RADWARE针对企业用户的

1、RADWARE针对企企业用户的整体解决方案以色列Radware有有限公司北京代表表处2007年1月目录TOC o 1-3 h z u HYPERLINK l _Toc 一、行业背景 PAGEREF _Toc h 4j。 HYPERLINK l _Toc 二、企业用户网络应应用现状 PAGEREF _Toc h 5c。 HYPERLINK l _Toc 2企业网络应用现状简述述 PAGEREF _Toc h 52。 HYPERLINK l _Toc 2.1广域网链路现现状 PAGEREF _Toc h 6a。 HYPERLINK l _Toc 2.2网络安全防护护现状 PAGEREF _Toc

2、h 7q。 HYPERLINK l _Toc 2.3网络应应用现状 PAGEREF _Toc h 87。 HYPERLINK l _Toc 3企业网络中存在的缺陷陷 PAGEREF _Toc h 8y。 HYPERLINK l _Toc 3.1广域网链路存存在的缺陷 PAGEREF _Toc h 9H。 HYPERLINK l _Toc 3.2网络安全防护护存在的缺陷 PAGEREF _Toc h 10C。 HYPERLINK l _Toc 3.3网络应用存在在的缺陷 PAGEREF _Toc h 11L。 HYPERLINK l _Toc 三、企业网络应用需需求分析 PAGEREF _Toc

3、 h 12B。 HYPERLINK l _Toc 1广域网链路需求分析 PAGEREF _Toc h 120。 HYPERLINK l _Toc 2网络安全防护需求分析析 PAGEREF _Toc h 13X。 HYPERLINK l _Toc 3网络应用需求分析 PAGEREF _Toc h 14t。 HYPERLINK l _Toc 四、Radware解解决方案 PAGEREF _Toc h 16h。 HYPERLINK l _Toc 1.Radware公公司简介 PAGEREF _Toc h 16t。 HYPERLINK l _Toc 2Radware解决方方案介绍 PAGEREF _T

4、oc h 18A。 HYPERLINK l _Toc 2.1Radware解解决方案拓扑图 PAGEREF _Toc h 18V。 HYPERLINK l _Toc 2.2Radware解解决方案简介 PAGEREF _Toc h 195。 HYPERLINK l _Toc 2.2.1Radware连连接解决方案部分分简介 PAGEREF _Toc h 20a。 HYPERLINK l _Toc 2.2.2Radware安安全解决方案部分分简介 PAGEREF _Toc h 21T。 HYPERLINK l _Toc 2.2.3Radware应应用解决方案部分分简介 PAGEREF _Toc

5、h 23f。 HYPERLINK l _Toc 3Radware技术介介绍 PAGEREF _Toc h 24s。 HYPERLINK l _Toc 3.1DefensePro 实现入侵和DOS攻击的实时时防范 PAGEREF _Toc h 24p。 HYPERLINK l _Toc 3.1.1Dosshield实现已知攻击工具防范 PAGEREF _Toc h 249。 HYPERLINK l _Toc 3.1.2Behavioral DoS基于网络络行为模式实现自自动攻击防范 PAGEREF _Toc h 25s。 HYPERLINK l _Toc 3.1.3入侵防范范防范各类应用攻攻击

6、PAGEREF _Toc h 27a。 HYPERLINK l _Toc 3.1.4带宽管理理 PAGEREF _Toc h 28F。 HYPERLINK l _Toc 3.1.5其它安全全相关功能 PAGEREF _Toc h 28f。 HYPERLINK l _Toc 3.1.6DefensePro的安全报告 PAGEREF _Toc h 29m。 HYPERLINK l _Toc 3.2LinkProof 链路优选方案 PAGEREF _Toc h 30e。 HYPERLINK l _Toc 3.2.1链路健康康检测 PAGEREF _Toc h 30w。 HYPERLINK l _To

7、c 3.2.2流入（Inbound）流流量处理 PAGEREF _Toc h 31h。 HYPERLINK l _Toc 3.2.3流出（Outbound）流量处理 PAGEREF _Toc h 32J。 HYPERLINK l _Toc 3.2.4独特优势势-“就近性”运算 PAGEREF _Toc h 337。 HYPERLINK l _Toc 3.3SecureFlow对防御系统进行中央管理 PAGEREF _Toc h 34M。 HYPERLINK l _Toc 3.3.1保证各安安全工具的高可用用性 PAGEREF _Toc h 348。 HYPERLINK l _Toc 3.3.2

8、提升各安安全工具的处理性性能 PAGEREF _Toc h 35k。 HYPERLINK l _Toc 3.3.3统一和可升级的的安全体系结构 PAGEREF _Toc h 358。 HYPERLINK l _Toc 3.4AppDirector-实现服务器负载载均衡 PAGEREF _Toc h 35S。 HYPERLINK l _Toc 3.4.1健康状况况检查 PAGEREF _Toc h 36T。 HYPERLINK l _Toc 3.4.2交易完整性的可可靠保证 PAGEREF _Toc h 36k。 HYPERLINK l _Toc 3.4.3完全的容容错与冗余 PAGEREF _

9、Toc h 36H。 HYPERLINK l _Toc 3.4.4通过正常常退出服务保证稳稳定运行 PAGEREF _Toc h 36P。 HYPERLINK l _Toc 3.4.5智能的服务器服服务恢复 PAGEREF _Toc h 37H。 HYPERLINK l _Toc 3.4.6通过负载载均衡优化服务器器资源 PAGEREF _Toc h 37N。 HYPERLINK l _Toc 3.4.7应用交换换 PAGEREF _Toc h 37U。 HYPERLINK l _Toc 3.4.8URL交交换 PAGEREF _Toc h 37E。 HYPERLINK l _Toc 3.4.

10、9内容交换换 PAGEREF _Toc h 375。 HYPERLINK l _Toc 3.5AppXcel 智能应用加速 PAGEREF _Toc h 37B。 HYPERLINK l _Toc 3.5.1SSL加加速 PAGEREF _Toc h 38U。 HYPERLINK l _Toc 3.5.2集中处理理多设备应用程序序和SSL协议管理 PAGEREF _Toc h 38P。 HYPERLINK l _Toc 3.5.3TCP 优化 PAGEREF _Toc h 39K。 HYPERLINK l _Toc 3.5.4多路HTTP/s协议 PAGEREF _Toc h 397。 HYP

11、ERLINK l _Toc 3.5.5高速缓存存 PAGEREF _Toc h 39w。 HYPERLINK l _Toc 3.5.6http压缩 PAGEREF _Toc h 39L。 HYPERLINK l _Toc 3.5.7数据压缩缩 PAGEREF _Toc h 40u。 HYPERLINK l _Toc 五、Radware整整体解决方案的优优势 PAGEREF _Toc h 41X。RADWARE针对企企业用户的整体解决方案行业背景人类社会在进入80年年代以来，以现代代通信技术与计算算机、网络技术引引导的技术革命取取得了巨大的成功功。基于Internet及及Intranet技技术得

12、到了普遍的的应用。大大地推推动了全球信息化化的进程，改变了了人类传统的生产产和生活方式。促促进了知识经济的的成长，加快了世世界经济一体化进进程。对信息的掌掌握、利用与传播播成为影响生产力力发展水平和综合合国力增强的关键键因素，信息化程程度已成为国家发发展潜力和发展水水平的重要标志。然然而一个国家信息息化的程度如何最最终体现在企业信信息化的程度。因因为企业才是财富富最终的创造者。也也就是说，企业信信息化的程度是衡衡量一个国家信息息化水平高低的一一个最重要的标志志。 r。所谓企业信息化是指“企业利用现代信信息技术手段，在在生产、经营、管管理过程中，有效效地开发、利用信信息资源的过程”。实现企业信息

13、息化，就是企业充充分运用通讯、计计算机和网络技术术等现代信息技术术与装备，采集、加工、处理、传传递和贮存信息，对对信息资源进行有有效地开发与利用用。企业能否有效效地开发利用信息息、优化信息资源源的配置，决定着着企业管理效率高高低、整体素质优优劣和竞争优势强强弱。开展企业信信息化有利于企业业实现信息资源的的共享、有利于加加强企业的管理、决策、运营的现现代化与信息化。R。近年来，很多企业都建建立了与互联网相相连的企业内部网网（专网），大大大促进了我国的企企业信息化进程。随着中国市场逐步开放，许多国内企业走出国门谋求更大的市场空间。在网络信息技术高速发展的今天，企业信息网络是否高效、畅通、安全在很大

14、程度上影响企业的生产、销售、管理等各个环节。对于现代企业来说，及时了解客户的需求和市场动态非常重要，建立一个高效、可靠的企业信息网络就显得尤为迫切。F。企业网内的应用大致包包括如下内容：企业不同部门之间的文文件资源共享、打打印共享；收发电子邮件、网络传传真，召开视频、网络电话会议最最大限度降低办公公成本；a。企业自有的办公OA 系统、ERP、CRM 等信息息管理系统；企业建立自己的门户网网站，通过网络宣宣传企业或开展电电子商务。然而，就在我们得益于于现代网络通信技技术给我们带来便便利的同时，我们们也体会到了网络络给我们带来的灾灾难。来自外部的的蓄意攻击、计算算机病毒的侵袭、和来自商业间谍谍对信

15、息数据的窃窃取、破坏使我们们防不胜防；网络络安全问题得到了了普遍的重视。如如何为企业用户提提供一个安全、稳稳定的网络应用平平台已成为一个日日益突出的问题。w。Radware公司针针对日益突出的网网络安全问题推出出了一系列网络安安全产品。 旨在在推动我国网络安安全事业的发展，为为我国的信息网络络保驾护航。为广广大的网络用户提提供一个安全、稳稳定的网络应用平平台。本方案就是是针对我国企业用用户提供的一套整整体解决方案。K。企业用户网络应用现状状企业网络应用现状简述述一个典型的企业的网络络拓扑结构图如下下图所示：可以看出上述典型的企企业网络大致由3 部分组成：网络连接部分网络安全部分网络应用部分下面

16、我们就这三部分做做简要描述：广域网链路现状网络连接部分还可以分分为Internet连接部分和专网连接部分：W。Internet连接接部分Internet连接接部分是指企业网络数据中心心通过ISP运营商的链链路连接到Internet，用于企业对外的网上公共信息发布、为Internet用户提供企业网上应用，同时企业内部用户也可以访问Internet上的资源；W。专网连接部分专网连接部分用于企业业网络连接各地分分支机构。分支机构的内部用户通通过专网连接访问问数据中心的应用用服务器，例如：WEB服务器，E-Mail服务器等等，同时也可以通通过数据中心的Internet链路访问Internet上的资源。

17、z。网络安全防护现状网络安全部分通常由防防火墙、入侵检测测系统（IDS）和防病毒毒网关等设备构成，用于于制定内部信息资资源的不同访问策策略，保护数据中中心的应用免受来来自Internet的网络攻击。g。网络应用现状网络应用由企业对外WWW信息发布系系统，业务应用系系统和后台数据库库系统组成b。企业网络中存在的缺陷陷从上图中可以看出，在在企业网络中存在很很多网络设计上的的缺陷，总结起来来可以分为以下三三个部分的问题：0。网络连接部分存在的问问题网络安全部分存在的问问题网络应用部分存在的问问题下面我们就这三部分存存在的问题做详细细描述：广域网链路存在的缺陷企业网络连接部分存在在的问题可以分为为以下

18、两部分：企业中央机构Internet链路存在的问题：各分支机构到中央机构构之间广域网链路路存在的问题：企业中央机构Internet链路存在的问题：链路的单点失效性：采用单一Internet连接链路存在单点失效性，一旦该链路出现故障将造成整个网络的瘫痪；0。链路性能的瓶颈：单一Internet连接链路的带宽资源是有限的，无法满足企业内部全体用户对网络访问Internet时带宽不断增长的需求，同时也无法大量的Internet上的用户对企业的访问；v。访问快慢不一内部用户访问internet资资源时，或外部用用户访问企业发布布的内部资源时，会会受到ISP提供供商的不同，而产产生访问快慢不一一的现像。

19、例如：如果企业采用的的ISP是通过网网通接入的，在访访问处于电信的资资源时，会由于不不同ISP之间互互连互通的问题造造成访问变慢，而而访问网通资源时时，就不会存在问问题。5。网络安全防护能力弱：目前Internet上的各种各样的网络攻击层出不穷，路由器自身对网络攻击的防护能力非常有限，DOS/DDOS 网络攻击会对广域网络由器产生严重的影响；c。各分支机构到中央机构构之间广域网链路路存在的问题：链路的单点失效性：各省级机关到中央机构之之间采用单一广域域网链路，存在单单点失效性，一旦旦该链路出现故障障将造成该省级机机关无法访问中央机构构和Internet；U。链路性能的瓶颈：各省级机关到中央机构

20、之之间采用低速的广广域网链路（Frame Relay，DDN），而各分分支机的用户访问问中心的应用服务务器的网络流量，以以及各分支机的用用户访问Internet的网络流量都要要经过这条单一的的广域网链路，因因此无法满足用户户对网络带宽不断断增长的需求；W。网络安全防护能力弱：各省级机关中收病毒感染染的机器会向中央央机构发送攻击数数据包，造成各省省级机关到中央机构之间的链链路拥塞，从而影影响网络中的关键键应用的正常运行行n。网络安全防护存在的缺陷网络安全设备的单点失失效性：单一的网络安全设备存存在单点失效性，例例如：图中的防火火墙和防病毒设备备一旦出现问题，将将造成整个网络的的瘫痪；k。网络安全

21、设备性能的瓶瓶颈：网络安全设备由于要对对进出网络的数据据包进行安全性检检查，与网络路由由器和网络交换机机相比，性能通常常会降低很多，例例如防病毒设备的的网络吞吐量通常常只有310Mbps。因因此网络中的安全全设备通常都是制制约网络传输速度度的瓶颈点。S。安全体系架构存在漏洞洞：防火墙可以基于网络中中的TCP、UDP端口对网络络流量进行访问控控制，并且可以对对基于状态的协议议进行协议状态检检查，因此防火墙墙通常是在网络第第四层上对用户的的网络进行保护。但但是防火墙无法对对基于网络七层中中的网络攻击进行行防护例如： G。蠕虫入侵病毒入侵。后门攻击。IDS可以对网络中的的数据包进行深入入的分析，可以

22、检检查到资料包中第第7层的信息，它具具备随时对可疑流流量进行检查和识识别的能力。但是是IDS最大的问题题是IDS并不能阻止止攻击的入侵，仅仅仅能发出告警，而而此时网络攻击已已经进入到网络内内部。O。目前我们面临着手段各各异形式多样的混混合式攻击威胁，这这些攻击中应用级级层的攻击占了绝绝大多数，为了抑抑制这些攻击，Gartner建建议“在作出安全方面面的决策时除了考考虑简单的静态协协议过滤外，还要要考虑对应用内容容（网络七层中的的攻击特征）进行行深入的数据包检检查，并阻挡该攻攻击”。e。因此，企业在面临多种种多样的攻击威胁胁时，急需找到更更严密的安全防护护手段。o。网络应用存在的缺陷网络应用的可

23、靠性较差差：应用服务器由于服务器器硬件的稳定性、流量压力超载、网络攻击等情况况经常会出现意外外宕机的情况，从从而无法保证网络络应用的7x24 小时的持续性服服务。U。网络应用的性能瓶颈：在网络应用系统中，通通常会采用多台服服务器同时提供服服务的方式。但是是由于网络中的流流量并不均衡，因因此经常会出现某某台服务器由于访访问量过大而宕机机，造成网络应用用性能的不稳定，从从而影响到整个网网络应用系统的性性能。 5。网络应用的安全性较差差：从上图中可以看出现有有网络中的安全性性防护机制的特点点是：现有的安全性防护机制制通常是针对来自自外网的攻击；缺乏针对来自内网的攻攻击防护机制；现有的安全性防护机制制

24、通常是针对整体体网络层面的攻击击防护，即针对网网络IP层、TCP/UDP层层的网络4层以下的攻击防防护；e。缺乏针对具体的、特定定的企业网络应用的特特点而专门制定的的符合企业网络应用的基基于网络7层防护的安全性性防护机制；T。企业网络应用需求分析析广域网链路需求分析网络连接方面的需求多链路负载均衡衡技术企业在网络连接方面的的需求可以分为以以下两部分：中央机构Internet网络连接方面的需求各省级机关到中央机构之之间网络连接方面面的需求中央机构Internet网络连接方面的需求目前在国内由于多家ISP的竞争，Internet 接入链路的成本本大幅降低，多链链路Internet的接入已成为许多用

25、户在的选择网络连接方面的需求。因此在中央机构Internet网络连接方面,企业网络将存在如下要求：X。提高Internet网络链路的可用性：建议企业采用接入多个个ISP的方式提提高可用性，而当当企业网络中心具有有多条Internet链路后，应提高Internet网络链路可用性的智慧检查能力，防止出现由于某一条Internet链路的失效造成整体网络的不可访问。O。提高Internet链路的网络吞吐量：提高网络中心的Internet网络链路的吞吐量，申请多条Internet链路l。提高Internet网络链路的抗网络攻击的能力：Internet上的的各种各样的网络络攻击首先影响的的将会是Inter

26、net网络链路，因此应加强在Internet链路上的攻击防护。q。各省级机关到中央机构之之间网络连接方面面的需求目前各省级机关到中央央机构之间通常采采用Frame Relay或DDN等昂贵的专专线广域网链路，而而目前国内运营商商可以提供相对高高速同时价格便宜宜的Internet 接入链路，例如如： ADSL，因此此企业网络存在入下下要求：3。提高省级机关到中央机机构的广域网链路路的可用性：如果各地省级机关与中中央机构之间存在在多条链路，应注注意提高省级机关关到中央机构的广域网网链路可用性的智智慧检查，防止出出现由于某一条链链路的失效造成整整个省级机关无法访问问到中央机构。D。增加省级机关到中央

27、机机构的链路，增加加带宽，同时降低低省级机关与中央机构之间广域域网链路的成本：4。利用运营商提供的低价价、高速链路，在在各地省级机关与中央机构之间增加加链路带宽，设法法降低减轻各地省省级机关与中央机构之间专线线的流量压力，降降低广域网链路的的成本C。提高各个省级机关的网网络安全防护能力力：在各个省级机关的广域域网出口和Internet出口的位置增加网络安全防护的能力，以保证各省级机关的网络安全，同时可以保证一旦某个省级机关内部的用户受到网络攻击的侵袭，那么该网络攻击不会扩散到中央机构，以及其它省级机关。Q。网络安全防护需求分析析网络安全方面的需求防火墙、IDS、防病毒设设备负载均衡技术术的需求

28、M。为了保证企业的网络在在网络安全防护方方面的高可用性、高性能和安全性性，企业在网络安全方方面的需求可以分分为以下几部分：2。提高网络安全设备的可可用性：网络中应具备安全设备备的的可用性检查查，避免单一的网网络安全设备的单单点失效性。O。提高网络安全设备性能能：在网络中采用多台网络络安全设备，避免免网络安全设备带带来的瓶颈，提高高网络传输速度。f。完善网络安全体系架构构：现今，各种各样的网络络攻击层出不穷，导导致防火墙的负荷荷在不断提高，再再相对于网络物理理带宽的大幅度提提高，防火墙逐渐渐成为了网络的瓶瓶颈，本案希望使使用一组（2个以上）防火墙墙采用负载均衡技技术提供安全服务务，以提升性能。6

29、。网络安全方面的需求具备深层检测、高性能的安全防防护设备需求当前的黑客攻击，具备备层出不穷，隐蔽蔽性强，攻量大，影影响广等特点，对对安全网关设备提提出了更高的要求求，因此需要企业业的网络中的安全全产品提出了新的的需求，要求应用用安全产品具备防范一系系列攻击的智能和和性能： V。需要集成的实时安全性性，发现攻击和入入侵立即拦截能够深入检查数据包，防范各种应用层层攻击，例如蠕虫虫、病毒、木马和和Dos 攻击Z。能够即使拦截大流量，爆爆发性的DoS/DDos攻攻击，与此同时，要要求网络访问正常常进行，网络的性性能不能有太大降降低0。要求安全产品具备数千千兆位速度双向扫扫描的安全检测性性能能够对链路的

30、带宽使用用进行有效管理，如如对消耗带宽资源源非常严重的P2P流流量进行有效控制制，保证关键应用用的带宽使用T。网络应用需求分析网络应用方面的需求应用服务器负载载均衡技术的需求求为了保证企业的网络应应用的高可用性、高性能和安全性性，企业的网络应用存存在下列需求：J。提高网络应用的可靠性性：自动的网络应用可用性性检查，保证网络络应用的7x24 小时的持续性服服务。X。提高网络应用的性能：如果网络中仅有单台服服务器提供网络应应用的服务，很难难保证网络应用的的性能，可以考虑虑增加相应的服务务器数量，配合负负载均衡技术来提提高网络网络应用用的性能。Y。网络应用的安全性较差差：制定针对具体的、特定定的网络

31、应用的特特点而专门制定的的基于网络7层防护的安全性性防护机制；C。Radware解决方方案Radware公司简简介Radware公司是是RAD集团的成员员之一，RAD集团目前拥拥有14个各自独立的的公司，在网络及及通讯产业领域提提供不同的技术，服服务不同的市场。Radware 公司于1999年在NASDAQ上市(RDWR)，目前，Radware公司的网络产品行销40多个国家，在全球拥有130家经销商，为广大用户提供了全面的产品和解决方案。4。Radware 一直直致力于提供智能能应用交换（IAS）技术，以以保证IP网络应用在Internet/Intranet上的最佳运行和服务。Radware

32、将应用需求和网络设施紧密结合在一起，可无缝分配资源、优化应用系统的运行以及提高网络安全性，最终为用户提供高可靠性的、高性能的、高安全性的网络智能应用解决方案。A。作为网络智能应用交换换（IAS）领域的佼佼佼者，Radware通通过在47层网络交换领域域和网络入侵防护护（IPS）领域专注注的技术研发，不不断为市场提供功功能强大、稳定高高效的网络智能应应用解决方案。Radware目目前提供3大类网络智能应应用解决方案：Q。Radware网络连连接解决方案；Radware网络安安全解决方案；Radware网络应应用解决方案；通过最优化的网络资源源利用以及完善的的安全防护体系架架构为广大用户打打造全方

33、位、高效效率的网络安全空空间。J。Radware 解决决方案借助屡获殊殊荣的产品来构架架Radware网网络智能应用解决决方案用于满足企企业、服务提供商商以及电子商务机机构的网络需求。这这些产品包括：LinkProof（LP）、Linkproof-Branch（LPB）、Defense-pro（DP）、AppDirector 、SecureFlow(SF)、AppXcel 、FireProof（FP）、Content Inspection Director (CID)。Radware公司全面的产品组合可服务于端到端的应用业务，同时提供可靠和可扩展的网络流量保证。Radware 可让您对网络环境

34、中从点击到内容的方方面面做到万无一失。0。Radware在智能能应用交换（IAS）技术上一直处于领先先地位，Radware的的产品获得过众多多的业界大奖，这这些奖项包扩：8。PC Magazine Editors ChoiceNetwork magazines Product of the Year8。ZD Internet Labs Net BestSpring Internet World98Los Angeles, Best of Show Network Computing magazines Editors Choiceg。 Radware解决方方案介绍 Radware解决方方案拓扑

35、图根据上述网络应用现状状分析和用户的需求分析，结合合Radware产产品的技术实现和特点，我们建议的企业方案设计包括两大部分，中央机构构方案设计和省级机关方案设计，如下图所示：Z。图一：中央机构网络拓扑扑服务器客户端 WAN企业专网总部LinkProof Branch防火墙交换机分支机构l。图二、中央机构与各分支支机构的连接拓扑 Radware解决方方案简介建议在中央机构网络各层面上上共采用了如下Radware的的设备，其中包括:K。DefensePRO(DP)-专用的透明安全设备LinkProof(LP)-链路负负载均衡设备SecureFlow(SF)-安全网网关负载均衡设备备AppDire

36、ctor-服务器负载均衡衡AppXcel-服务务器优化设备在各分支机构的internet出口处部署一台 LinkProof Branch(分支机构链路负载均衡器)，并在其上部署应用安全模块(具备DP所有功能)。d。该解决方案从功能上分为3个个部分：连接解决方案部分安全解决方案部分应用的解决方案部分Radware连接解解决方案部分简介LinkProof实实现多链路的负载均衡和防火墙的负载均衡如上图所示，我们建议议在网络接入处，部署LinkProof，实现对多条internet接入链路（最多100条）的负载均衡，可以同时实现outbound流量（内部办公用户访问internet）和inbound流

37、量（internet用户访问内部服务器）双向的负载均衡。x。同时使用Radware专专利技术动态就近性来保证进出的双向流量的智能的的动态的就近性选择，大大提高用用户访问的服务质量和访问效率。4。LinkProof可可以配合SecureFlow实现多台防火墙（最多100台）的负载均衡，防火墙可以是不同厂家，不同型号，不同性能，大大提供防火墙的扩展性和可用性。J。各分支机构的LinkProof Branch实实现多链路的负载均衡L。服务器客户端 WAN企业专网总部LinkProof Branch防火墙交换机分支机构u。如上图所示，我们建议议在各分支机构的网络接入处，部署LinkProof Bran

38、ch，实现对internet接入和企业广域网接入这两条链路的负载均衡，根据分支机构办公用的访问的目的地址或者应用，智能的选择链路，实现两条链路的冗余备份和透明容错，保证了分支机构访问中央机构关键应用的100的高可用性。J。Radware安全解解决方案部分简介我们建议的安全解决方方案部分，包括2款产品，DefensePro(DP)，SecureFlow(SF)，每台设备简要功能描述如下：B。DefensePro实实现实时的攻击防御如上图所示，我们建议议在网络接入处，部署DefensePro，可以识别并实时抵御1600多种蠕虫、病毒、DOS攻击和异常的流量模式，保护内部用户和服务器的安全。c。同时

39、，通过把端口两两静态态绑定，虚拟成多台逻辑设备，分别部署在核心交换机和企业广域网之间保护入侵和攻击不致互相扩散。W。使用一台逻辑设备部署署在核心交换机和AppDirector之间，保护服务器群免受内部办公用户的非法攻击。V。使用多台逻辑设备部署署在内部办公用户的不同网段（或或者楼层）之间，保证非法入侵和攻击不致扩散到其它办公网段或者者楼层。x。SecureFlow(SF)实现各安全网关的的负载均衡如上图所示，我们建议议在多台防火墙和核心交换机之间，部署SecureFlow，实现多台防火墙（最多100台）的负载均衡，防火墙可以是不同厂家，不同型号，不同性能，大大提供防火墙的扩展性和可用性。k。通

40、过旁路部署各安全网网关设备，SecureFlow可以实现多台IDS（最多100台）、cache服务器、防病毒网关，URL过滤网关的负载均衡，这些安全网关设备可以是不同厂家，不同型号，不同性能，大大提供安全网关的扩展性和可用性。l。Radware应用解解决方案部分简介我们建议的应用解决方方案部分，包括2款产品，AppDirector，AppXcel,每台设备简要功能描述如下：B。AppDirector实现服务器的负载均衡AppDirector位于核心交换机和各种IP应用服务器之间，主要实现所有基于IP协议的各种服务器的负载均衡功能，通过部署AppDirector,可以实现服务器业务的7*24不间

41、断的运行和保证业务的最佳服务器质量，从而实现了服务器所承载的业务的100的高可用性和高性能。I。AppXcel实现SSL加速和和HTTP（HTTPS）页页面的加速Q。SSL加速功能：AppXcel与AppDirector配合，为用户提供SSL加密加速服务。利用AppDirector的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源，并且使服务器的投资发挥最大效益。f。HTTP（HTTPS）页面面的加速AppXcel通过WEB压缩和HTTP连接复用用技术，大大提升升internet用户对服务器的访问速度。较大地节省了internet的接入带宽，

42、大大地降低了WEB服务器的处理资源消耗。 Q。Radware技术介介绍DefensePro 实现入侵和DOS攻击的实时时防范DefensePro 采用了多层安全全架构，分别检测测和抵抗不同类型型的攻击，确保只只有“清洁”流量进入收保护护的区域。Q。Dosshield实实现已知攻击工具具防范DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量，提供了实时的、数千兆位速度 的DoS防范。X。该机制会对照DefensePro 攻击数据库中的的DoS攻击特征列列表（潜在攻击）来来比较流量样本。一一旦达到了某个潜潜在攻击的激活阈阈值，该潜在攻击击的状态就会变为为

43、Currently Active （当前活动），这这样就会使用该潜潜在攻击的特征文文件来比较各个数数据包。如果发现现匹配的特征，相相应的数据包就会会被丢弃。如果没没有匹配的特征，则则会将数据包转发发给网络。z。借助高级的取样机制检检测DoS 攻击，DoSShield只只在出现了严重带带宽滥用的情况下下，才会判断攻击击的存在，它会外外科手术般地采用逐包过滤除除去攻击流量。而而当攻击不再活跃跃时，DoS Shield也也能检测到相应状状态并停止逐包过过滤的操。这样不仅可实现完完全的DoS和DDos 防范能力，而且且还保持了大型网网络的高吞吐量。M。Dosshield的的主要优势：监听和采样机制，只

44、有有在出现严重攻击击时才采取防范措措施，保证了大型型网络的高性能和和高吞吐量；2。基于特征码的防范策略略，对正常应用无无影响，保持了极极低的误判率。DoS Shield作为第一道防范体系，负责在抵御已知Flood攻击的同时传输其他流量，而这些其他流量中还可能包含未知的新型攻击，它们将由第二道防范体系Behavioral DoS 模块来实现防护。8。Behavioral DoS基于网络络行为模式实现自自动攻击防范借助于先进的统计分析析、模糊逻辑和新新颖的闭环反馈过过滤技术，Radware B-DoS 防防范模块能够自动动和提前防范网络络Flood攻击击和高速自我繁殖殖的病毒，避免危危害的发生。6

45、。Radwares 自适应Behavioral DoS防范模块块自动学习网络上上的行为模式，建建立正常基准，并并通过先进的模糊糊关系逻辑运算判判断背离正常行为为的异常流量。 通过概率分析，该该模块使用一系列列提取自数据包包包头和负荷的参数数，例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum值等共17 个参数，来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量，该模块还会采用“与”“或”逻辑运算来尽量精确攻击的防范策略。 k。所有上述流程都由D

46、efensePro自自动完成，无需人人为干预，能够在在数千兆位的网络络环境中精确防范范已知攻击、Zero-day Dos/DDos攻击和和自我繁殖网络蠕蠕虫。H。Behavioral DoS 防护模模块的攻击检索机机制即不使用特征征码，也不依赖于于用户定义的行为为策略和阀值。它它还可以自动适应应网络中的正常流流量变化，因此它它不会影响网络中中的正常应用行为为。t。B-DoS 能够非常常有效的抑制以下下已知和未知的攻攻击：SYN FloodTCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods) m。UDP FloodsDNS floods (基于UDP 53

47、端口)UDP Flood 和 ICMP反向散散射(unreachable 信息) M。ICMP FloodsIGMP Floods Zero-Day 高高速自我繁殖蠕虫虫(SQL Slammer, Blaster, Welchia, 等) X。Behavioral DoS的主要优优势：Zero-day Dos/DDos的未知知攻击防范，无需需认为手工干涉；r。对DoS攻击的完全防防范，较低的CPU资资源消耗；自适应的行为判别模式式，将误判率降至至最低；完全自适应功能，无需需策略配置，无需需维护成本。入侵防范防范各类应用用攻击为了确保DoSShield和Behavioral DoS模块不会会遗漏

48、任何攻击并并危害运用户网络络应用的关键应用系统，Radware还还提供另一道防护护屏障入侵防范范。 通过对比入侵特征征库，DefensePro阻阻止攻击数据包来来建立最后一道屏屏障。o。入侵特征库罗列一系列列会对网络造成严严重破坏的应用层层攻击，通常包括括在Internet上上近期出现和爆发发的滥用带宽资源源的攻击，NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。DefensePro会对数据包进行逐一检查，并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1600多种攻击特征。为了防范新的攻击形式，数据库会不断被更新。对于未

49、知形式的攻击，可以使用协议异常检查功能来检测。通过检查协议的异常性，可以检测异常的数据包碎片，而这大多数情况下标识了恶意活动。T。快速的攻击特征比较为了支持数千兆位的特特征扫描速度，DefensePro专门采用了基于ASIC的强大加速器 StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作，可对照特征数据库进行高速的检测和数据包比较。同使用Intel Pentium 4 CPU进行串行特征搜索相比，其字符串搜索速度提高了300倍。6。实时抑制攻击当检测到恶意活动时，DefensePro可能以任何组合形式立即执行以下的这些操作：丢弃数据包、重置连接

50、以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护，以免它们遭到蠕虫、病毒和其它形式的攻击。X。入侵防范的主要优势：基于特征的入侵识别，能能够准确地识别和和抑制攻击；专用的硬件加速器，确确保了告诉的检测测和防范以及网络络吞吐量。带宽管理在提供强大的安全功能能同时，DefensePro 的带宽管理功能能。DefensePro能能够根据网络数据据包的源/目的地址、应用用端口和内容（IP header或或IP Data）区区分流量，还可以以限制相同用户的的并发会话和每个个会话的带宽，从从而阻止和控制各各种流量的带宽应应用。j。其它安全相关功能除了上述四个

51、功能模块块外，DefensePro还还提供以下功能：黑白名单（Black and White List）访问控制列表E。Syn Flood防防范为了提供全面的的SynFlood攻击防范能力，除了Dosshield和Behavioral Dos之外，DefensePro采用SynCookie技术基于源地址监视来发现恶意攻击源，并提供多重级别的防范措施。r。异常流量（Anomalies）防防范为了逃避安全设设备的检查，黑客客通常会采用拆包包并将攻击分成多多个数据包碎片传传输。此类攻击被被称作Anomalies。O。针对此类攻击，DefensePro提提供了也体动相应应的防范能力：F。异常协议类；B

52、uffer Overflow类类；HTTP碎片类状态检测（Stateful inspection）DefensePro提供针对协议滥用等攻击，提供状态检测攻击防范能力，可以防范的攻击例如：7。TCP Flooding：SYN-ACK (反射攻击), TCP数据包风暴；b。Stealth 扫描描：通过发送TCP fin / rst /ack / syn-fin数据包，以图发现开放的端口；5。DNS reply flooding： 使用大量的DNS响应数据包攻击服务器；e。ICMP Echo reply flooding： 使用大量的echo reply数据包攻击服务器（Smurf）；2。防扫描（

53、AntiScanning）黑客在发起攻击之前，通常会试图确定目标上开放的TCP/UDP端口，而一个开放的端口通常意味着某种应用，操作系统或者后门。DefensePro提供此类探测的防范能力。M。DefensePro的的安全报告当DefensePro检测到攻击时，它会将该安全事件报告。在报告中包含有全面的流量信息，比如源IP地址和目标IP地址、TCP/UDP 端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息，或者通过系统日志渠道、SNMP 陷阱或电子邮件将安全事件信息发送到外部。P。 还可以根据网络中的实实时安全状况，以以雷达图的方式提提供当前的攻击严严

54、重程度以及数量量等信息。5。LinkProof 链路优选方案LinkProof能能够同时实现双向向（Inbound和和Outbound）流流量在多条链路上上的负载均衡的。o。链路健康状况检查：LP可可以采用多种方式式判断链路的健康康状况，例如Ping（全全链路健康检查），以以及通过检查多个个Internet目目标来共同判断链链路状况。s。Inbound流量处处理方面主要利用用了DNS和SmartNAT技技术；O。Outbound流量量处理主要利用了了SmartNAT技技术。链路健康检测LinkProof会会通过多种方式检检测两条链路的健健康状况，一旦发发现其中一条链路路故障，会立即将将所有用户

55、流量定定向至其它可用链链路，从而实现Internet连连接的高可用性。主主要的方法有：u。全路径健康检查为了确保ISP链路的的畅通，LinkProof将将采用Ping的的方法，不仅仅检检查和其相连的路路由器的端口是否否可达，还可以检检查该链路后续路路由节点的连通性性（10跳），已已确保整个路径的的畅通。r。注：该方法要求ISP的的链路对ICMP开开放。高级健康检查针对所有的网络环境（包包括禁止ICMP的的ISP），LinkProof提提供了丰富的47层检查方式，并并可以通过多种检检查结果的“与”和“或”运算结果，最终终准确判断链路的的健康状况。例如如：通过CNC的的路径，同时检查查 HYPER

56、LINK 和 HYPERLINK 的80端口，并将检查结果做“或”运算，只要一个检查通过即可判断CNC链路正常。避免了某网站故障导致链路状态误判的可能性。j。流入（Inbound）流流量处理LinkProof需需要客户配合将域域名的解析功能导导向到LinkProof，由由LinkProof来进行域名的解析。这样当远程通过域名访问企业网时，逐步通过远程用户的本地DNS服务器、根DNS服务器，最终由LinkProof来进行域名的解析。此时LinkProof就会通过静态列表或者动态判断算法，选择最优的线路，然后将域名解析成相应线路的IP地址。o。例如：当某个网通的远远程用户访问企业业网时，首先向他他

57、当地的DNS服服务器发起域名解解析的请求，再通通过他接入运营商商的根DNS服务务器，最终总归会会向LinkProof请请求DNS解析，此此时LinkProof就就会通过静态列表表或者动态判断算算法，选择最优的的线路（网通），然然后将域名解析成成网通线路的IP地地址（218.x.x.1）。这这样远程的网通用用户就会使用网通通的目标IP地址址，通过网通的线线路进行访问，实实现了访问时链路路方面的负载均衡衡优化。l。下面以 HYPERLINK 为例，描述Inbound流量处理的过程。h。假设图中的Server1是是Web服务器，Internet主主机名为 HYPERLINK ，地址为私有IP：00/

58、24。b。如图所示，在DNS服服务器上主则两笔笔NS记录，指向向LinkProof：J。NS www.R NS www.R 而在LinkProof上上设置URL与内内部主机地址的对对应关系： HYPERLINK 00V。而在LinkProof上上设置静态的地址址翻译：00 00 当有Internet用用户访问是是时，DNS服务务器回应给用户由由LinkProof来来完成最终地址解解析。LinkProof根根据具体设置来选选定适当的ISP线线路，如果选择ISP1，则则将地址解析为。同同样，如果选择ISP2，则则将地址解析为。从从而完成流入流量量的负载均衡。p。流出（Outbound）流流量处理L

59、inkProof主主要采用以下集中中方式来处理流出出流量。SmartNAT对于流出流量的智能地地址管理，LinkProof使使用了称为SmartNAT的的算法。当选定一一个路由器（某一一个ISP）传送送流出流量时，LinkProof将将选择该ISP提提供的地址。在图图二中，如果LinkProof选选择ISP1作为为流出流量的路径径，则它将把内部部的主机地址192.168.2.A/24翻译为100.1.1.A/24，并作为流流出数据包的源地地址。同样，如果果LinkProof选选择ISP2作为为流出流量的路径径，则它将把内部部的主机地址192.168.2.A/24翻译为200.1.1.A/24，

60、并作为流流出数据包的源地地址。u。独特优势-“就近性”运算LinkProof的的专利技术：就近近性，能够根据用用户访问的目的IP、各条链路的负载载等情况来综合考考虑，计算出内部部用户访问Internet的的最佳路径，以保保证用户能够得到到最快和最高效的的服务和响应。2。静态就近性：用户可在LinkProof上上为某个目标定义义静态的最佳链路路。例如目标IP地地址属于ISP1的的，应选择ISP1链链路；目标IP地地址属于ISP2的的，应选择ISP2链链路。6。动态就近性：在选择最佳链路时，LinkProof会综合考虑与目标网络之间的路由节点数量、数据传输的延迟和链路的实时负载，准确计算出最佳路径