Doss/DDoss的未知攻擊擊防范，無需需認(rèn)為手工干干涉；對DoS攻擊的的完全防范，較較低的CPUU資源消耗；自適應(yīng)的行為判判別模式，將將誤判率降至至最低；完全自適應(yīng)功能能，無需策略略配置，無需需維護(hù)成本。入侵防范防范各各類應(yīng)用攻擊擊為了確保DoSSShielld和Behavvi

50、orall DoS模模塊不會遺漏漏任何攻擊并并危害運用戶戶網(wǎng)絡(luò)應(yīng)用的的關(guān)鍵應(yīng)用系系統(tǒng)，Raddware還還提供另一道道防護(hù)屏障入侵防范。通過對比入侵侵特征庫，DDefenssePro阻阻止攻擊數(shù)據(jù)據(jù)包來建立最最后一道屏障障。入侵特征庫羅列列一系列會對對網(wǎng)絡(luò)造成嚴(yán)嚴(yán)重破壞的應(yīng)應(yīng)用層攻擊，通通常包括在IInternnet上近期期出現(xiàn)和爆發(fā)發(fā)的濫用帶寬寬資源的攻擊擊，NetSSky,、Baglee、Mytobb、Blackkmal、Soberr等蠕蟲以及及它們的變種種都在其中。DefennseProo會對數(shù)據(jù)包包進(jìn)行逐一檢檢查，并根據(jù)據(jù)惡意攻擊模模式執(zhí)行特征征比較。它可可以識別Raadwaree安全

51、數(shù)據(jù)庫庫中的1600多種攻擊擊特征。為了了防范新的攻攻擊形式，數(shù)數(shù)據(jù)庫會不斷斷被更新。對對于未知形式式的攻擊，可可以使用協(xié)議議異常檢查功功能來檢測。通過檢查協(xié)協(xié)議的異常性性，可以檢測測異常的數(shù)據(jù)據(jù)包碎片，而而這大多數(shù)情情況下標(biāo)識了了惡意活動?？焖俚墓籼卣髡鞅容^為了支持?jǐn)?shù)千兆兆位的特征掃掃描速度，DefennseProo專門采用了了基于ASIIC的強大加加速器 StrinngMatcch EnggineTMM。StrinngMatcch Enggine支持持并行的特征征搜索操作，可對照特征征數(shù)據(jù)庫進(jìn)行行高速的檢測測和數(shù)據(jù)包比比較。同使用用Intell Penttium 44 CPU進(jìn)進(jìn)行串行特

52、征征搜索相比，其字符串搜搜索速度提高高了300倍。實時抑制攻擊當(dāng)檢測到惡意活活動時，DefennseProo可能以任何何組合形式立立即執(zhí)行以下下的這些操作作：丟棄數(shù)據(jù)包包、重置連接接以及向管理理位置發(fā)送報報告。這樣就就為該設(shè)備之之后的應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和和其它網(wǎng)絡(luò)資資源提供了全全面保護(hù)，以以免它們遭到到蠕蟲、病毒毒和其它形式式的攻擊。入侵防范的主要要優(yōu)勢：基于特征的入侵侵識別，能夠夠準(zhǔn)確地識別別和抑制攻擊擊；專用的硬件加速速器，確保了了告訴的檢測測和防范以及及網(wǎng)絡(luò)吞吐量量。帶寬管理在提供強大的安安全功能同時時，DefeensePrro 的帶寬寬管理功能。DefennseProo能夠根據(jù)網(wǎng)

53、網(wǎng)絡(luò)數(shù)據(jù)包的的源/目的地址、應(yīng)用端口和和內(nèi)容（IPP headder或IPP Dataa）區(qū)分流量量，還可以限限制相同用戶戶的并發(fā)會話話和每個會話話的帶寬，從從而阻止和控控制各種流量量的帶寬應(yīng)用用。其它安全相關(guān)功功能除了上述四個功功能模塊外，DDefenssePro還還提供以下功功能：黑白名單（Bllack aand Whhite LList）訪問控制列列表Syn Floood防范為了提供全全面的SynnFloodd攻擊防范能能力，除了Dossshieldd和Behavviorall Dos之之外，DeffensePPro采用SSynCoookie技術(shù)術(shù)基于源地址址監(jiān)視來發(fā)現(xiàn)現(xiàn)惡意攻擊源源，并

54、提供多多重級別的防防范措施。異常流量（Annomaliies）防范范為了逃避安安全設(shè)備的檢檢查，黑客通通常會采用拆拆包并將攻擊擊分成多個數(shù)數(shù)據(jù)包碎片傳傳輸。此類攻攻擊被稱作AAnomallies。針對此類攻擊，DDefenssePro提提供了也體動動相應(yīng)的防范范能力：異常協(xié)議類；Buffer Overfflow類；HTTP碎片類類狀態(tài)檢測（Sttatefuul insspectiion）DDefenssePro提提供針對協(xié)議議濫用等攻擊擊，提供狀態(tài)態(tài)檢測攻擊防防范能力，可可以防范的攻攻擊例如：TCP Flooodingg：SYN-AACK (反反射攻擊), TCP數(shù)數(shù)據(jù)包風(fēng)暴；Stealthh

55、 掃描：通通過發(fā)送TCCP finn / rsst /acck / ssyn-fiin數(shù)據(jù)包，以以圖發(fā)現(xiàn)開放放的端口；DNS repply flloodinng：使用大量的的DNS響應(yīng)應(yīng)數(shù)據(jù)包攻擊擊服務(wù)器；ICMP Eccho reeply ffloodiing：使用大量的的echo replyy數(shù)據(jù)包攻擊擊服務(wù)器（SSmurf）；防掃描（AnttiScaanningg）黑客在發(fā)發(fā)起攻擊之前前，通常會試試圖確定目標(biāo)標(biāo)上開放的TTCP/UDDP端口，而而一個開放的的端口通常意意味著某種應(yīng)應(yīng)用，操作系系統(tǒng)或者后門門。DefeensePrro提供此類類探測的防范范能力。DefenseePro的安安全

56、報告當(dāng)DefenssePro檢檢測到攻擊時時，它會將該該安全事件報報告。在報告告中包含有全全面的流量信信息，比如源源IP地址和目目標(biāo)IP地址、TCPP/UDP 端口號、物物理接口以及及攻擊的日期期和時間。可可以使用設(shè)備備日志文件和和報警表格在在內(nèi)部記錄安安全事件信息息，或者通過過系統(tǒng)日志渠渠道、SNMMP 陷阱或或電子郵件將將安全事件信信息發(fā)送到外外部。還可以根據(jù)網(wǎng)絡(luò)絡(luò)中的實時安安全狀況，以以雷達(dá)圖的方方式提供當(dāng)前前的攻擊嚴(yán)重重程度以及數(shù)數(shù)量等信息。LinkProoof 鏈路路優(yōu)選方案LinkProoof能夠同同時實現(xiàn)雙向向（Inboound和OOutbouund）流量量在多條鏈路路上的負(fù)載均

57、均衡的。鏈路健康狀況檢檢查：LP可可以采用多種種方式判斷鏈鏈路的健康狀狀況，例如PPing（全全鏈路健康檢檢查），以及及通過檢查多多個Inteernet目目標(biāo)來共同判判斷鏈路狀況況。Inboundd流量處理方方面主要利用用了DNS和和SmarttNAT技術(shù)術(shù)；Outbounnd流量處理理主要利用了了SmarttNAT技術(shù)術(shù)。鏈路健康檢測LinkProoof會通過過多種方式檢檢測兩條鏈路路的健康狀況況，一旦發(fā)現(xiàn)現(xiàn)其中一條鏈鏈路故障，會會立即將所有有用戶流量定定向至其它可可用鏈路，從從而實現(xiàn)Innterneet連接的高高可用性。主主要的方法有有：全路徑健康檢查查為了確保ISPP鏈路的暢通通，Lin

58、kkProoff將采用Piing的方法法，不僅僅檢檢查和其相連連的路由器的的端口是否可可達(dá)，還可以以檢查該鏈路路后續(xù)路由節(jié)節(jié)點的連通性性（10跳），已已確保整個路路徑的暢通。注：該方法要求求ISP的鏈鏈路對ICMMP開放。高級健康檢查針對所有的網(wǎng)絡(luò)絡(luò)環(huán)境（包括括禁止ICMMP的ISPP），LinnkProoof提供了豐豐富的477層檢查方式式，并可以通通過多種檢查查結(jié)果的“與”和“或”運算結(jié)果，最最終準(zhǔn)確判斷斷鏈路的健康康狀況。例如如：通過CNNC的路徑，同同時檢查 HYPERLINK m 和 HYPERLINK http:/www.ssina.ccom 的880端口，并并將檢查結(jié)果果做“或”

59、運算，只要要一個檢查通通過即可判斷斷CNC鏈路路正常。避免免了某網(wǎng)站故故障導(dǎo)致鏈路路狀態(tài)誤判的的可能性。流入（Inboound）流流量處理LinkProoof需要客客戶配合將域域名的解析功功能導(dǎo)向到LLinkPrroof，由由LinkPProof來來進(jìn)行域名的的解析。這樣樣當(dāng)遠(yuǎn)程通過過域名訪問企企業(yè)網(wǎng)時，逐逐步通過遠(yuǎn)程程用戶的本地地DNS服務(wù)務(wù)器、根DNNS服務(wù)器，最最終由LinnkProoof來進(jìn)行域域名的解析。此時LinnkProoof就會通過過靜態(tài)列表或或者動態(tài)判斷斷算法，選擇擇最優(yōu)的線路路，然后將域域名解析成相相應(yīng)線路的IIP地址。例如：當(dāng)某個網(wǎng)網(wǎng)通的遠(yuǎn)程用用戶訪問企業(yè)業(yè)網(wǎng)時，首先先向

60、他當(dāng)?shù)氐牡腄NS服務(wù)務(wù)器發(fā)起域名名解析的請求求，再通過他他接入運營商商的根DNSS服務(wù)器，最最終總歸會向向LinkPProof請請求DNS解解析，此時LLinkPrroof就會會通過靜態(tài)列列表或者動態(tài)態(tài)判斷算法，選選擇最優(yōu)的線線路（網(wǎng)通），然然后將域名解解析成網(wǎng)通線線路的IP地地址（2188.x.x.1）。這樣樣遠(yuǎn)程的網(wǎng)通通用戶就會使使用網(wǎng)通的目目標(biāo)IP地址址，通過網(wǎng)通通的線路進(jìn)行行訪問，實現(xiàn)現(xiàn)了訪問時鏈鏈路方面的負(fù)負(fù)載均衡優(yōu)化化。下面以 HYPERLINK http:/www.radwaare.coom www.radwaare.coom為例，描描述Inboound流量量處理的過程程。假設(shè)圖