Radware數(shù)據(jù)中心戰(zhàn)略

Radware 數(shù)據(jù)中心 戰(zhàn) 略 November, 2010 Agenda Slide 2 Radware能 為 用 戶帶 來什么？ Radware數(shù)據(jù)中心 戰(zhàn) 略之 應 用交付 Radware 數(shù)據(jù)中心 戰(zhàn) 略之安全防 護 Radware數(shù)據(jù)中心 戰(zhàn) 略之高效管理 總結 Radware 能 為 用 戶帶 來什么？ Slide 3 Radware - 優(yōu)化用戶數(shù)據(jù)中心 Radware 能 為 用 戶帶 來什么？ Slide 4 快速應用交付 全面安全防護 Radware數(shù)據(jù)中心 戰(zhàn) 略之 應 用交付 數(shù)據(jù)中心面臨的應用交付挑戰(zhàn) 快速 如何消除應用層和網(wǎng)絡層之間的瓶頸，是核心業(yè)務能快速交付到客戶手中 ? 效能 您如何保證核心業(yè)務應用的高效運行 ? 穩(wěn)定 如何保持 Internet出口和核心業(yè)務運行的穩(wěn)定 ? 可擴充性 您如何確保在可預期的未來 ,數(shù)據(jù)中心的擴充能夠花費最小的投資已達到最大的效益 ? 降低成本 如何能夠解決上述問題而且又能夠降低成本 ? Slide6 我們保障數(shù)據(jù)中心核心業(yè)務的快速應用交付 Radware 應 用交付 產(chǎn) 品 Slide 7 LinkProof AppDirector / Alteon Radware 應 用前端解決方案 AppDirector/Alteon & Users Employees Customers Partners Data Center Application Servers Web & Portal Servers Database servers Application Security & QoS B/DoS Protection Syn Protection QoS Capabilities Compliance & Reporting Max Throughput 20Gbps AppDirector/Alteon Application Availability Layer 4-7 Load balance Health monitoring Local traffic redirection Global traffic redirection Persistency Redundancy Application Acceleration SSL acceleration Compression Caching TCP multiplexing TCP optimization IPv4 / IPv6 Slide 8 Radware全局 負載 均衡 實現(xiàn) 多數(shù)據(jù)中心 訪問 容災 Database Servers Firewall Data Center 2 Front Tier Middle Tier Database Servers Firewall Data Center 1 Front Tier Middle Tier AppDirector Local / Global TR AppDirector Local / Global TR Internet Slide 9 User accesses data center Resource 100 150 Data Center HIS Servers Web & Portal Servers Database servers & Users Employees AppDirector Employees 北京地 壇 醫(yī)院 HIS/PACS系 統(tǒng) 拓撲 Slide 10 方案特點： 一、實現(xiàn)醫(yī)院 HIS/PACS系統(tǒng)負載均衡，提高醫(yī)院運行效率； 二、實時監(jiān)控 HIS/PACS服務器運行狀況，保證用戶最優(yōu)訪問； 濰 柴 動 力 GSLB系 統(tǒng) 拓撲 Data Center Application Servers Web & Portal Servers Database servers Users AppDirector Users 電 信 網(wǎng)通 山 東濰 坊 Application Servers Web & Portal Servers Database servers AppDirector 新加坡 辦 事 處 Data Center Internet Slide 11 方案特點： 一、通過 GSLB實現(xiàn)全球用戶對核心應用的最快訪問； 二、實現(xiàn)了異地多數(shù)據(jù)中心的互為災備； 三、通過 AD實現(xiàn)了本地多鏈路的入向負載均衡； Router Router Switch Firewall Application Servers Web & Portal Servers Internet LinkProof Switch Students Teachers LinkProof Link Load balance (Proximity) Link Health monitoring Smart NAT-Traffic redirection Client Table Log Flow Control Redundancy Radware 應 用 訪問 解決方案 - LinkProof Slide 12 ISP1 ISP2 Throughput (bps) 4G 16G 8G LinkProof 按需 擴 展硬件平臺 100M Slide 13 Throughput licenses: LP 108 up to 100Mbps LP 208 up to 200Mbps LP 1008 up to 1Gbps LP 2008 up to 2Gbps LP 4008 up to 4Gbps Throughput licenses: LP 8016 up to 8Gbps LP 12016 up to 12Gbps LP 16016 up to 16Gbps Slide 14 Database Servers Application Servers Web Servers Firewall 2 x LinkProof Slide 14 電 信 聯(lián) 通 Internet 電 信通 首都機 場 網(wǎng) 絡 出口拓撲 2 x Bluecoat Local Users HTTP Traffic Non HTTP Traffic 方案特點： 一、 Flow控制技術實現(xiàn)網(wǎng)絡出口安全及優(yōu)化； 二、實現(xiàn) Bluecoat的負載均衡及冗余切換； 三、通過 L4-L7信息識別流量類型，智能轉發(fā)流量； Slide 15 復旦大學網(wǎng) 絡 出口拓撲 Slide 15 校園網(wǎng) 東 區(qū)用 戶 郵電 Firewall 特殊用 戶 電 信 2* LinkProof 4016 Cernet 聯(lián) 通 Internet 方案特點： 一、高性能的 ODS設備承載網(wǎng)絡出口小包大流量； 二、 Proximity實現(xiàn)用戶到達 Internet的最快訪問； 三、獨有的內(nèi)部 DNS解決方案實現(xiàn)入向負載均衡； Slide 16 Database Servers AIP Web Servers Firewall Slide 16 電 信 網(wǎng)通 Internet Radware數(shù)據(jù)中心 戰(zhàn) 略之 應 用交付 CPP 最快響應 LinkProof AppDirector 高效穩(wěn)定 實時可用 快速應用交付 實現(xiàn) 從服 務 器端到客 戶 端的快速 應 用交付 Radware數(shù)據(jù)中心 戰(zhàn) 略之安全防 護 數(shù)據(jù)中心面臨的安全風險與挑戰(zhàn) 可靠度 您如何確保企業(yè)應用程序能在網(wǎng)絡攻擊下正常運行 ? 效能 您如何保證您的用戶在網(wǎng)絡攻擊下能夠保持相當程度的聯(lián)機質(zhì)量 ? 安全性 如何考慮資源的濫用與數(shù)據(jù)的流失造成巨大的成本支出 ? 可擴充性 您如何確保在可預期的未來 ,數(shù)據(jù)中心的擴充能夠花費最小的投資已達到最大的效益 ? 降低成本 如何能夠解決上述問題而且又能夠降低成本 ? Slide18 我們給予數(shù)據(jù)中心全面的安全防護 Radware 安全 產(chǎn) 品 Slide 19 AppWall Web 應 用防火 墻 (WAF) DefensePro 網(wǎng) 絡 安全方案 基于特征防護的 IPS 漏洞研究中心 周期性特征升級 特征保護 已知漏洞攻擊防范 : 蠕蟲 , 木馬 , 客戶端漏洞 間諜軟件 , 郵件和 web漏洞 , VoIP 漏洞 異常探測 協(xié)議 (狀態(tài)監(jiān)測 , RFC 標準 ) 流量 (基于流量 , 流量限制 ) 斷電 保護 Fail-Open 串聯(lián)接入 集中式配置、管理和報告 傳統(tǒng) IPS特性 Slide 20 July 2009 Cyber Attacks From The News Slide 21 Slide22 傳統(tǒng) IPS面對新型攻擊時的局限性 Internet Public Web Servers Bot (Infected host) Bot (Infected host) Attacker BOT Command C&C Server Bot (Infected host) Bot (Infected host) Legitimate User Mydoom.EA Botnet特性 50,000 僵尸計算機 多樣化的攻擊手法 : HTTP page flood SYN flood with packet anomalies UDP flood ICMP flood 目的為美國與南韓 6-7 Gbps inbound traffic(2 Million PPS) Radware網(wǎng)絡安全防護 - DefensePro Slide23 Internet Access Router Web Servers Application Servers Firewall DoS Protection IPS NBA Anti Trojan / phishing IPS DoS Protection NBA DefensePro IPS DoS Protection NBA Radware DefensePro 提供 All-in-One的解決方案 一款合眾多功能于一身的新型 IPS DefensePro IPS DoS Protection NBA 采用 DefensePro一次搞定 ! Slide24 IPS DoS Protection NBA 特征碼 偵測 Rate-based Rate-based 行為化 分析 特征碼 分析 行為化 分析 狀態(tài)異常 分析 SYN Cookies IPS:靜態(tài)特征碼防御 特征碼防御 頂尖資安事件搜尋團隊 防御已知的應用程序弱點 周期性與緊急性的特征碼更新 可立即啟用防御 Worms, Bots, Trojans, Phishing, Spyware Web, Mail, SQL, VoIP (SIP), DNS vulnerabilities Anonymizers, IPv6 attacks Microsoft vulnerabilities Protocol anomalies Slide 25 DoS Protection:實時特征防御 自動實時產(chǎn)生特征碼防御網(wǎng)絡 DDoS攻擊行為 : SYN floods TCP floods UDP/ICMP floods 效益預期 維護重要應用資產(chǎn)能在攻擊時可有效提供服務 有效阻隔攻擊而不會造成正常聯(lián)機中斷 純自動 ,實時性的防御網(wǎng)絡 Flood攻擊行為 ,無須人為干預 Slide 26 Network BehavioralAnalysis:實時特征學習防御 NBA (Network behavioral analysis)可偵測異常的用戶與應用程序狀態(tài) 自動實時產(chǎn)生特征碼可有效防御 : 惡意軟件的擴散 應用程序資源誤用 : Brute force attacks Web application scanning HTTP page floods SIP Scans SIP Floods 效益預期 維護重要應用資產(chǎn)能在攻擊時可有效提供服務 有效阻隔攻擊而不會造成正常聯(lián)機中斷 純自動 ,實時性的防御網(wǎng)絡 Flood攻擊行為 ,無須人為干預 Slide 27 版本 5.10 信譽引擎 Slide 28 Reputation 信譽引擎 : 實時 反 饋 保 護 網(wǎng) 絡 用 戶 免于下列威 脅 金融欺 騙 信息盜取 已知與未知 惡 意 軟 件 擴 散 RSA Anti Fraud Command Center (AFCC)實時 反 饋 市面上最大最具 經(jīng)驗 的反欺 詐團隊 預 防 木 馬 安裝及 遠 程控制 用 戶 信息披露 網(wǎng) 絡釣魚 企 圖 Slide 29 ERT 緊 急響 應 小 組 Slide 30 ERT 緊 急響 應 小 組 背景 : July 2009 大量 DDoS 事件在 USA 與 Korea 攻 擊 新 趨勢 往量與 質(zhì)發(fā) 展 Radware決定 針對 此 類 攻 擊 提供立即響 應 幫助用 戶 解決 問題 ERT目 標 To provide swift and professional response that allowed customers to neutralize attacks and restore network and service operational status 特性 24x7 服 務 立即響 應 打 擊 DoS/DDoS 攻 擊 與 惡 意 軟 件 擴 散 Slide 31 多任務分類各司其職 Slide32 OnDemand Switch 平臺效能可透過軟件升級方式至 12Gbps DoS Mitigation Engine ASIC 高效能芯片組防御 防御巨量攻擊 可防御 高達 10 Million PPS攻擊事件封包 NBA Protections 防御應用資源濫用 防御惡意軟件與蠕蟲擴散 IPS 硬件芯片進行特征碼比對分析 防御已知的應用程序風險與漏洞 Reputation Engine 對抗木馬與釣魚威脅 Slide 33 相對的優(yōu)勢 Multi-Gbps Capacity Legitimate Traffic 10 Million PPS Attack Traffic Other Network Security Solutions Multi-Gbps Capacity Legitimate Traffic + Attack Attack Attack Attack Traffic DefensePro 攻擊事件流量 , 需要耗損 IPS資源進行防御 ,造成影響正常流量行為 攻擊事件流量不會影響正常流量行為 DefensePro 特點 單 機提供網(wǎng) 絡 與數(shù)據(jù)中心最佳安全方案 : 入侵防御 (IPS) DoS 攻 擊 防 護 網(wǎng) 絡 行 為 分析 (NBA) 信譽引擎服 務 多重安全科技 專 利 最佳防御性能方案 DME DoS 防御引擎 在攻 擊 狀況下依然 維 持正常 處 理量 最佳 CAPEX 單 機提供多重安全工具 按需升 級 許 可 證 平滑升 級 最低 OPEX 自 動實時 防 護 無需人工介入 Slide 34 “Radware offers low product and maintenance cost, as compared with most competitors.” Greg Young & John Pescatore, Gartner, April 2009 陜 西 電 信 DNS安全防 護項 目 Customers Data Center DNS Servers AppDirector Firewall DefensePro Slide 35 Customers Customers DNS Servers Internet 方案特點： DefensePro基于行為的安全防護有效防范對于 DNS Server的安全威脅 關于 Web應 用安全的 統(tǒng)計 進 來研究 顯 示 75% 的攻 擊 在 Web應 用 層執(zhí) 行 2005年 2月以來，大 約 8,000萬條 記錄 因 為 黑客攻 擊 有被盜取的威 脅 目前網(wǎng) 絡 上的 Web站點存在著有超 過 8,000 個漏洞 70% 的 Web站點有隨 時 被黑客攻 擊 的危 險 關于 Web站點漏洞的 統(tǒng)計 客戶信任度喪失 網(wǎng)站可信性受到損害 收入減少 站點宕機時間增加 恢復和維修的話費 法律責任 No one in the Internet is immune from security threats! 網(wǎng)站被黑客攻 擊 后的 損 失 Network Access (OSI Layer 1 3) Protocols (OSI Layer 4 7) Application (New Layer 8+) Network Layer Application Layer Data Layer 傳統(tǒng)防火墻只偵測網(wǎng)絡層的攻擊 只檢查 IP位置，網(wǎng)絡服務端口號 (TCP/UDP service port) IPS 設備只檢查已知的攻擊特征 無法解讀應用程序內(nèi)容；造成高度的誤判及漏判 無法追蹤使用者及聯(lián)機信息 ； 無法保護 SSL流量 只有 Web Application Firewall 能阻止應用層的攻擊 ! Perimeter Firewall Network Firewall Data Center Firewall Radware AppWall Web Application Firewall Departmental Firewall Intrusion Prevention System (IPS) & Deep Inspection Firewall WAF的必要性 Introducing AppWall Radwares AppWallTM 是用于保障 Web應 用安全與符合 PCI安全 規(guī) 范的Web 應 用安全防火 墻 (WAF) 系 統(tǒng) 防 護 Web 應 用安全威 脅 與弱點保 護 避免公司與個人敏感數(shù)據(jù)遭竊取與修改 Slide 40 Technology owned by Radware AppWall 簡 介 Slide 41 Internet Access Router Web Servers Firewall DefensePro ADC 完整 web應 用保 護 - OWASP Top-10 威 脅 完整涵蓋防 護 - 正向與 負 向行 為 分析提供 16層偵測安全防 護 AppWall 威 脅 管理 提供 詳 盡的安全 報 告 符合 PCI 安全 規(guī) 范 - 高 級 安全 報 告與合 規(guī) 化 報 告 - 同 時 提供 WAF + IPS (PCI 6.6 & 11.4) 安裝迅速 同 類 最佳自 動 策略生成機制 Tunnel-IP (untrusted zone) Interface-IP (trusted zone) Server-IP (Protected Web Server) Client-IP Security Filter Security Policy AppWall 是如何做到的 Slide 42 攻 擊報 告 安全 監(jiān) 控 合 規(guī)報 告 安全與合 規(guī)報 告 Slide 43 最高 級 與 詳細報 告 PCI compliance reports Security reports, learning reports, audit reports Web & Portal Servers Database servers Users AppDirector Users 北 侖 區(qū)政府 應 用安全拓撲 AppWall Internet DefensePro Slide 44 方案特點： 一、 DefensePro基于行為的安全防護有效防范各種安全威脅 二、 AppWall實現(xiàn)門戶網(wǎng)站的基于 Web應用的安全防護 三、 AppDirector實現(xiàn)門戶網(wǎng)站的最快交付 Radware數(shù)據(jù)中心 戰(zhàn) 略之安全防 護 Slide 45 Internet Access Router Web Servers Firewall DefensePro ADC AppWall AppWall 提供 Web 應 用威 脅 完全防 護 PCI 合 規(guī) 化 DefensePro 在網(wǎng) 絡層 提供攻 擊 防御 提供網(wǎng) 絡 架構與 應 用保 護 實現(xiàn) 從網(wǎng) 絡層 到 應 用 層 的全面安全防 護 Radware數(shù)據(jù)中心 戰(zhàn) 略之高效管理 Radware 數(shù)據(jù)中心 戰(zhàn) 略之高效管理 Slide 47 APSolute Vision 管理與安全日志系 統(tǒng) Easy access for all device configuration topics Hierarchical logical element grouping Cross-referenced data entry Graphical change notation Drill-down configuration topics Inline filtering Page 48 APSolute Vision:配置 Easy access to monitoring topic