RADWARE針對(duì)企業(yè)用戶的

1、RADWAREE針對(duì)企業(yè)用戶的整體解決方案以色列Radwware有限限公司北京代代表處2007年1月月目錄TOC o 1-3 h z u HYPERLINK l _Toc 一、行業(yè)背景 PAGEREF _Toc h 44 HYPERLINK l _Toc 二、企業(yè)用戶網(wǎng)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀狀 PAGEREF _Toc h 5 HYPERLINK l _Toc 2企業(yè)網(wǎng)絡(luò)應(yīng)用用現(xiàn)狀簡(jiǎn)述 PAGEREF _Toc h 55 HYPERLINK l _Toc 2.1廣域網(wǎng)鏈鏈路現(xiàn)狀 PAGEREF _Toc h 6 HYPERLINK l _Toc 2.2網(wǎng)絡(luò)安全全防護(hù)現(xiàn)狀 PAGEREF _Toc h 7

2、7 HYPERLINK l _Toc 2.3網(wǎng)絡(luò)應(yīng)用用現(xiàn)狀 PAGEREF _Toc h 8 HYPERLINK l _Toc 3企業(yè)網(wǎng)絡(luò)中存存在的缺陷 PAGEREF _Toc h 88 HYPERLINK l _Toc 3.1廣域網(wǎng)鏈鏈路存在的缺缺陷 PAGEREF _Toc h 9 HYPERLINK l _Toc 3.2網(wǎng)絡(luò)安全全防護(hù)存在的的缺陷 PAGEREF _Toc h 10 HYPERLINK l _Toc 3.3網(wǎng)絡(luò)應(yīng)用用存在的缺陷陷 PAGEREF _Toc h 11 HYPERLINK l _Toc 三、企業(yè)網(wǎng)絡(luò)應(yīng)應(yīng)用需求分析析 PAGEREF _Toc h 12 HYP

3、ERLINK l _Toc 1廣域網(wǎng)鏈路需需求分析 PAGEREF _Toc h 122 HYPERLINK l _Toc 2網(wǎng)絡(luò)安全防護(hù)護(hù)需求分析 PAGEREF _Toc h 113 HYPERLINK l _Toc 3網(wǎng)絡(luò)應(yīng)用需求求分析 PAGEREF _Toc h 14 HYPERLINK l _Toc 四、Radwaare解決方方案 PAGEREF _Toc h 16 HYPERLINK l _Toc 1.Radwaare公司簡(jiǎn)簡(jiǎn)介 PAGEREF _Toc h 16 HYPERLINK l _Toc 2Radwarre解決方案案介紹 PAGEREF _Toc h 18 HYPERL

4、INK l _Toc 2.1Radwware解決決方案拓?fù)鋱D圖 PAGEREF _Toc h 18 HYPERLINK l _Toc 2.2Radwware解決決方案簡(jiǎn)介 PAGEREF _Toc h 119 HYPERLINK l _Toc 2.2.1Raadwaree連接解決方方案部分簡(jiǎn)介介 PAGEREF _Toc h 20 HYPERLINK l _Toc 2.2.2Raadwaree安全解決方方案部分簡(jiǎn)介介 PAGEREF _Toc h 21 HYPERLINK l _Toc 2.2.3Raadwaree應(yīng)用解決方方案部分簡(jiǎn)介介 PAGEREF _Toc h 23 HYPERLINK

5、 l _Toc 3Radwarre技術(shù)介紹紹 PAGEREF _Toc h 24 HYPERLINK l _Toc 3.1DefeensePrro 實(shí)現(xiàn)現(xiàn)入侵和DOOS攻擊的實(shí)實(shí)時(shí)防范 PAGEREF _Toc h 244 HYPERLINK l _Toc 3.1.1Doosshieeld實(shí)現(xiàn)已已知攻擊工具具防范 PAGEREF _Toc h 24 HYPERLINK l _Toc 3.1.2Beehaviooral DDoS基于網(wǎng)網(wǎng)絡(luò)行為模式式實(shí)現(xiàn)自動(dòng)攻攻擊防范 PAGEREF _Toc h 255 HYPERLINK l _Toc 3.1.3入侵侵防范防范各各類(lèi)應(yīng)用攻擊擊 PAGEREF

6、_Toc h 27 HYPERLINK l _Toc 3.1.4帶寬寬管理 PAGEREF _Toc h 28 HYPERLINK l _Toc 3.1.5其它它安全相關(guān)功功能 PAGEREF _Toc h 28 HYPERLINK l _Toc 3.1.6DeefenseePro的安安全報(bào)告 PAGEREF _Toc h 299 HYPERLINK l _Toc 3.2LinkkProoff 鏈路優(yōu)選選方案 PAGEREF _Toc h 30 HYPERLINK l _Toc 3.2.1鏈路路健康檢測(cè) PAGEREF _Toc h 330 HYPERLINK l _Toc 3.2.2流入入（

7、Inboound）流流量處理 PAGEREF _Toc h 311 HYPERLINK l _Toc 3.2.3流出出（Outbbound）流流量處理 PAGEREF _Toc h 322 HYPERLINK l _Toc 3.2.4獨(dú)特特優(yōu)勢(shì)-“就近性”運(yùn)算 PAGEREF _Toc h 33 HYPERLINK l _Toc 3.3SecuureFloow對(duì)防御系系統(tǒng)進(jìn)行中央央管理 PAGEREF _Toc h 34 HYPERLINK l _Toc 3.3.1保證證各安全工具具的高可用性性 PAGEREF _Toc h 34 HYPERLINK l _Toc 3.3.2提升升各安全工具具

8、的處理性能能 PAGEREF _Toc h 35 HYPERLINK l _Toc 3.3.3統(tǒng)一一和可升級(jí)的的安全體系結(jié)結(jié)構(gòu) PAGEREF _Toc h 35 HYPERLINK l _Toc 3.4AppDDirecttor-實(shí)現(xiàn)現(xiàn)服務(wù)器負(fù)載載均衡 PAGEREF _Toc h 35 HYPERLINK l _Toc 3.4.1健康康狀況檢查 PAGEREF _Toc h 336 HYPERLINK l _Toc 3.4.2交易易完整性的可可靠保證 PAGEREF _Toc h 366 HYPERLINK l _Toc 3.4.3完全全的容錯(cuò)與冗冗余 PAGEREF _Toc h 36

9、HYPERLINK l _Toc 3.4.4通過(guò)過(guò)正常退出服服務(wù)保證穩(wěn)定定運(yùn)行 PAGEREF _Toc h 36 HYPERLINK l _Toc 3.4.5智能能的服務(wù)器服服務(wù)恢復(fù) PAGEREF _Toc h 377 HYPERLINK l _Toc 3.4.6通過(guò)過(guò)負(fù)載均衡優(yōu)優(yōu)化服務(wù)器資資源 PAGEREF _Toc h 37 HYPERLINK l _Toc 3.4.7應(yīng)用用交換 PAGEREF _Toc h 37 HYPERLINK l _Toc 3.4.8URRL交換 PAGEREF _Toc h 37 HYPERLINK l _Toc 3.4.9內(nèi)容容交換 PAGEREF _T

10、oc h 37 HYPERLINK l _Toc 3.5AppXXcel 智智能應(yīng)用加速速 PAGEREF _Toc h 37 HYPERLINK l _Toc 3.5.1SSSL加速 PAGEREF _Toc h 38 HYPERLINK l _Toc 3.5.2集中中處理多設(shè)備備應(yīng)用程序和和SSL協(xié)議管管理 PAGEREF _Toc h 38 HYPERLINK l _Toc 3.5.3TCCP 優(yōu)化 PAGEREF _Toc h 39 HYPERLINK l _Toc 3.5.4多路路HTTP/s協(xié)議 PAGEREF _Toc h 39 HYPERLINK l _Toc 3.5.5高速速

11、緩存 PAGEREF _Toc h 39 HYPERLINK l _Toc 3.5.6htttp壓縮 PAGEREF _Toc h 39 HYPERLINK l _Toc 3.5.7數(shù)據(jù)據(jù)壓縮 PAGEREF _Toc h 40 HYPERLINK l _Toc 五、Radwaare整體解解決方案的優(yōu)優(yōu)勢(shì) PAGEREF _Toc h 41RADWAREE針對(duì)企業(yè)用戶的整體解決方案行業(yè)背景人類(lèi)社會(huì)在進(jìn)入入80年代以以來(lái)，以現(xiàn)代代通信技術(shù)與與計(jì)算機(jī)、網(wǎng)網(wǎng)絡(luò)技術(shù)引導(dǎo)導(dǎo)的技術(shù)革命命取得了巨大大的成功?；贗nteernet及及Intraanet技術(shù)術(shù)得到了普遍遍的應(yīng)用。大大大地推動(dòng)了了全球信息化化

12、的進(jìn)程，改改變了人類(lèi)傳傳統(tǒng)的生產(chǎn)和和生活方式。促進(jìn)了知識(shí)識(shí)經(jīng)濟(jì)的成長(zhǎng)長(zhǎng)，加快了世世界經(jīng)濟(jì)一體體化進(jìn)程。對(duì)對(duì)信息的掌握握、利用與傳傳播成為影響響生產(chǎn)力發(fā)展展水平和綜合合國(guó)力增強(qiáng)的的關(guān)鍵因素，信信息化程度已已成為國(guó)家發(fā)發(fā)展?jié)摿桶l(fā)發(fā)展水平的重重要標(biāo)志。然然而一個(gè)國(guó)家家信息化的程程度如何最終終體現(xiàn)在企業(yè)業(yè)信息化的程程度。因?yàn)槠笃髽I(yè)才是財(cái)富富最終的創(chuàng)造造者。也就是是說(shuō)，企業(yè)信信息化的程度度是衡量一個(gè)個(gè)國(guó)家信息化化水平高低的的一個(gè)最重要要的標(biāo)志。 所謂企業(yè)信息化化是指“企業(yè)利用現(xiàn)現(xiàn)代信息技術(shù)術(shù)手段，在生生產(chǎn)、經(jīng)營(yíng)、管理過(guò)程中中，有效地開(kāi)開(kāi)發(fā)、利用信信息資源的過(guò)過(guò)程”。實(shí)現(xiàn)企業(yè)業(yè)信息化，就就是企業(yè)充分分運(yùn)

13、用通訊、計(jì)算機(jī)和網(wǎng)網(wǎng)絡(luò)技術(shù)等現(xiàn)現(xiàn)代信息技術(shù)術(shù)與裝備，采采集、加工、處理、傳遞遞和貯存信息息，對(duì)信息資資源進(jìn)行有效效地開(kāi)發(fā)與利利用。企業(yè)能能否有效地開(kāi)開(kāi)發(fā)利用信息息、優(yōu)化信息息資源的配置置，決定著企企業(yè)管理效率率高低、整體體素質(zhì)優(yōu)劣和和競(jìng)爭(zhēng)優(yōu)勢(shì)強(qiáng)強(qiáng)弱。開(kāi)展企企業(yè)信息化有有利于企業(yè)實(shí)實(shí)現(xiàn)信息資源源的共享、有有利于加強(qiáng)企企業(yè)的管理、決策、運(yùn)營(yíng)營(yíng)的現(xiàn)代化與與信息化。近年來(lái)，很多企企業(yè)都建立了了與互聯(lián)網(wǎng)相相連的企業(yè)內(nèi)內(nèi)部網(wǎng)（專(zhuān)網(wǎng)網(wǎng)），大大促促進(jìn)了我國(guó)的的企業(yè)信息化化進(jìn)程。隨著著中國(guó)市場(chǎng)逐逐步開(kāi)放，許許多國(guó)內(nèi)企業(yè)業(yè)走出國(guó)門(mén)謀謀求更大的市市場(chǎng)空間。在在網(wǎng)絡(luò)信息技技術(shù)高速發(fā)展展的今天，企企業(yè)信息網(wǎng)絡(luò)絡(luò)是否高效

14、、暢通、安全全在很大程度度上影響企業(yè)業(yè)的生產(chǎn)、銷(xiāo)銷(xiāo)售、管理等等各個(gè)環(huán)節(jié)。對(duì)于現(xiàn)代企企業(yè)來(lái)說(shuō)，及及時(shí)了解客戶戶的需求和市市場(chǎng)動(dòng)態(tài)非常常重要，建立立一個(gè)高效、可靠的企業(yè)業(yè)信息網(wǎng)絡(luò)就就顯得尤為迫迫切。企業(yè)網(wǎng)內(nèi)的應(yīng)用用大致包括如如下內(nèi)容：企業(yè)不同部門(mén)之之間的文件資資源共享、打打印共享；收發(fā)電子郵件、網(wǎng)絡(luò)傳真，召召開(kāi)視頻、網(wǎng)網(wǎng)絡(luò)電話會(huì)議議最大限度降降低辦公成本本；企業(yè)自有的辦公公OA 系統(tǒng)統(tǒng)、ERP、CRM 等等信息管理系系統(tǒng)；企業(yè)建立自己的的門(mén)戶網(wǎng)站，通通過(guò)網(wǎng)絡(luò)宣傳傳企業(yè)或開(kāi)展展電子商務(wù)。然而，就在我們們得益于現(xiàn)代代網(wǎng)絡(luò)通信技技術(shù)給我們帶帶來(lái)便利的同同時(shí)，我們也也體會(huì)到了網(wǎng)網(wǎng)絡(luò)給我們帶帶來(lái)的災(zāi)難。來(lái)自

15、外部的的蓄意攻擊、計(jì)算機(jī)病毒毒的侵襲、和和來(lái)自商業(yè)間間諜對(duì)信息數(shù)數(shù)據(jù)的竊取、破壞使我們們防不勝防；網(wǎng)絡(luò)安全問(wèn)問(wèn)題得到了普普遍的重視。如何為企業(yè)業(yè)用戶提供一一個(gè)安全、穩(wěn)穩(wěn)定的網(wǎng)絡(luò)應(yīng)應(yīng)用平臺(tái)已成成為一個(gè)日益益突出的問(wèn)題題。Radwaree公司針對(duì)日日益突出的網(wǎng)網(wǎng)絡(luò)安全問(wèn)題題推出了一系系列網(wǎng)絡(luò)安全全產(chǎn)品。 旨旨在推動(dòng)我國(guó)國(guó)網(wǎng)絡(luò)安全事事業(yè)的發(fā)展，為為我國(guó)的信息息網(wǎng)絡(luò)保駕護(hù)護(hù)航。為廣大大的網(wǎng)絡(luò)用戶戶提供一個(gè)安安全、穩(wěn)定的的網(wǎng)絡(luò)應(yīng)用平平臺(tái)。本方案案就是針對(duì)我我國(guó)企業(yè)用戶戶提供的一套套整體解決方方案。企業(yè)用戶網(wǎng)絡(luò)應(yīng)應(yīng)用現(xiàn)狀企業(yè)網(wǎng)絡(luò)應(yīng)用現(xiàn)現(xiàn)狀簡(jiǎn)述一個(gè)典型的企業(yè)業(yè)的網(wǎng)絡(luò)拓?fù)鋼浣Y(jié)構(gòu)圖如下下圖所示：可以看出上述典典

16、型的企業(yè)網(wǎng)絡(luò)大致致由3 部分組成成：網(wǎng)絡(luò)連接部分網(wǎng)絡(luò)安全部分網(wǎng)絡(luò)應(yīng)用部分下面我們就這三三部分做簡(jiǎn)要要描述：廣域網(wǎng)鏈路現(xiàn)狀狀網(wǎng)絡(luò)連接部分還還可以分為IInternnet連接部部分和專(zhuān)網(wǎng)連連接部分：Interneet連接部分分Interneet連接部分分是指企業(yè)網(wǎng)絡(luò)數(shù)據(jù)據(jù)中心通過(guò)IISP運(yùn)營(yíng)商商的鏈路連接接到Inteernet，用用于企業(yè)對(duì)外的網(wǎng)網(wǎng)上公共信息息發(fā)布、為IInternnet用戶提提供企業(yè)網(wǎng)上應(yīng)用用，同時(shí)企業(yè)業(yè)內(nèi)部用戶也也可以訪問(wèn)IInternnet上的資資源；專(zhuān)網(wǎng)連接部分專(zhuān)網(wǎng)連接部分用用于企業(yè)網(wǎng)絡(luò)連接接各地分支機(jī)機(jī)構(gòu)。分支機(jī)構(gòu)的內(nèi)部部用戶通過(guò)專(zhuān)專(zhuān)網(wǎng)連接訪問(wèn)問(wèn)數(shù)據(jù)中心的的應(yīng)用服務(wù)器器，

17、例如：WWEB服務(wù)器器，E-Mail服務(wù)務(wù)器等，同時(shí)時(shí)也可以通過(guò)過(guò)數(shù)據(jù)中心的的Interrnet鏈路路訪問(wèn)Intternett上的資源。網(wǎng)絡(luò)安全防護(hù)現(xiàn)現(xiàn)狀網(wǎng)絡(luò)安全部分通通常由防火墻墻、入侵檢測(cè)測(cè)系統(tǒng)（IDDS）和防病病毒網(wǎng)關(guān)等設(shè)備構(gòu)成，用用于制定內(nèi)部部信息資源的的不同訪問(wèn)策策略，保護(hù)數(shù)數(shù)據(jù)中心的應(yīng)應(yīng)用免受來(lái)自自Interrnet的網(wǎng)網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)應(yīng)用現(xiàn)狀網(wǎng)絡(luò)應(yīng)用由企業(yè)業(yè)對(duì)外WWW信息發(fā)發(fā)布系統(tǒng)，業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)統(tǒng)和后臺(tái)數(shù)據(jù)據(jù)庫(kù)系統(tǒng)組成成企業(yè)網(wǎng)絡(luò)中存在在的缺陷從上圖中可以看看出，在企業(yè)業(yè)網(wǎng)絡(luò)中存在在很多網(wǎng)絡(luò)設(shè)設(shè)計(jì)上的缺陷陷，總結(jié)起來(lái)來(lái)可以分為以以下三個(gè)部分分的問(wèn)題：網(wǎng)絡(luò)連接部分存存在的問(wèn)題網(wǎng)絡(luò)安全

18、部分存存在的問(wèn)題網(wǎng)絡(luò)應(yīng)用部分存存在的問(wèn)題下面我們就這三三部分存在的的問(wèn)題做詳細(xì)細(xì)描述：廣域網(wǎng)鏈路存在在的缺陷企業(yè)網(wǎng)絡(luò)連接部部分存在的問(wèn)問(wèn)題可以分為為以下兩部分分：企業(yè)中央機(jī)構(gòu)IInternnet鏈路存存在的問(wèn)題：各分支機(jī)構(gòu)到中中央機(jī)構(gòu)之間間廣域網(wǎng)鏈路路存在的問(wèn)題題：企業(yè)中央機(jī)構(gòu)IInternnet鏈路存存在的問(wèn)題：鏈路的單點(diǎn)失效效性：采用單一Intternett連接鏈路存存在單點(diǎn)失效效性，一旦該該鏈路出現(xiàn)故故障將造成整整個(gè)網(wǎng)絡(luò)的癱癱瘓；鏈路性能的瓶頸頸：?jiǎn)我籌nterrnet連接接鏈路的帶寬寬資源是有限限的，無(wú)法滿滿足企業(yè)內(nèi)部全體體用戶對(duì)網(wǎng)絡(luò)絡(luò)訪問(wèn)Intternett時(shí)帶寬不斷斷增長(zhǎng)的需求求，

19、同時(shí)也無(wú)無(wú)法大量的IInternnet上的用用戶對(duì)企業(yè)的訪問(wèn)；訪問(wèn)快慢不一內(nèi)部用戶訪問(wèn)iinternnet資源時(shí)時(shí)，或外部用用戶訪問(wèn)企業(yè)業(yè)發(fā)布的內(nèi)部部資源時(shí)，會(huì)會(huì)受到ISPP提供商的不不同，而產(chǎn)生生訪問(wèn)快慢不不一的現(xiàn)像。例如：如果果企業(yè)采用的的ISP是通通過(guò)網(wǎng)通接入入的，在訪問(wèn)問(wèn)處于電信的的資源時(shí)，會(huì)會(huì)由于不同IISP之間互互連互通的問(wèn)問(wèn)題造成訪問(wèn)問(wèn)變慢，而訪訪問(wèn)網(wǎng)通資源源時(shí)，就不會(huì)會(huì)存在問(wèn)題。網(wǎng)絡(luò)安全防護(hù)能能力弱：目前Interrnet上的的各種各樣的的網(wǎng)絡(luò)攻擊層層出不窮，路路由器自身對(duì)對(duì)網(wǎng)絡(luò)攻擊的的防護(hù)能力非非常有限，DDOS/DDDOS 網(wǎng)絡(luò)絡(luò)攻擊會(huì)對(duì)廣廣域網(wǎng)絡(luò)由器器產(chǎn)生嚴(yán)重的的影響；各

20、分支機(jī)構(gòu)到中中央機(jī)構(gòu)之間間廣域網(wǎng)鏈路路存在的問(wèn)題題：鏈路的單點(diǎn)失效效性：各省級(jí)機(jī)關(guān)到中中央機(jī)構(gòu)之間間采用單一廣廣域網(wǎng)鏈路，存存在單點(diǎn)失效效性，一旦該該鏈路出現(xiàn)故故障將造成該該省級(jí)機(jī)關(guān)無(wú)法法訪問(wèn)中央機(jī)機(jī)構(gòu)和Interrnet；鏈路性能的瓶頸頸：各省級(jí)機(jī)關(guān)到中中央機(jī)構(gòu)之間間采用低速的的廣域網(wǎng)鏈路路（Framme Rellay，DDN），而而各分支機(jī)的的用戶訪問(wèn)中中心的應(yīng)用服服務(wù)器的網(wǎng)絡(luò)絡(luò)流量，以及及各分支機(jī)的的用戶訪問(wèn)IInternnet的網(wǎng)絡(luò)流量量都要經(jīng)過(guò)這這條單一的廣廣域網(wǎng)鏈路，因因此無(wú)法滿足足用戶對(duì)網(wǎng)絡(luò)絡(luò)帶寬不斷增增長(zhǎng)的需求；網(wǎng)絡(luò)安全防護(hù)能能力弱：各省級(jí)機(jī)關(guān)中收收病毒感染的的機(jī)器會(huì)向中中央機(jī)

21、構(gòu)發(fā)送送攻擊數(shù)據(jù)包包，造成各省省級(jí)機(jī)關(guān)到中央機(jī)構(gòu)之間間的鏈路擁塞塞，從而影響響網(wǎng)絡(luò)中的關(guān)關(guān)鍵應(yīng)用的正正常運(yùn)行網(wǎng)絡(luò)安全防護(hù)存存在的缺陷網(wǎng)絡(luò)安全設(shè)備的的單點(diǎn)失效性性：?jiǎn)我坏木W(wǎng)絡(luò)安全全設(shè)備存在單單點(diǎn)失效性，例例如：圖中的的防火墻和防防病毒設(shè)備一一旦出現(xiàn)問(wèn)題題，將造成整整個(gè)網(wǎng)絡(luò)的癱癱瘓；網(wǎng)絡(luò)安全設(shè)備性性能的瓶頸：網(wǎng)絡(luò)安全設(shè)備由由于要對(duì)進(jìn)出出網(wǎng)絡(luò)的數(shù)據(jù)據(jù)包進(jìn)行安全全性檢查，與與網(wǎng)絡(luò)路由器器和網(wǎng)絡(luò)交換換機(jī)相比，性性能通常會(huì)降降低很多，例例如防病毒設(shè)設(shè)備的網(wǎng)絡(luò)吞吞吐量通常只只有310Mbpps。因此網(wǎng)網(wǎng)絡(luò)中的安全全設(shè)備通常都都是制約網(wǎng)絡(luò)絡(luò)傳輸速度的的瓶頸點(diǎn)。安全體系架構(gòu)存存在漏洞：防火墻可以基于于網(wǎng)絡(luò)中的T

22、TCP、UDP端口對(duì)對(duì)網(wǎng)絡(luò)流量進(jìn)進(jìn)行訪問(wèn)控制制，并且可以以對(duì)基于狀態(tài)態(tài)的協(xié)議進(jìn)行行協(xié)議狀態(tài)檢檢查，因此防防火墻通常是是在網(wǎng)絡(luò)第四四層上對(duì)用戶戶的網(wǎng)絡(luò)進(jìn)行行保護(hù)。但是是防火墻無(wú)法法對(duì)基于網(wǎng)絡(luò)絡(luò)七層中的網(wǎng)網(wǎng)絡(luò)攻擊進(jìn)行行防護(hù)例如：蠕蟲(chóng)入侵病毒入侵。后門(mén)攻擊。IDS可以對(duì)網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)據(jù)包進(jìn)行深入入的分析，可可以檢查到資資料包中第77層的信息，它它具備隨時(shí)對(duì)對(duì)可疑流量進(jìn)進(jìn)行檢查和識(shí)識(shí)別的能力。但是IDSS最大的問(wèn)題題是IDS并不能能阻止攻擊的的入侵，僅僅僅能發(fā)出告警警，而此時(shí)網(wǎng)網(wǎng)絡(luò)攻擊已經(jīng)經(jīng)進(jìn)入到網(wǎng)絡(luò)絡(luò)內(nèi)部。目前我們面臨著著手段各異形形式多樣的混混合式攻擊威威脅，這些攻攻擊中應(yīng)用級(jí)級(jí)層的攻擊占占了絕大

23、多數(shù)數(shù)，為了抑制制這些攻擊，Gartner建議“在作出安全方面的決策時(shí)除了考慮簡(jiǎn)單的靜態(tài)協(xié)議過(guò)濾外，還要考慮對(duì)應(yīng)用內(nèi)容（網(wǎng)絡(luò)七層中的攻擊特征）進(jìn)行深入的數(shù)據(jù)包檢查，并阻擋該攻擊”。因此，企業(yè)在面面臨多種多樣樣的攻擊威脅脅時(shí)，急需找找到更嚴(yán)密的的安全防護(hù)手手段。網(wǎng)絡(luò)應(yīng)用存在的的缺陷網(wǎng)絡(luò)應(yīng)用的可靠靠性較差：應(yīng)用服務(wù)器由于于服務(wù)器硬件件的穩(wěn)定性、流量壓力超超載、網(wǎng)絡(luò)攻攻擊等情況經(jīng)經(jīng)常會(huì)出現(xiàn)意意外宕機(jī)的情情況，從而無(wú)無(wú)法保證網(wǎng)絡(luò)絡(luò)應(yīng)用的7xx24 小時(shí)時(shí)的持續(xù)性服服務(wù)。網(wǎng)絡(luò)應(yīng)用的性能能瓶頸：在網(wǎng)絡(luò)應(yīng)用系統(tǒng)統(tǒng)中，通常會(huì)會(huì)采用多臺(tái)服服務(wù)器同時(shí)提提供服務(wù)的方方式。但是由由于網(wǎng)絡(luò)中的的流量并不均均衡，因此經(jīng)經(jīng)

24、常會(huì)出現(xiàn)某某臺(tái)服務(wù)器由由于訪問(wèn)量過(guò)過(guò)大而宕機(jī)，造造成網(wǎng)絡(luò)應(yīng)用用性能的不穩(wěn)穩(wěn)定，從而影影響到整個(gè)網(wǎng)網(wǎng)絡(luò)應(yīng)用系統(tǒng)統(tǒng)的性能。網(wǎng)絡(luò)應(yīng)用的安全全性較差：從上圖中可以看看出現(xiàn)有網(wǎng)絡(luò)絡(luò)中的安全性性防護(hù)機(jī)制的的特點(diǎn)是：現(xiàn)有的安全性防防護(hù)機(jī)制通常常是針對(duì)來(lái)自自外網(wǎng)的攻擊擊；缺乏針對(duì)來(lái)自內(nèi)內(nèi)網(wǎng)的攻擊防防護(hù)機(jī)制；現(xiàn)有的安全性防防護(hù)機(jī)制通常常是針對(duì)整體體網(wǎng)絡(luò)層面的的攻擊防護(hù)，即即針對(duì)網(wǎng)絡(luò)IIP層、TCP/UDP層的的網(wǎng)絡(luò)4層以下的攻攻擊防護(hù)；缺乏針對(duì)具體的的、特定的企企業(yè)網(wǎng)絡(luò)應(yīng)用用的特點(diǎn)而專(zhuān)專(zhuān)門(mén)制定的符符合企業(yè)網(wǎng)絡(luò)應(yīng)用用的基于網(wǎng)絡(luò)絡(luò)7層防護(hù)的安安全性防護(hù)機(jī)機(jī)制；企業(yè)網(wǎng)絡(luò)應(yīng)用需需求分析廣域網(wǎng)鏈路需求求分析網(wǎng)絡(luò)連接方面的

25、的需求多鏈鏈路負(fù)載均衡衡技術(shù)企業(yè)在網(wǎng)絡(luò)連接接方面的需求求可以分為以以下兩部分：中央機(jī)構(gòu)Intternett網(wǎng)絡(luò)連接方方面的需求各省級(jí)機(jī)關(guān)到中中央機(jī)構(gòu)之間間網(wǎng)絡(luò)連接方方面的需求中央機(jī)構(gòu)Intternett網(wǎng)絡(luò)連接方方面的需求目前在國(guó)內(nèi)由于于多家ISPP的競(jìng)爭(zhēng)，Internnet 接入入鏈路的成本本大幅降低，多多鏈路Intternett的接入已成成為許多用戶戶在的選擇網(wǎng)網(wǎng)絡(luò)連接方面面的需求。因因此在中央機(jī)機(jī)構(gòu)Inteernet網(wǎng)網(wǎng)絡(luò)連接方面面,企業(yè)網(wǎng)絡(luò)將將存在如下要要求：提高Interrnet網(wǎng)絡(luò)絡(luò)鏈路的可用用性：建議企業(yè)采用接接入多個(gè)ISSP的方式提提高可用性，而而當(dāng)企業(yè)網(wǎng)絡(luò)中心心具有多條IIn

26、ternnet鏈路后后，應(yīng)提高IInternnet網(wǎng)絡(luò)鏈鏈路可用性的的智慧檢查能能力，防止出出現(xiàn)由于某一一條Inteernet鏈鏈路的失效造造成整體網(wǎng)絡(luò)絡(luò)的不可訪問(wèn)問(wèn)。提高Interrnet鏈路路的網(wǎng)絡(luò)吞吐吐量：提高網(wǎng)絡(luò)中心的的Interrnet網(wǎng)絡(luò)絡(luò)鏈路的吞吐吐量，申請(qǐng)多多條Inteernet鏈鏈路提高Interrnet網(wǎng)絡(luò)絡(luò)鏈路的抗網(wǎng)網(wǎng)絡(luò)攻擊的能能力：Interneet上的各種種各樣的網(wǎng)絡(luò)絡(luò)攻擊首先影影響的將會(huì)是是Interrnet網(wǎng)絡(luò)絡(luò)鏈路，因此此應(yīng)加強(qiáng)在IInternnet鏈路上上的攻擊防護(hù)護(hù)。各省級(jí)機(jī)關(guān)到中中央機(jī)構(gòu)之間間網(wǎng)絡(luò)連接方方面的需求目前各省級(jí)機(jī)關(guān)關(guān)到中央機(jī)構(gòu)之間間通常采用FF

27、rame Relayy或DDN等昂貴貴的專(zhuān)線廣域域網(wǎng)鏈路，而而目前國(guó)內(nèi)運(yùn)運(yùn)營(yíng)商可以提提供相對(duì)高速速同時(shí)價(jià)格便便宜的Intternett 接入鏈路路，例如： ADSL，因因此企業(yè)網(wǎng)絡(luò)存在在入下要求：提高省級(jí)機(jī)關(guān)到到中央機(jī)構(gòu)的廣廣域網(wǎng)鏈路的的可用性：如果各地省級(jí)機(jī)機(jī)關(guān)與中央機(jī)構(gòu)之間間存在多條鏈鏈路，應(yīng)注意意提高省級(jí)機(jī)機(jī)關(guān)到中央機(jī)構(gòu)的廣廣域網(wǎng)鏈路可可用性的智慧慧檢查，防止止出現(xiàn)由于某某一條鏈路的的失效造成整整個(gè)省級(jí)機(jī)關(guān)關(guān)無(wú)法訪問(wèn)到到中央機(jī)構(gòu)。增加省級(jí)機(jī)關(guān)到到中央機(jī)構(gòu)的鏈鏈路，增加帶帶寬，同時(shí)降降低省級(jí)機(jī)關(guān)關(guān)與中央機(jī)構(gòu)之間間廣域網(wǎng)鏈路路的成本：利用運(yùn)營(yíng)商提供供的低價(jià)、高高速鏈路，在在各地省級(jí)機(jī)機(jī)關(guān)與中

28、央機(jī)構(gòu)之間間增加鏈路帶帶寬，設(shè)法降降低減輕各地地省級(jí)機(jī)關(guān)與中央機(jī)構(gòu)之間間專(zhuān)線的流量量壓力，降低低廣域網(wǎng)鏈路路的成本提高各個(gè)省級(jí)機(jī)機(jī)關(guān)的網(wǎng)絡(luò)安安全防護(hù)能力力：在各個(gè)省級(jí)機(jī)關(guān)關(guān)的廣域網(wǎng)出出口和Intternett出口的位置置增加網(wǎng)絡(luò)安安全防護(hù)的能能力，以保證證各省級(jí)機(jī)關(guān)關(guān)的網(wǎng)絡(luò)安全全，同時(shí)可以以保證一旦某某個(gè)省級(jí)機(jī)關(guān)關(guān)內(nèi)部的用戶戶受到網(wǎng)絡(luò)攻攻擊的侵襲，那那么該網(wǎng)絡(luò)攻攻擊不會(huì)擴(kuò)散散到中央機(jī)構(gòu)構(gòu)，以及其它它省級(jí)機(jī)關(guān)。網(wǎng)絡(luò)安全防護(hù)需需求分析網(wǎng)絡(luò)安全方面的的需求防火火墻、IDSS、防病毒設(shè)設(shè)備負(fù)載均衡衡技術(shù)的需求求為了保證企業(yè)的的網(wǎng)絡(luò)在網(wǎng)絡(luò)絡(luò)安全防護(hù)方方面的高可用用性、高性能能和安全性，企業(yè)在網(wǎng)絡(luò)安全方面

29、的需求可以分為以下幾部分：提高網(wǎng)絡(luò)安全設(shè)設(shè)備的可用性性：網(wǎng)絡(luò)中應(yīng)具備安安全設(shè)備的的的可用性檢查查，避免單一一的網(wǎng)絡(luò)安全全設(shè)備的單點(diǎn)點(diǎn)失效性。提高網(wǎng)絡(luò)安全設(shè)設(shè)備性能：在網(wǎng)絡(luò)中采用多多臺(tái)網(wǎng)絡(luò)安全全設(shè)備，避免免網(wǎng)絡(luò)安全設(shè)設(shè)備帶來(lái)的瓶瓶頸，提高網(wǎng)網(wǎng)絡(luò)傳輸速度度。完善網(wǎng)絡(luò)安全體體系架構(gòu)：現(xiàn)今，各種各樣樣的網(wǎng)絡(luò)攻擊擊層出不窮，導(dǎo)導(dǎo)致防火墻的的負(fù)荷在不斷斷提高，再相相對(duì)于網(wǎng)絡(luò)物物理帶寬的大大幅度提高，防防火墻逐漸成成為了網(wǎng)絡(luò)的的瓶頸，本案案希望使用一一組（2個(gè)以上）防防火墻采用負(fù)負(fù)載均衡技術(shù)術(shù)提供安全服服務(wù)，以提升升性能。網(wǎng)絡(luò)安全方面的的需求具備備深層檢測(cè)、高性能的安安全防護(hù)設(shè)備備需求當(dāng)前的黑客攻擊擊，具備

30、層出出不窮，隱蔽蔽性強(qiáng)，攻量量大，影響廣廣等特點(diǎn)，對(duì)對(duì)安全網(wǎng)關(guān)設(shè)設(shè)備提出了更更高的要求，因因此需要企業(yè)業(yè)的網(wǎng)絡(luò)中的的安全產(chǎn)品提提出了新的需需求，要求應(yīng)應(yīng)用安全產(chǎn)品品具備防范一一系列攻擊的的智能和性能能： 需要集成的實(shí)時(shí)時(shí)安全性，發(fā)發(fā)現(xiàn)攻擊和入入侵立即攔截截能夠深入檢查數(shù)數(shù)據(jù)包，防范各種應(yīng)應(yīng)用層攻擊，例例如蠕蟲(chóng)、病病毒、木馬和和Dos 攻攻擊能夠即使攔截大大流量，爆發(fā)發(fā)性的DoSS/DDoss攻擊，與此此同時(shí)，要求求網(wǎng)絡(luò)訪問(wèn)正正常進(jìn)行，網(wǎng)網(wǎng)絡(luò)的性能不不能有太大降降低要求安全產(chǎn)品具具備數(shù)千兆位位速度雙向掃掃描的安全檢檢測(cè)性能能夠?qū)︽溌返膸捠褂眠M(jìn)行行有效管理，如如對(duì)消耗帶寬寬資源非常嚴(yán)嚴(yán)重的P2

31、PP流量進(jìn)行有有效控制，保保證關(guān)鍵應(yīng)用用的帶寬使用用網(wǎng)絡(luò)應(yīng)用需求分分析網(wǎng)絡(luò)應(yīng)用方面的的需求應(yīng)用用服務(wù)器負(fù)載載均衡技術(shù)的的需求為了保證企業(yè)的的網(wǎng)絡(luò)應(yīng)用的的高可用性、高性能和安安全性，企業(yè)業(yè)的網(wǎng)絡(luò)應(yīng)用用存在下列需需求：提高網(wǎng)絡(luò)應(yīng)用的的可靠性：自動(dòng)的網(wǎng)絡(luò)應(yīng)用用可用性檢查查，保證網(wǎng)絡(luò)絡(luò)應(yīng)用的7xx24 小時(shí)時(shí)的持續(xù)性服服務(wù)。提高網(wǎng)絡(luò)應(yīng)用的的性能：如果網(wǎng)絡(luò)中僅有有單臺(tái)服務(wù)器器提供網(wǎng)絡(luò)應(yīng)應(yīng)用的服務(wù)，很很難保證網(wǎng)絡(luò)絡(luò)應(yīng)用的性能能，可以考慮慮增加相應(yīng)的的服務(wù)器數(shù)量量，配合負(fù)載載均衡技術(shù)來(lái)來(lái)提高網(wǎng)絡(luò)網(wǎng)網(wǎng)絡(luò)應(yīng)用的性性能。網(wǎng)絡(luò)應(yīng)用的安全全性較差：制定針對(duì)具體的的、特定的網(wǎng)網(wǎng)絡(luò)應(yīng)用的特特點(diǎn)而專(zhuān)門(mén)制制定的基于網(wǎng)網(wǎng)絡(luò)7層

32、防護(hù)的安安全性防護(hù)機(jī)機(jī)制；Radwaree解決方案Radwaree公司簡(jiǎn)介Radwaree公司是RADD集團(tuán)的成員員之一，RAAD集團(tuán)目前前擁有14個(gè)各自獨(dú)獨(dú)立的公司，在在網(wǎng)絡(luò)及通訊訊產(chǎn)業(yè)領(lǐng)域提提供不同的技技術(shù)，服務(wù)不不同的市場(chǎng)。Radwaare 公司司于19999年在NASDDAQ上市(RDWWR)，目前前，Radwware公司司的網(wǎng)絡(luò)產(chǎn)品品行銷(xiāo)40多個(gè)國(guó)家家，在全球擁?yè)碛?30家經(jīng)銷(xiāo)銷(xiāo)商，為廣大大用戶提供了了全面的產(chǎn)品品和解決方案案。Radwaree 一直致力力于提供智能能應(yīng)用交換（IAS）技術(shù)，以保證IP網(wǎng)絡(luò)應(yīng)用在Internet/Intranet上的最佳運(yùn)行和服務(wù)。Radware 將應(yīng)

33、用需求和網(wǎng)絡(luò)設(shè)施緊密結(jié)合在一起，可無(wú)縫分配資源、優(yōu)化應(yīng)用系統(tǒng)的運(yùn)行以及提高網(wǎng)絡(luò)安全性，最終為用戶提供高可靠性的、高性能的、高安全性的網(wǎng)絡(luò)智能應(yīng)用解決方案。作為網(wǎng)絡(luò)智能應(yīng)應(yīng)用交換（IIAS）領(lǐng)域域的佼佼者，Radware通過(guò)在47層網(wǎng)絡(luò)交換領(lǐng)域和網(wǎng)絡(luò)入侵防護(hù)（IPS）領(lǐng)域?qū)Ｗ⒌募夹g(shù)研發(fā)，不斷為市場(chǎng)提供功能強(qiáng)大、穩(wěn)定高效的網(wǎng)絡(luò)智能應(yīng)用解決方案。Radware目前提供3大類(lèi)網(wǎng)絡(luò)智能應(yīng)用解決方案：Radwaree網(wǎng)絡(luò)連接解解決方案；Radwaree網(wǎng)絡(luò)安全解解決方案；Radwaree網(wǎng)絡(luò)應(yīng)用解解決方案；通過(guò)最優(yōu)化的網(wǎng)網(wǎng)絡(luò)資源利用用以及完善的的安全防護(hù)體體系架構(gòu)為廣廣大用戶打造造全方位、高高效率的網(wǎng)絡(luò)絡(luò)

34、安全空間。Radwaree 解決方案案借助屢獲殊殊榮的產(chǎn)品來(lái)來(lái)構(gòu)架Raddware網(wǎng)網(wǎng)絡(luò)智能應(yīng)用用解決方案用用于滿足企業(yè)業(yè)、服務(wù)提供供商以及電子子商務(wù)機(jī)構(gòu)的的網(wǎng)絡(luò)需求。這些產(chǎn)品包包括：LinnkProoof（LP）、Linkkprooff-Brannch（LPB）、Defennse-prro（DP）、AppDDirecttor、SecurreFloww(SF)、AppXccel、FirePProof（FP）、Conttent IInspecction Direcctor (CID)。Radwaare公司全全面的產(chǎn)品組組合可服務(wù)于于端到端的應(yīng)應(yīng)用業(yè)務(wù)，同同時(shí)提供可靠靠和可擴(kuò)展的的網(wǎng)絡(luò)流量保保證。

35、Raddware 可讓您對(duì)網(wǎng)網(wǎng)絡(luò)環(huán)境中從從點(diǎn)擊到內(nèi)容容的方方面面面做到萬(wàn)無(wú)一一失。Radwaree在智能應(yīng)用交換（IAS）技術(shù)上一直處于于領(lǐng)先地位，Radware的產(chǎn)品獲得過(guò)眾多的業(yè)界大獎(jiǎng)，這些獎(jiǎng)項(xiàng)包擴(kuò)：PC Magaazine Editoors CChoiceeNetworkk magaazines Prooduct of thhe YeaarZD Inteernet Labss Net BestSpring Interrnet WWorld98Los Anggeles, Bestt of SShowNetworkk Compputingg magaazines Ediitorss Choi

36、ice Radwaree解決方案介介紹Radwaree解決方案拓?fù)鋱D根據(jù)上述網(wǎng)絡(luò)應(yīng)應(yīng)用現(xiàn)狀分析和用用戶的需求分析析，結(jié)合Raadwaree產(chǎn)品的技術(shù)實(shí)現(xiàn)現(xiàn)和特點(diǎn)，我們建議的企業(yè)方案設(shè)計(jì)包括兩大部分，中央央機(jī)構(gòu)方案設(shè)計(jì)和省級(jí)機(jī)關(guān)方案案設(shè)計(jì)，如下圖所示：圖一：中央機(jī)構(gòu)構(gòu)網(wǎng)絡(luò)拓?fù)浞?wù)器客戶端 WAN企業(yè)專(zhuān)網(wǎng)總部LinkProof Branch防火墻交換機(jī)分支機(jī)構(gòu)圖二、中央機(jī)構(gòu)構(gòu)與各分支機(jī)構(gòu)構(gòu)的連接拓?fù)銻adwaree解決方案簡(jiǎn)介建議在中央機(jī)構(gòu)構(gòu)網(wǎng)絡(luò)各層面上共共采用了如下下Radwaare的設(shè)備，其中包包括:DefenseePRO(DDP)-專(zhuān)用用的透明安全全設(shè)備LinkProoof(LPP)-鏈路負(fù)

37、負(fù)載均衡設(shè)備備SecureFFlow(SSF)-安全全網(wǎng)關(guān)負(fù)載均均衡設(shè)備AppDireector-服務(wù)器負(fù)載載均衡AppXcell-服務(wù)器優(yōu)優(yōu)化設(shè)備在各分支機(jī)構(gòu)的的interrnet出口口處部署一臺(tái) LLinkPrroof BBranchh(分支機(jī)構(gòu)構(gòu)鏈路負(fù)載均均衡器)，并并在其上部署署應(yīng)用安全模塊(具備DPP所有功能)。該解決方案從功功能上分為33個(gè)部分：連接解決方案部部分安全解決方案部部分應(yīng)用的解決方案案部分Radwaree連接解決方案部分簡(jiǎn)介L(zhǎng)inkProoof實(shí)現(xiàn)多多鏈路的負(fù)載均衡和防防火墻的負(fù)載均衡如上圖所示，我我們建議在網(wǎng)絡(luò)接入處，部部署LinkkProoff，實(shí)現(xiàn)對(duì)多條intee

38、rnet接接入鏈路（最多1000條）的負(fù)載均衡，可以同同時(shí)實(shí)現(xiàn)ouutbounnd流量（內(nèi)部辦公用戶訪問(wèn)iinternnet）和inboound流量量（inteernet用用戶訪問(wèn)內(nèi)部服服務(wù)器）雙向的負(fù)載均衡。同時(shí)使用Raddware專(zhuān)專(zhuān)利技術(shù)動(dòng)態(tài)就近性性來(lái)保證進(jìn)出的雙向流量的智智能的動(dòng)態(tài)的就近性性選擇，大大提提高用戶訪問(wèn)問(wèn)的服務(wù)質(zhì)量和訪問(wèn)效率。LinkProoof可以配配合SecuureFloow實(shí)現(xiàn)多臺(tái)防火火墻（最多1000臺(tái)）的負(fù)載均衡，防防火墻可以是不同同廠家，不同同型號(hào)，不同性能能，大大提供供防火墻的擴(kuò)擴(kuò)展性和可用用性。各分支機(jī)構(gòu)的LLinkPrroof BBranchh實(shí)現(xiàn)多鏈路的

39、負(fù)載均衡服務(wù)器客戶端 WAN企業(yè)專(zhuān)網(wǎng)總部LinkProof Branch防火墻交換機(jī)分支機(jī)構(gòu)如上圖所示，我我們建議在各分支機(jī)機(jī)構(gòu)的網(wǎng)絡(luò)接入處處，部署LinnkProoof Braanch，實(shí)現(xiàn)對(duì)innterneet接入和企業(yè)廣域網(wǎng)接入這兩兩條鏈路的負(fù)載均衡，根根據(jù)分支機(jī)構(gòu)構(gòu)辦公用的訪問(wèn)的目的地地址或者應(yīng)用，智能的的選擇鏈路，實(shí)現(xiàn)兩條條鏈路的冗余余備份和透明容容錯(cuò)，保證了分支機(jī)構(gòu)訪問(wèn)問(wèn)中央機(jī)構(gòu)關(guān)鍵鍵應(yīng)用的100的高高可用性。Radwaree安全解決方案部分簡(jiǎn)介我們建議的安全全解決方案部分，包包括2款產(chǎn)品，DefeensePrro(DP)，SecurreFloww(SF)，每每臺(tái)設(shè)備簡(jiǎn)要要功能描述

40、如如下：DefenseePro實(shí)現(xiàn)現(xiàn)實(shí)時(shí)的攻擊防御如上圖所示，我我們建議在網(wǎng)絡(luò)接入處，部部署DefeensePrro，可以識(shí)別并實(shí)時(shí)抵御1600多種蠕蟲(chóng)蟲(chóng)、病毒、DDOS攻擊和異常的流流量模式，保保護(hù)內(nèi)部用戶和服務(wù)器的安全。同時(shí)，通過(guò)把端端口兩兩靜態(tài)態(tài)綁定，虛擬成多臺(tái)邏輯設(shè)設(shè)備，分別部署在核心心交換機(jī)和企業(yè)廣域網(wǎng)之間保護(hù)入侵和攻擊不致互相擴(kuò)散。使用一臺(tái)邏輯設(shè)設(shè)備部署在核核心交換機(jī)和AppDDirecttor之間，保護(hù)服務(wù)器群免受內(nèi)部辦公用戶的非法攻擊。使用多臺(tái)邏輯設(shè)設(shè)備部署在內(nèi)部辦公用戶的不同網(wǎng)段段（或者樓層層）之間，保證非法入侵和和攻擊不致擴(kuò)散到其它辦公網(wǎng)段段或者樓層。SecureFFlow

41、(SSF)實(shí)現(xiàn)各安全網(wǎng)網(wǎng)關(guān)的負(fù)載均均衡如上圖所示，我我們建議在多臺(tái)防火火墻和核心交換機(jī)之間，部署SecuureFloow，實(shí)現(xiàn)多臺(tái)防火火墻（最多1000臺(tái)）的負(fù)載均衡，防防火墻可以是不同同廠家，不同同型號(hào)，不同性能能，大大提供供防火墻的擴(kuò)擴(kuò)展性和可用用性。通過(guò)旁路部署各各安全網(wǎng)關(guān)設(shè)設(shè)備，SeccureFllow可以實(shí)現(xiàn)多臺(tái)IDS（最多多100臺(tái)）、cachee服務(wù)器、防病毒毒網(wǎng)關(guān)，URL過(guò)濾濾網(wǎng)關(guān)的負(fù)載均衡，這些安安全網(wǎng)關(guān)設(shè)備備可以是不同同廠家，不同同型號(hào)，不同性能能，大大提供供安全網(wǎng)關(guān)的擴(kuò)擴(kuò)展性和可用用性。Radwaree應(yīng)用解決方案部分簡(jiǎn)介我們建議的應(yīng)用用解決方案部分，包包括2款產(chǎn)品，Ap

42、pDDirecttor，AppXccel,每臺(tái)設(shè)備簡(jiǎn)要要功能描述如如下：AppDireector實(shí)實(shí)現(xiàn)服務(wù)器的負(fù)載均衡AppDireector位位于核心交換換機(jī)和各種IPP應(yīng)用服務(wù)器之間，主要實(shí)現(xiàn)所有基于于IP協(xié)議的各各種服務(wù)器的負(fù)載均衡功能能，通過(guò)部署AppDDirecttor,可以實(shí)現(xiàn)服務(wù)器業(yè)務(wù)的7*24不間斷的運(yùn)行和保證業(yè)務(wù)務(wù)的最佳服務(wù)器質(zhì)量，從而實(shí)現(xiàn)了服務(wù)器所承載的業(yè)務(wù)的100的高高可用性和高高性能。AppXcell實(shí)現(xiàn)SSLL加速和HTTTP（HTTPSS）頁(yè)面的加加速SSL加速功能能：AppXcell與AppDiirectoor配合，為為用戶提供SSSL加密加加速服務(wù)。利利用App

43、DDirecttor的負(fù)載載均衡可以使使Web服務(wù)器器擺脫密集型型處理的SSSL密鑰交換換和加密/解密功能。為應(yīng)用處理理釋放了服務(wù)務(wù)器資源，并并且使服務(wù)器器的投資發(fā)揮揮最大效益。HTTP（HTTTPS）頁(yè)頁(yè)面的加速AppXcell通過(guò)WEB壓縮和和HTTP連接接復(fù)用技術(shù)，大大大提升innterneet用戶對(duì)服服務(wù)器的訪問(wèn)問(wèn)速度。較大大地節(jié)省了iinternnet的接入入帶寬，大大大地降低了WWEB服務(wù)器器的處理資源源消耗。Radwaree技術(shù)介紹DefenseePro 實(shí)現(xiàn)入侵和和DOS攻擊的的實(shí)時(shí)防范DefenseePro 采采用了多層安安全架構(gòu)，分分別檢測(cè)和抵抵抗不同類(lèi)型型的攻擊，確確保只

44、有“清潔”流量進(jìn)入收收保護(hù)的區(qū)域域。Dosshieeld實(shí)現(xiàn)已已知攻擊工具具防范DefenseePro的DoSShiield模塊塊借助高級(jí)的的取樣機(jī)制和和基準(zhǔn)流量行行為監(jiān)測(cè)來(lái)識(shí)識(shí)別異常流量量，提供了實(shí)實(shí)時(shí)的、數(shù)千千兆位速度的的DoS防范。該機(jī)制會(huì)對(duì)照DDefenssePro 攻擊數(shù)據(jù)庫(kù)庫(kù)中的DoSS攻擊特征列列表（潛在攻攻擊）來(lái)比較較流量樣本。一旦達(dá)到了了某個(gè)潛在攻攻擊的激活閾閾值，該潛在在攻擊的狀態(tài)態(tài)就會(huì)變?yōu)镃Currenntly AActivee （當(dāng)前活活動(dòng)），這樣樣就會(huì)使用該該潛在攻擊的的特征文件來(lái)來(lái)比較各個(gè)數(shù)數(shù)據(jù)包。如果果發(fā)現(xiàn)匹配的的特征，相應(yīng)應(yīng)的數(shù)據(jù)包就就會(huì)被丟棄。如果沒(méi)有匹匹配的

45、特征，則則會(huì)將數(shù)據(jù)包包轉(zhuǎn)發(fā)給網(wǎng)絡(luò)絡(luò)。借助高級(jí)的取樣樣機(jī)制檢測(cè)DDoS 攻擊擊，DoSShiield只在在出現(xiàn)了嚴(yán)重重帶寬濫用的的情況下，才才會(huì)判斷攻擊擊的存在，它它會(huì)外科手術(shù)般地采用逐包過(guò)過(guò)濾除去攻擊擊流量。而當(dāng)當(dāng)攻擊不再活活躍時(shí)，DoS Shhield也也能檢測(cè)到相相應(yīng)狀態(tài)并停停止逐包過(guò)濾濾的操。這樣樣不僅可實(shí)現(xiàn)現(xiàn)完全的DooS和DDos防范能力，而而且還保持了了大型網(wǎng)絡(luò)的的高吞吐量。Dosshieeld的主要要優(yōu)勢(shì)：監(jiān)聽(tīng)和采樣機(jī)制制，只有在出出現(xiàn)嚴(yán)重攻擊擊時(shí)才采取防防范措施，保保證了大型網(wǎng)網(wǎng)絡(luò)的高性能能和高吞吐量量；基于特征碼的防防范策略，對(duì)對(duì)正常應(yīng)用無(wú)無(wú)影響，保持持了極低的誤誤判率。Do

46、S Shiield作為為第一道防范范體系，負(fù)責(zé)責(zé)在抵御已知知Floodd攻擊的同時(shí)時(shí)傳輸其他流流量，而這些些其他流量中中還可能包含含未知的新型型攻擊，它們們將由第二道道防范體系Behavviorall DoS 模塊來(lái)實(shí)現(xiàn)現(xiàn)防護(hù)。Behaviooral DDoS基于網(wǎng)網(wǎng)絡(luò)行為模式式實(shí)現(xiàn)自動(dòng)攻攻擊防范借助于先進(jìn)的統(tǒng)統(tǒng)計(jì)分析、模模糊邏輯和新新穎的閉環(huán)反反饋過(guò)濾技術(shù)術(shù)，Radwware BB-DoS 防范模塊能能夠自動(dòng)和提提前防范網(wǎng)絡(luò)絡(luò)Floodd攻擊和高速速自我繁殖的的病毒，避免免危害的發(fā)生生。Radwarees 自適適應(yīng)Behaavioraal DoSS防范模塊自自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)絡(luò)上的行為模模式，建立

47、正正常基準(zhǔn)，并并通過(guò)先進(jìn)的的模糊關(guān)系邏邏輯運(yùn)算判斷斷背離正常行行為的異常流流量。通過(guò)概概率分析，該該模塊使用一一系列提取自自數(shù)據(jù)包包頭頭和負(fù)荷的參參數(shù)，例如IID (paacket identtificaation numbeer), TTTL (TTime tto Livve), PPackett sizee, DNSS 查詢, Paacket Checkksum值等等共17 個(gè)參數(shù)數(shù)，來(lái)實(shí)時(shí)定定義即時(shí)異常常流量的特點(diǎn)點(diǎn)。為了避免免誤判而阻止止合法用戶的的正常流量，該該模塊還會(huì)采采用“與”“或”邏輯運(yùn)算來(lái)來(lái)盡量精確攻攻擊的防范策策略。所有上述流程都都由DefeensePrro自動(dòng)完成成，無(wú)需

48、人為為干預(yù)，能夠夠在數(shù)千兆位位的網(wǎng)絡(luò)環(huán)境境中精確防范范已知攻擊、Zero-day DDos/DDDos攻擊和和自我繁殖網(wǎng)網(wǎng)絡(luò)蠕蟲(chóng)。Behaviooral DDoS 防護(hù)護(hù)模塊的攻擊擊檢索機(jī)制即即不使用特征征碼，也不依依賴(lài)于用戶定定義的行為策策略和閥值。它還可以自自動(dòng)適應(yīng)網(wǎng)絡(luò)絡(luò)中的正常流流量變化，因因此它不會(huì)影影響網(wǎng)絡(luò)中的的正常應(yīng)用行行為。B-DoS 能能夠非常有效效的抑制以下下已知和未知知的攻擊：SYN FlooodTCP Flooods (Ack, Psh+AAck, FFin+Acck, Rsst flooods) UDP FlooodsDNS flooods (基于UDPP 53端口)U

49、DP Floood 和 ICMPP反向散射(uunreacchablee 信息) ICMP FlloodsIGMP Flloods Zero-Daay 高速自自我繁殖蠕蟲(chóng)蟲(chóng)(SQL Slammmer, BBlasteer, Weelchiaa, 等) Behaviooral DDoS的主要要優(yōu)勢(shì)：Zero-daay Doss/DDoss的未知攻擊擊防范，無(wú)需需認(rèn)為手工干干涉；對(duì)DoS攻擊的的完全防范，較較低的CPUU資源消耗；自適應(yīng)的行為判判別模式，將將誤判率降至至最低；完全自適應(yīng)功能能，無(wú)需策略略配置，無(wú)需需維護(hù)成本。入侵防范防范各各類(lèi)應(yīng)用攻擊擊為了確保DoSSShielld和Behavvi

50、orall DoS模模塊不會(huì)遺漏漏任何攻擊并并危害運(yùn)用戶戶網(wǎng)絡(luò)應(yīng)用的的關(guān)鍵應(yīng)用系系統(tǒng)，Raddware還還提供另一道道防護(hù)屏障入侵防范。通過(guò)對(duì)比入侵侵特征庫(kù)，DDefenssePro阻阻止攻擊數(shù)據(jù)據(jù)包來(lái)建立最最后一道屏障障。入侵特征庫(kù)羅列列一系列會(huì)對(duì)對(duì)網(wǎng)絡(luò)造成嚴(yán)嚴(yán)重破壞的應(yīng)應(yīng)用層攻擊，通通常包括在IInternnet上近期期出現(xiàn)和爆發(fā)發(fā)的濫用帶寬寬資源的攻擊擊，NetSSky,、Baglee、Mytobb、Blackkmal、Soberr等蠕蟲(chóng)以及及它們的變種種都在其中。DefennseProo會(huì)對(duì)數(shù)據(jù)包包進(jìn)行逐一檢檢查，并根據(jù)據(jù)惡意攻擊模模式執(zhí)行特征征比較。它可可以識(shí)別Raadwaree安全

51、數(shù)據(jù)庫(kù)庫(kù)中的1600多種攻擊擊特征。為了了防范新的攻攻擊形式，數(shù)數(shù)據(jù)庫(kù)會(huì)不斷斷被更新。對(duì)對(duì)于未知形式式的攻擊，可可以使用協(xié)議議異常檢查功功能來(lái)檢測(cè)。通過(guò)檢查協(xié)協(xié)議的異常性性，可以檢測(cè)測(cè)異常的數(shù)據(jù)據(jù)包碎片，而而這大多數(shù)情情況下標(biāo)識(shí)了了惡意活動(dòng)?？焖俚墓籼卣髡鞅容^為了支持?jǐn)?shù)千兆兆位的特征掃掃描速度，DefennseProo專(zhuān)門(mén)采用了了基于ASIIC的強(qiáng)大加加速器 StrinngMatcch EnggineTMM。StrinngMatcch Enggine支持持并行的特征征搜索操作，可對(duì)照特征征數(shù)據(jù)庫(kù)進(jìn)行行高速的檢測(cè)測(cè)和數(shù)據(jù)包比比較。同使用用Intell Penttium 44 CPU進(jìn)進(jìn)行串行特

52、征征搜索相比，其字符串搜搜索速度提高高了300倍。實(shí)時(shí)抑制攻擊當(dāng)檢測(cè)到惡意活活動(dòng)時(shí)，DefennseProo可能以任何何組合形式立立即執(zhí)行以下下的這些操作作：丟棄數(shù)據(jù)包包、重置連接接以及向管理理位置發(fā)送報(bào)報(bào)告。這樣就就為該設(shè)備之之后的應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和和其它網(wǎng)絡(luò)資資源提供了全全面保護(hù)，以以免它們?cè)獾降饺湎x(chóng)、病毒毒和其它形式式的攻擊。入侵防范的主要要優(yōu)勢(shì)：基于特征的入侵侵識(shí)別，能夠夠準(zhǔn)確地識(shí)別別和抑制攻擊擊；專(zhuān)用的硬件加速速器，確保了了告訴的檢測(cè)測(cè)和防范以及及網(wǎng)絡(luò)吞吐量量。帶寬管理在提供強(qiáng)大的安安全功能同時(shí)時(shí)，DefeensePrro 的帶寬寬管理功能。DefennseProo能夠根據(jù)網(wǎng)

53、網(wǎng)絡(luò)數(shù)據(jù)包的的源/目的地址、應(yīng)用端口和和內(nèi)容（IPP headder或IPP Dataa）區(qū)分流量量，還可以限限制相同用戶戶的并發(fā)會(huì)話話和每個(gè)會(huì)話話的帶寬，從從而阻止和控控制各種流量量的帶寬應(yīng)用用。其它安全相關(guān)功功能除了上述四個(gè)功功能模塊外，DDefenssePro還還提供以下功功能：黑白名單（Bllack aand Whhite LList）訪問(wèn)控制列列表Syn Floood防范為了提供全全面的SynnFloodd攻擊防范能能力，除了Dossshieldd和Behavviorall Dos之之外，DeffensePPro采用SSynCoookie技術(shù)術(shù)基于源地址址監(jiān)視來(lái)發(fā)現(xiàn)現(xiàn)惡意攻擊源源，并

54、提供多多重級(jí)別的防防范措施。異常流量（Annomaliies）防范范為了逃避安安全設(shè)備的檢檢查，黑客通通常會(huì)采用拆拆包并將攻擊擊分成多個(gè)數(shù)數(shù)據(jù)包碎片傳傳輸。此類(lèi)攻攻擊被稱(chēng)作AAnomallies。針對(duì)此類(lèi)攻擊，DDefenssePro提提供了也體動(dòng)動(dòng)相應(yīng)的防范范能力：異常協(xié)議類(lèi)；Buffer Overfflow類(lèi)；HTTP碎片類(lèi)類(lèi)狀態(tài)檢測(cè)（Sttatefuul insspectiion）DDefenssePro提提供針對(duì)協(xié)議議濫用等攻擊擊，提供狀態(tài)態(tài)檢測(cè)攻擊防防范能力，可可以防范的攻攻擊例如：TCP Flooodingg：SYN-AACK (反反射攻擊), TCP數(shù)數(shù)據(jù)包風(fēng)暴；Stealthh

55、 掃描：通通過(guò)發(fā)送TCCP finn / rsst /acck / ssyn-fiin數(shù)據(jù)包，以以圖發(fā)現(xiàn)開(kāi)放放的端口；DNS repply flloodinng：使用大量的的DNS響應(yīng)應(yīng)數(shù)據(jù)包攻擊擊服務(wù)器；ICMP Eccho reeply ffloodiing：使用大量的的echo replyy數(shù)據(jù)包攻擊擊服務(wù)器（SSmurf）；防掃描（AnttiScaanningg）黑客在發(fā)發(fā)起攻擊之前前，通常會(huì)試試圖確定目標(biāo)標(biāo)上開(kāi)放的TTCP/UDDP端口，而而一個(gè)開(kāi)放的的端口通常意意味著某種應(yīng)應(yīng)用，操作系系統(tǒng)或者后門(mén)門(mén)。DefeensePrro提供此類(lèi)類(lèi)探測(cè)的防范范能力。DefenseePro的安安全

56、報(bào)告當(dāng)DefenssePro檢檢測(cè)到攻擊時(shí)時(shí)，它會(huì)將該該安全事件報(bào)報(bào)告。在報(bào)告告中包含有全全面的流量信信息，比如源源IP地址和目目標(biāo)IP地址、TCPP/UDP 端口號(hào)、物物理接口以及及攻擊的日期期和時(shí)間。可可以使用設(shè)備備日志文件和和報(bào)警表格在在內(nèi)部記錄安安全事件信息息，或者通過(guò)過(guò)系統(tǒng)日志渠渠道、SNMMP 陷阱或或電子郵件將將安全事件信信息發(fā)送到外外部。還可以根據(jù)網(wǎng)絡(luò)絡(luò)中的實(shí)時(shí)安安全狀況，以以雷達(dá)圖的方方式提供當(dāng)前前的攻擊嚴(yán)重重程度以及數(shù)數(shù)量等信息。LinkProoof 鏈路路優(yōu)選方案LinkProoof能夠同同時(shí)實(shí)現(xiàn)雙向向（Inboound和OOutbouund）流量量在多條鏈路路上的負(fù)載均

57、均衡的。鏈路健康狀況檢檢查：LP可可以采用多種種方式判斷鏈鏈路的健康狀狀況，例如PPing（全全鏈路健康檢檢查），以及及通過(guò)檢查多多個(gè)Inteernet目目標(biāo)來(lái)共同判判斷鏈路狀況況。Inboundd流量處理方方面主要利用用了DNS和和SmarttNAT技術(shù)術(shù)；Outbounnd流量處理理主要利用了了SmarttNAT技術(shù)術(shù)。鏈路健康檢測(cè)LinkProoof會(huì)通過(guò)過(guò)多種方式檢檢測(cè)兩條鏈路路的健康狀況況，一旦發(fā)現(xiàn)現(xiàn)其中一條鏈鏈路故障，會(huì)會(huì)立即將所有有用戶流量定定向至其它可可用鏈路，從從而實(shí)現(xiàn)Innterneet連接的高高可用性。主主要的方法有有：全路徑健康檢查查為了確保ISPP鏈路的暢通通，Lin

58、kkProoff將采用Piing的方法法，不僅僅檢檢查和其相連連的路由器的的端口是否可可達(dá)，還可以以檢查該鏈路路后續(xù)路由節(jié)節(jié)點(diǎn)的連通性性（10跳），已已確保整個(gè)路路徑的暢通。注：該方法要求求ISP的鏈鏈路對(duì)ICMMP開(kāi)放。高級(jí)健康檢查針對(duì)所有的網(wǎng)絡(luò)絡(luò)環(huán)境（包括括禁止ICMMP的ISPP），LinnkProoof提供了豐豐富的477層檢查方式式，并可以通通過(guò)多種檢查查結(jié)果的“與”和“或”運(yùn)算結(jié)果，最最終準(zhǔn)確判斷斷鏈路的健康康狀況。例如如：通過(guò)CNNC的路徑，同同時(shí)檢查 HYPERLINK m 和 HYPERLINK http:/www.ssina.ccom 的880端口，并并將檢查結(jié)果果做“或”

59、運(yùn)算，只要要一個(gè)檢查通通過(guò)即可判斷斷CNC鏈路路正常。避免免了某網(wǎng)站故故障導(dǎo)致鏈路路狀態(tài)誤判的的可能性。流入（Inboound）流流量處理LinkProoof需要客客戶配合將域域名的解析功功能導(dǎo)向到LLinkPrroof，由由LinkPProof來(lái)來(lái)進(jìn)行域名的的解析。這樣樣當(dāng)遠(yuǎn)程通過(guò)過(guò)域名訪問(wèn)企企業(yè)網(wǎng)時(shí)，逐逐步通過(guò)遠(yuǎn)程程用戶的本地地DNS服務(wù)務(wù)器、根DNNS服務(wù)器，最最終由LinnkProoof來(lái)進(jìn)行域域名的解析。此時(shí)LinnkProoof就會(huì)通過(guò)過(guò)靜態(tài)列表或或者動(dòng)態(tài)判斷斷算法，選擇擇最優(yōu)的線路路，然后將域域名解析成相相應(yīng)線路的IIP地址。例如：當(dāng)某個(gè)網(wǎng)網(wǎng)通的遠(yuǎn)程用用戶訪問(wèn)企業(yè)業(yè)網(wǎng)時(shí)，首先先向

60、他當(dāng)?shù)氐牡腄NS服務(wù)務(wù)器發(fā)起域名名解析的請(qǐng)求求，再通過(guò)他他接入運(yùn)營(yíng)商商的根DNSS服務(wù)器，最最終總歸會(huì)向向LinkPProof請(qǐng)請(qǐng)求DNS解解析，此時(shí)LLinkPrroof就會(huì)會(huì)通過(guò)靜態(tài)列列表或者動(dòng)態(tài)態(tài)判斷算法，選選擇最優(yōu)的線線路（網(wǎng)通），然然后將域名解解析成網(wǎng)通線線路的IP地地址（2188.x.x.1）。這樣樣遠(yuǎn)程的網(wǎng)通通用戶就會(huì)使使用網(wǎng)通的目目標(biāo)IP地址址，通過(guò)網(wǎng)通通的線路進(jìn)行行訪問(wèn)，實(shí)現(xiàn)現(xiàn)了訪問(wèn)時(shí)鏈鏈路方面的負(fù)負(fù)載均衡優(yōu)化化。下面以 HYPERLINK http:/www.radwaare.coom www.radwaare.coom為例，描描述Inboound流量量處理的過(guò)程程。假設(shè)圖