您现在的位置: [2007-12-12 13:52:24] 关键字:视频监控,视频通信,视频会议
1. 运营商网络现状简述
一个典型的运营商的网络拓扑结构大致由3 部分组成:
在运营商网络中存在很多网络设计上的缺陷,
1.1 网络安全防护存在的缺陷
网络安全设备的单点失效性:
单一的网络安全设备存在单点失效性,例如:图中的防火墙和防病毒设备一旦出现问题,将造成整个网络的瘫痪;
网络安全设备性能的瓶颈:
网络安全设备由于要对进出网络的数据包进行安全性检查,与网络路由器和网络交换机相比,性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有3-10Mbps。因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。
安全体系架构存在漏洞:
防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制,并且可以对基于状态的协议进行协议状态检查,因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如:
IDS可以对网络中的数据包进行深入的分析,可以检查到资料包中第7层的信息,它具备随时对可疑流量进行检查和识别的能力。但是IDS最大的问题是IDS并不能阻止攻击的入侵,仅仅能发出告警,而此时网络攻击已经进入到网络内部。
目前我们面临着手段各异形式多样的混合式攻击威胁,这些攻击中应用级层的攻击占了绝大多数,为了抑制这些攻击,Gartner建议"在作出安全方面的决策时除了考虑简单的静态协议过滤外,还要考虑对应用内容(网络七层中的攻击特征)进行深入的数据包检查,并阻挡该攻击"。
1.2 网络应用存在的缺陷
网络应用的可靠性较差:
应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7x24 小时的持续性服务。
网络应用的性能瓶颈:
在网络应用系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。
网络应用的安全性较差:
从上图中可以看出现有网络中的安全性防护机制的特点是:
2. Radware 解决方案
2.1 Radware解决方案介绍
该解决方案从功能上分为2个部分:
2.1.1 Radware安全解决方案部分简介
我们建议的安全解决方案部分,包括3款产品,DefensePro,SecureFlow,CID,每台设备简要功能描述如下:
DefensePro实现实时的攻击防御
我们建议在网络接入处,部署DefensePro,可以识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式,保护内部用户和服务器的安全。
同时,通过把端口两两静态绑定,虚拟成多台逻辑设备,分别部署在核心交换机和运营商广域网之间保护入侵和攻击不致互相扩散。
使用一台逻辑设备部署在核心交换机和AppDirector之间,保护服务器群免受内部办公用户的非法攻击。
使用多台逻辑设备部署在内部办公用户的不同网段(或者楼层)之间,保证非法入侵和攻击不致扩散到其它办公网段或者楼层。
SecureFlow实现防火墙的负载均衡和IDS的负载均衡
如上图所示,我们建议在多台防火墙和核心交换机之间,部署SecureFlow,配合LinkProof实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
同时可以实现多台IDS(最多100台)的负载均衡,IDS可以是不同厂家,不同型号,不同性能,大大提供IDS的扩展性和可用性。
CID实现cache服务器、防病毒网关,URL过滤网关的负载均衡
CID位于SecureFlow和核心交换机之间,与组织内原有的Cache,防病毒网关,URL过滤网管等内容检测安全设备协同提高服务质量。
一方面把如上设备由inline方式改名为CID的旁路方式,减少了网络的单点故障。
另一方面,CID实现对多台设备的负载均衡,保证了该类网络设备的高可用性,高扩展性和高性能。
WAF实现应用防火墙的保护
Web应用防火墙,深度检测承载在Web上的应用,认证每一个应用的行为及应用协议的合法性。
2.1.2 Radware应用解决方案部分简介
我们建议的应用解决方案部分,包括2款产品,AppDirector,AppXcel,每种设备简要功能描述如下:
AppDirector实现服务器的负载均衡
AppDirector位于核心交换机和各种IP应用服务器之间,主要实现所有基于IP协议的各种服务器的负载均衡功能,通过部署AppDirector,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量,从而实现了服务器所承载的业务的100%的高可用性和高性能。
AppDirector可以实现Radius和DHCP服务器的全局负载均衡解决方案,这个解决方案充分与应用结合,是业界唯一提供解决方案的厂家。
AppXcel实现SSL加速和HTTP(HTTPS)页面的加速
SSL加速功能:
AppXcel与AppDirector配合,为用户提供SSL加密加速服务。利用AppDirector 的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源,并且使服务器的投资发挥最大效益。
HTTP(HTTPS)页面的加速
AppXcel通过WEB压缩和HTTP连接复用技术,大大提升internet用户对服务器的访问速度。较大地节省了internet的接入带宽,大大地降低了WEB服务器的处理资源消耗。
WAF实现应用防火墙的保护
Web应用防火墙,深度检测承载在Web上的应用,认证每一个应用的行为及应用协议的合法性。
3. Radware 解决方案的主要优势
3.1 DefensePRO的解决方案的优势
从防火墙、VPN 网关、IDS 到防病毒网关,安全市场集结了各式各样的安全工具。但是,目前应用级层的攻击在当今的网络攻击中占了绝大多数,为了抑制这些攻击,需要千兆位元的实时防御入侵和DOS攻击的IPS设备。
作为业界领先的实时防御设备,Radware的DefensePRO与其它同类IPS的解决方案相比,有如下优势:
高性能
DefensePRO是业内唯一提供6Gbps性能的安全产品
部署简便
简单的嵌入式安装-,借助DefensePro 的透明性,可将它无缝地集成到任何网络环境中,从而不必对网络设置、网络拓扑进行任何更改即可实现实时保护。
DefensePRO的业务端口不设置IP地址,相当于一条智慧电缆,这种透明性保证了设备自身的安全性,因为用户无法了解网络中是否有该设备。所以也就无法对DefensePRO本身实施攻击。
总结
安全市场需要一种能用数千兆位元的速度对所有网络流量进行双向扫描并且可以实时防范应用级别攻击(比如蠕虫、病毒、木马和Dos 攻击)的内置安全解决方案,无疑已成为当务之急。Radware 看到了这种需求。
作为首个可针对实时隔离、拦截和防范各种攻击提供数千兆位的数据包深入检查速度和特征比较速度的安全交换机,DefensePro 满足了这种需求。
3.2 Radware CID解决方案的优势
高可用性
1.高可用性的内容检查功能
高性能
1.千兆位元速度的防病毒服务。
2.内容预选功能
 网友评论: (只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
| 发表评论: |
相关阅读