运营商网络环境中的SI应用实现

运营商网络环境中的SIP应用实现Radware解决方案V1.0RadwareChina2007-7馋一、诸SIP混应用背景和翠趋势什3从二、岂SIP吊协议简介当3魔三、训Radwa习reSI拳P颤应用解决方贸案应5刮1.沉Radwa站re瓜公司简介窑5国2.能应用前端解巡决方案坏6句3.芳应用安全解币决方案泉7蔽四、视Radwa井re药技术简介耳8篮1亡、泛AppDi列recto左r-援实现服务器匀负载均衡备8丙2责、石Defen京sePro范袜－实现入侵昨和司DOS那攻击的实时吨防范拍10驱4.甘Radwa竟reSI童P堆支持潮15牲五、鲁Radwa酸re斗解决方案在酷融合网络中立的价值抱18拿六、馅总结换18芽SIP应用认背景和趋势天IP的悉采用由于下君列原因飞速书发展：IP根交换机比传惹统交换机P熔BX便宜并完且能提供更菠多的增值服敏务；VoI忠P技术克服狗了语音质量杀瓶颈；传统饮的PBX和气相关的电信渠设备已经到活了生命周期常。因此对于录希望从目前卷的宽带网络嗽架构中得到用最大价值的州机构和宽带筐用户而言，绿VoIP就匙变得非常具环有吸引力。耗在企业或者杠在家庭通过革宽带网络利蕉用包交换语划音替换传统文的电路交换虚的语音是一数个市场趋势依。VoIP支对于企业的呀关键优势在哗于低费用、镇采用统一的腥网络架构、备降低管理和饮维护成本，旺并且支持未踢来需要的各掩种功能。敢越来越多的材电信和IS落P寻求SI宵P（Se活ssion候Init构iatio冶nPro圈tocol董）作为未来津融合网络的钩关键架构，览并提供多样决的服务选择合满足客户变光化的需求。遭这些服务包闻括：通过电清子邮件发送幻语音邮件俭、短消息、共prese宫nce、会教议、主叫号碑码、呼叫转虏移等等。胸实现VOI赤P服务的推河动力和相关纪协议春之一绑就是SIP和。在过去的纳几年，SI谨P赢得了美纪国主要的运傍营商比如L单evel朋3、Qwe子st和MC叔I和主要的短软件公司如歼Micro某soft的循关注。另外狠，SIP也垦被VOIP坝社区采用作显为VOIP羞信令的协议测选择。SI镜P越来越流呆行油也使得VO价IP系统的竟价格得以下染降。载根据多家分左析机构的信要息，200蚀7年各厂商辅都将采用S台IP协议来浑替换他们原拿有的私有协寨议。滤SIP议协议跃简介亦SIP动是IETF里标准，用于堆在两个或更艳多最终用户池之间建立会躲话的信令协叹议。用户会呢话涉及多种牛媒体类型，阻包括语音、借聊天、游戏喝、视频等。震核SIP私提供两个主否要功能：发拨现潜在的呼觉叫参与者，掏当他们从一牛个位置到另肆外一个位置焰移动的时候取联系他们。惊SIP是用谈于建立会话石的信令协议顺，而不是用肯于真实媒体鸡传输的协议译。画SIP刃用户膊采用全球可责达地址，采支用类似邮件雕地址的格式今，比如：许03766挂8610@复my-ca弊rrier炊窜.阴在SIP协窜议中有两个裕基本组件：雕SIP用膀户代理和S递IP网络服隐务器。用户循代理是呼叫虎的最终用户余设备，比如款，多媒潮体手持设备息，PC或者吗PDA等。持SIP网络浆服务器是组厌成SIP网感络架构的不处同网络设备嫁，兵并处理和各项种呼叫有关场的各种信令途。详在SIP网忘络中有多种呀不同类型的截逻辑SIP却服务器。不选同服务器类纸型可能运行舒在同一物理具机器上，也乏可能分别运庭行在不同的附机器上。下台列是不同S幕IP服务器掉的类型：构•恒SIPP讨roxy果Serve恨r贵:纺中继呼叫信招令。SIP央代理服务哥器接受SI秧P用户代理骄发送的会话激请求，查询公SIP注册哲服务器和S坚IP重定向灿服务器关于棵被叫端的I岸P地址和位禾置信息。如库果会话接收贺人和发起人纪在同一域中途，SIP代敬理直接转发降会话邀请点到接收方的鉴用户代理，援如果接收人德在不同的域巡，SIP代故理则转发给忽其他的代理划服务器。席SIP代理养服务器能工恢作在下列模独式：赴State臣fulm志ode穿–景服务器在整遍个会话过程腿中保存呼叫送信息。基于黄状态的服务鱼器用于临近程用户代理的降本地设备。跳毁State覆less绒mode垫–罪一旦请求和倒应答发送出富去，服务器道不再保存任乓何呼叫信息例。无状态服跃务器用于S与IP主干架拿构。绿•筒SIPR沿egist吃rar愤:既接受来自用超户的注册信孝息，维护位被置服务器里疤用户的位置弦信息。轰•付SIPR棵edire汽ctSe淘rver停:中转发SIP究会话邀请到烫外部域。贤•艘其他SIP粪服务器提供市比如计费，脱即时消息，外在线等。女运营商中S掀IP应用实距现赌图净1别SIP基本糕数据流耀:属性：骡1安、当一个用扮户连接到网证络，终端设穷备上的SI陶P用户代揉理向SIP恭注册服务器多发送SIP供注册请求；立员2简、当用户试撇图和其他用勉户建立呼叫赔，终端设备为上的SIP宝用户代理亿向SIP代距理服务器发起送SIP轮Invit膏e请求。S卸IP代理何服务器利用狡重定向服务湿器发现被叫泽用户所在域过的SIP代朱理服务器。遍被叫用户域怪的代理服务针器通过位置溉服务器发现视被叫用户当梳前采用的I确P地址。终羞端设备之间览通过SDP宴（会话描述烈协议）的提睬交/应答模动型协商会话喇能力，比如赖视频、共享笼白板等。尸3宿、当会话协棋商结束，终押端设备之间炒的直接连接吓就建立起来耗，可以传输嘉真实数据。钩拦Radwa构re震SIP应用浅解决方案划Radwa曾re公司呼简介公Radwa加re辉公司是荡RAD姥集团的成员晨之一，疲RAD慕集团目前拥株有烧14命个各自独立杏的公司，在店网络及通讯首产业领域提冒供不同的技叙术，服务不猪同的市场。蚀Radwa亿re擦公司于栗1999馒年在稳NASDA大Q槽上市胆(RDWR污)擦，目前，唇Radwa为re涉公司的网络简产品行销改40揪多个国家，榆在全球拥有佩130栋家经销商，终为广大用户畅提供了全面销的产品和解自决方案。锯Radwa等re坏一直致力于修提供智能应霉用交换（咱IAS态）技术，以能保证竖IP才网络应用在待Inter甘net/I佩ntr析anet溜上的最佳运樱行和服务。常Radwa裤re喇将应用需求次和网络设施昼紧密结合在滥一起，可无绍缝分配资源拍、优化应用胀系统的运行垫以及提高网均络安全性，车最终为用户仰提供高可靠脸性的、高性祥能的、高安亭全性的网络裙智能应用解赏决方案。躲作为网络智选能应用交换竟（授IAS骨）领域的佼每佼者，朗Radwa亡re握通过在诚4崇－坏7窜层网络交换悼领域和网络崭入侵防护（嫌IPS柿）领域专注凯的技术研发掀，不断为市走场提供功能以强大、稳定粥高效的网络蕉智能应用解驱决方案。拾Radwa卖re工目前提供疏3选大类网络智此能应用解决喷方案：毛Radwa谋re卫应用前端连倦接解决方案记；铃Radwa辅re壤应用安全解阻决方案；壳Radwa陕re犬应用访问解相决方案；晌通过最优化委的网络资源渗利用以及完吴善的安全防逝护体系架构简为广大用户纸打造全方位惠、高效率的硬网络安全空括间。努Radwa静re筋解决方案借肿助屡获殊荣钥的产品来构粥架成Radwa聋re首网络智能应颠用解决方案耐用于满足政辆府、服务提刑供商以及电迅子商务机构适的网络需求彻。这些产品遵包括：柄LinkP救roof惯（踢LP策）、然Linkp展roof-货Branc属h丰（率LPB至）、串Defen份se-pr跌o多（削DP跨）、App载Direc眉tor(A鞭D)推、AppX谎cel(A村X)月、。移Radwa哭re详公司全面的特产品组合可被服务于端到烈端的应用业槽务，同时提踩供可靠和可柏扩展的网络捎流量保证。婶Radwa搞re渐可让您对网问络环境中从蚁点击到内容知的方方面面征做到万无一朵失。业Radwa汪re专在芹智能心应品用交仔换溪（散IAS惭）技李术舒上一直处于捉领先地位，扰Radwa傲re远的产品获得泻过众多的业黎界大奖，这域些奖项包扩条：停PCMa宅gazin茄eEdi哄tor's些Choi域ce盆Netwo榜rkma摇gazin赢e'sP畅roduc各tof晃theY政ear甚ZDIn隐terne分tLab竟'sNe术tBes掉t笼Sprin皆gInt词ernet健Worl冷d'98罗LosA伯ngele殖s烫,Bes钳tof拿Sho导w凭Netwo钢rkCo投mputi爹ngma形gazin颗e'sE般ditor曾'sCh炮oice盲应用前端解乘决方案贫对于所有依熊赖IP网络渴进行的应用令实现，应用警的性能和可倚靠性都是企万业IP管理为人员时时刻孔刻需要关注遇的要点。而滋对于那些通佛过IP网络产为客户提供拐接入和服务泻的服务提供注商，应用的变可靠和可用蓬性则更是他酱们生存的基园础面。丹皱为了提高网逆上交易、I已P业务蔑等公司核心梳业务系统的准稳定性，性禁能、安全性悟，我们在这最些关键业务植之前部署我坑们业界屡获游大奖应用负朴载均衡器A绳ppDir攀ector旺，通过其强抚大的健康检误查功能实时烘检测业务的狠健康状态，斯将用户业务蚕请求分发到倒最优的服务物器实现业务义处理。对于课需要SSL觉加速或We饲b加速的系劫统可以通过个Radwa观re专业碗的加速设备素AppXc中el进行应萍用加速。帮外助整个系统叶实现完全的点负载均担，邮期间，任何收一台服务器村出现故障，柜AD都会在释第一时间发志现并将用户湖的请求转发志去其他健康调的服务器，平保证系统最肠大程度的稳装定。所以服记务器最大程想度上发挥它绪们的资源效锣率，最大程叼度上保护投幸资，获取最航大的回报率乐。解应用安全解责决方案仙Inter虎net和T外CP/IP薪协议等开放誉系统的流行洪为网络应用匪的发展得到走了长足发展询，但是开放料系统同时也猫带来了大量殿网络安全方馒面的问题。头所有的企业彩和运营商在估享受Int盛ernet退带来的巨大您商业机会的绘同时也时刻利受到网络中罢各种潜在安面全问题的威违胁。Rad于ware的活安全解决方跟案能为我们鸭的用户带来务安全方面的家保护。被我们在关键双应用网上应挠用系统前面默部署Rad牌ware业周界领先的I省PS－De通fense时Pro(D腰P)，DP汇通过透明部董署在客户的常网络系统中螺，无需更改薄网络的路由吃以及拓扑配策置，DP作晴为最新一代阀的IPS设滋备，不但集拆成了基于特蚀征匹配的入奶侵，病毒，民木马，扫描历等传统方式胳的攻击，并欧内置了最为互先进的基于筹网络行为模步式分析的自吨适应Dos桃/DDos早攻击防范手雀段能够自动刷学习检测网快络攻击，无烫需人工干预爆智能的将包四括未知攻击师在内的所以册拒绝服务攻恰击阻断下来庆。DP还集敢成了强大的拿带宽管理功芝能，对于所芬以访问关键台业务的流量窑进行整形和尼带宽智能控舅制，最大程祸度上保证网阵络正常业务盒的安全。（遮如下图）秤Radwa莫re技术简杆介冬1监、插AppDi偏recto却r-实现服粉务器负载均胖衡隔AppDi丹recto谈r具备先进六的等4-7踢层策略和粒络状控制应用运能力，实现籍对大范围金国融网上应用咽(图包括霸VoIP春、流媒体、拔Citri勉x闭、和安全的灾LDAP倒应用等伶)攻的访问进行请端到端的应旅用感知优化弯。揪全面集成的违流量分级和柱数据流管理耽、健康检测吨和故障隔离速、流量重定球向、带宽管宁理、入侵防折范和呜DoS颗防护，让您会的网络更好灿地适应和响撇应动态应用秃和业务需要白。掌健康状况检差查惕AppDi诞recto记r解可靠的接健康状况检廉查孝可以保证用扑户获得最佳哥的服务。尸AppDi乞recto距r与可以监视服地务器在IP傅、TCP、烈UDP、应屡用和内容等今所有协议层棉上的工作状筛态。如果发伐现故障，用已户即被透明烤地重定向到年正常工作的协服务器上。扯这可以保证杜用户始终能杆够获得他们渠所期望的信馒息。苍为了确保服仅务正常运行否，前AppDi枪rect丸or桑监控从W码eb服务葡器、中间件将服务器到后玉端数据库服级务器的整个茅路径上工作绳状态，确保消整个数据路清径上的服务皱器都处于正拐常状态。如炒果存在一个白故障服务器殿，疯AppDi压recto落r仇则不会将用蓬户分配到这笋个发生故障努路径的服务率器，从而保但证为用户提沉供透明的数州据完整性保虎障。锈交易完整性近的可靠保证脂为了保证用夜户在访问具品有会话连续搂性业务时不老会被负载均吃衡器分配到宜不同的服务烫器上，Ap栋pDire岁ctor在方提供本地负损载均衡的同傲时，还可以赠具备基于c掩ookie复,sess跳ionI鼻D,SIP篇,SSL佛ID,so妇urce沃IP等方式写将用户的请逼求定位在相段同的服务器脆上。施完全的容错唉与冗余轰AppDi甩recto们r蚀的配置提供弄设备间的完惭全容错，以仇确保网络最菌大的可用性片。两纤台AppD厦irect肿or挥设备兽工作在冗余毙模式下，涌通过网络相崭互检查各自妨的工作状态得，为其所管剑理的应用保害障完全的网登络可用性。盐它们可工作样于“主用-禾备用”模式哑或“主用-绿主用”模式导，在“主用虚-主用”模宾式下，因为间两个设备都疲处于工作状匠态，从而最呈大限度地保古护了投资。骆并且所有的图信息都可在席设备间进行疏镜像，从而腔提供透明的握冗余和完全闷的容错，确资保在任何时宋候用户都可禾以获得从点室击到内容的饺最佳服务。存通过正常退蹈出服务保证殿稳定运行庭当需要进行密服务器升级皇或系统维护畏时，段AppDi都recto余r义保证稳定的先服务器退出久服务以避免俯服务中断。旦当选定某台魂服务器要从情服务器退出掌服务后，坡AppDi摩recto略r锹将不会将任举何新的用户闪分配到该服谷务器。但是徒，它可以要辉退出服务的您服务器上完泉成对当前用荡户的服务。片从而保证了隐无中断的优沿质服务，以僚及服务器组痒的简易管理阵能力。记智能的服务速器服务恢复饶将重新启动惜的服务器应雹用到服务中宋时，避免新里服务器因突上然出现的流蜂量冲击导致搅系统故障是渐非常重要的我。所以，在榜将新服务器奴引入服务器纠组时，忘AppDi还recto辽r马将逐渐地增机加分配到该斧服务器的流配量，直至达被到其完全的兼处理能力。握从而不仅保扒证用户在服困务器退出服咳务时，同时汪还保证服务腐器在启动期泪间以及应用避程序开始时池，均能获得猎不间断服务邀。膨通过负载均撑衡优化服务线器资源艺AppDi阳recto踩r来执行复杂的冷负载均衡算斗法，在多个饿本地和远程还服务器间动豪态分配负载等。这些算法概包括循环、覆最少用户数妖、最小流量冷、Nati剖veWi哗ndows轰NT以召及定制代理鞠支持。除了晓这些算法，制AppDi爬recto熊r例还可以为每毙个服务器分珠配一个可以筋配置的性能肢加权，从而厕提高服务器敬组的性能。应用交换唱AppDi卖recto岭r杏根据IP具地址、应淘用类型和内宝容类决定流国量分配。这弟样，管理员绩就可以为不寄同类型的应穴用程序分配疏不同的服务向器资源。应田用交换支持挂不同协议上形的各种应用点，包括T芬CP、UD毯P、IP、塑Telne触t、Rsh痰ell、T负FTP、流欣、被动F照TP、HT餐TP、e-粘mail、音DNS、V第OIP等届等。Rad彩ware通还为运行于非动态端口并炎要求同步的剖应用设计了两特殊支持功存能。URL交换鹅AppDi吐recto亲r苍完全支持抱URL交向换，根据组URL和宰HTTP融信息分配赶流量。每个俊URL还都可以重定结向到某服务景器，或在多稳个服务器之架间进行负载懂均衡，从而吃提供优化的雨Web股交换性能。伤根据UR栏L文本中蒙包含的信息心，慨AppDi扫recto省r栗可以保持客塘户持续性，榴从而保证内销容的个性化嚼。内容交换济内容交换使乘管理员可以蛙根据交易的妙内容来分配乓服务器资源寻。例如，C熊GI脚本束可以位于一秋个单独的服省务器组，当椅发生对该内班容的请求时忍，会话就被践重定向到其联中某个服务谷器。门AppDi煤recto眠r穷的内容交换呆能力可以广裂泛支持S拌SLID蝶和糊Sessi倘onID秤，保持客纸户持续性，寸保证最佳流滤量管理和应闯用内容个性陡化。忍2、骡Defen悟sePro当挡－实现入侵级和氧DOS烟攻击的实时笼防范趋Defen里sePro惰衔采用了多层茧安全架构，认分别检测和则抵抗不同类洗型的攻击，玉确保只有捧“拌清洁甜”誓流量进入收晕保护的区域普。物Dossh超ield泄实现已知攻圈击工具防范充Defen盗sePro三的鼓DoSSh丝ield圾模块借助高盐级的取样机萍制和基准流糟量行为监测部来识别异常炼流量，提供针了实时的、移数千兆位速伍度窄的威DoS衫防范。宁该机制会对鹊照般Defen先sePro样胜攻击数据库惰中的雷DoS直攻击特征列膏表（潜在攻荷击）来比较富流量样本。石一旦达到了午某个潜在攻遇击的激活阈栏值，该潜在收攻击的状态挺就会变为会Curre屡ntly送Activ怀e货（当前活动见），这样就秒会使用该潜遍在攻击的特泄征文件来比遣较各个数据筑包。如果发伐现匹配的特添征，相应的先数据包就会徒被丢弃。如协果没有匹配位的特征，则碧会将数据包朝转发给网络柔。叉借助高级的剖取样机制检犬测悦DoS千攻击，还DoS关Shiel度d只在出现沸了严重带宽述滥用的情况乱下，才会判煌断攻击的存仁在，它会缩外科装手术般剩地捆采用逐包过椒滤除去攻击尺流量。而当却攻击不再活奶跃拐时，鸣DoS旋Shie捞ld也能检舌测到相应状择态并停止逐善包过滤的操梁。这样不仅派可实现完全好的吃DoS丽和涛DDo城s娇防范能力，宝而且还保持胞了大型网络愤的高吞吐量沃。舞Dossh蜓ield的曲主要优势：赏监听和采样嫂机制，只有慢在出现严重堆攻击时才采举取防范措施待，保证了大灯型网络的高今性能和高吞离吐量；旗基于特征码火的防范策略劳，对正常应置用无影响，淘保持了极低妙的误判率。前DoSS光hield厌作为第一道孟防范体系，熟负责在抵御局已知Flo悠od攻击的患同时传输其缠他流量，而团这些其他流代量中还可能阅包含未知的克新型攻击，圾它们将由第献二道防范体触系－述Behav造ioral段DoS够模块来实现罢防护。袄Behav沾ioral蝴DoS昌基于网络行炉为模式实现拆自动攻击防舱范浑借助于先进巷的统计分析幕、模糊逻辑题和新颖的闭蜻环反馈过滤董技术，瓦Radwa歪reB-洽DoS阀防范模块能摘够自动和提居前防范网络斜Flood瞒攻击和高速亿自我繁殖的附病毒，避免煮危害的发生穴。赔Radwa扁re's魔自适应怎Behav斩ioral却DoS岔防范模块自缘动学习网络强上的行为模奔式，建立正秆常基准，并疫通过先进的俩模糊关系逻塞辑运算判断研背离正常行诱为的异常流叮量。这通过概率分组析，该模块食使用一系列挺提取自数据责包包头和负斤荷的参数，摧例如缘ID(p覆acket市iden省tific邻ation僚numb街er),瞒TTL(厘Time谊toLi唉ve),贩Packe冬tsiz僵e,DN组S董查询铺,Pac泛ketC灯hecks农um申值等共丧17柏个参数，来飞实时定义即表时异常流量罚的特点。为径了避免误判告而阻止合法白用户的正常河流量，该模辨块还会采用沿“墙与册”“胡或葱”下逻辑运算来灭尽量精确攻成击的防范策牙略。回所有上述流妻程都由De君fense谣Pro自动雹完成，无需吸人为干预，企能够在数千卸兆位的网络残环境中精确榴防范已知攻强击、Zer攻o-day茫Dos/贯DDos攻死击和自我繁凳殖网络蠕虫纳。存Behav狡ioral促DoS摘防护模块的忠攻击检索机旁制即不使用跨特征码，也她不依赖于用衫户定义的行叮为策略和阀星值。它还可桃以自动适应翠网络中的正负常流量变化盛，因此它不滩会影响网络陡中的正常应锣用行为。债B-DoS苹翁能够非常有屡效的抑制以证下已知和未绞知的攻击：车SYNF穗lood挖TCPF氧loods阶(Ack嗓,Psh薯+Ack,口Fin+镜Ack,异Rstf妇loods牙)汇UDPF剖loods阅DNSf践loods侍(靠基于UDP除53于端口夸)附UDPF文lood庸和唯ICMP昂反向散射烟(unre秃achab权le释信息片)汽ICMP投Flood帐s摧IGMP光Flood圈s骆Zero-籍Day油高速自我繁塘殖蠕虫牵(SQL悼Slamm垫er,B耀laste劳r,We泼lchia宁,疗等念)薪Behav测ioral私DoS签的主要优势断：社Zero-倚dayD祖os/DD凳os的未知滚攻击防范，麦无需认为手撑工干涉；花对DoS攻昌击的完全防解范，较低的装CPU资源豆消耗；付自适应的行覆为判别模式忽，将误判率味降至最低；学完全自适应肢功能，无需返策略配置，堵无需维护成杀本。爬入侵防范的防范各类应爪用攻击哄为了确保小DoSSh子ield皇和歼Behav饱ioral险DoS爷模块不会遗警漏任何攻击圣并危害运用钟户网络应用麻的关键应用挠系统，Ra勺dware精还提供另一款道防护屏障武－入侵防范接。壤通过对比入诞侵特征库，纷Defen旬sePro圈阻止攻击数横据包来建立赏最后一道屏雄障。历入侵特征库夸罗列一系列跳会对网络造坛成严重破坏估的应用层攻隔击，通常包京括在Int蔬ernet鱼上近期出现要和爆发的滥票用带宽资源切的攻击，旦NetSk浮y,鲜、洪Bagle街、糖Mytob泛、钢Black穴mal楚、蛋Sober恨等蠕虫以及上它们的变种址都在其中。族Defen聋sePro野会对数据包瘦进行逐一检牢查，并根据陡恶意攻击模霜式执行特征腔比较。它可盟以识别肃Radwa肠re敬安全数据库撑中的脚1且6计00途多种攻击特什征。为了防觉范新的攻击鸣形式，数据显库会不断被弯更新。对于玉未知形式的株攻击，可以祥使用协议异寄常检查功能朱来检测。通施过检查协议尊的异常性，粱可以检测异盈常的数据包同碎片，而这燥大多数情况约下标识了恶捐意活动。哨快速洋的攻击特征小比较路为了支持数顽千兆位的特浩征扫描速度叹，Defe疤nsePr掏o专门采用樱了基于冬ASIC湿的强大加速射器案–St暑ringM影atch腥Engin妙eTM谜。客Strin曾gMatc摸hEng震ine渐支持并行的抛特征搜索操怎作，可对照着特征数据库墨进行高速的摩检测和数据项包比较。同础使用横Intel琴Pent忘ium4干CPU果进行串行特但征搜索相比葬，其字符串帜搜索速度提蛾高了麻300要倍。绢实时抑制攻惩击鲜当检测到恶宽意活动时，枪Defen绕sePro陆可能以任何舅组合形式立引即执行以下老的这些操作守：丢弃数据脆包、重置连惭接以及向管框理位置发送佣报告。这样智就为该设备阅之后的应用达、操作系统吼、网络设备牢和其它网络油资源提供了幅全面保护，霸以免它们遭航到蠕虫、病庆毒和其它形救式的攻击。效入侵防范的肆主要优势：蜘基于特征的另入侵识别，睬能够准确地挣识别和抑制密攻击；遭专用的硬件海加速器，确竹保了告诉的饮检测和防范锹以及网络吞雨吐量。带宽管理售在提供强大丹的安全功能爬同时，强Defen海sePro仰吃的带宽管理检功能。De度fense呼Pro能够母根据网络数亭据包的源/燥目的地址、胖应用端口和洁内容（IP煤head腾er或IP精Data乖）区分流量愤，还可以限扎制相同用户膨的并发会话迷和每个会话突的带宽，从朗而阻止和控咬制各种流量追的带宽应用逮。松其它安全相轻关功能娇除了上述四钓个功能模块龟外，Def赠enseP顾ro还提供忍以下功能：焦黑白名单（龟Black之and殿White捷List稍）女－疼访问控制列炕表震SynF自lood防途范模－刺为了提供全双面的Syn俘Flood怠攻击防范能兵力，除了D畏osshi伙eld和B焦ehavi羡oral或Dos之外铃，Defe抖nsePr夸o采用Sy最nCook伍ie技术基油于源地址监虎视来发现恶学意攻击源，娇并提供多重器级别的防范姨措施。吸异常流量（膊Anoma发lies）妙防范竿－炉为了逃避安宏全设备的检湾查，黑客通腾常会采用拆百包并将攻击裂分成多个数游据包碎片传既输。此类攻包击被称作A蛾nomal样ies。御针对此类攻损击，Def抄enseP蛋ro提供了氏也体动相应割的防范能力遗：枝异常协议类塌；远Buffe蚀rOve斩rflow弦类；病HTTP碎胃片类辩状态检测（婚State迷fuli攀nspec挪tion）星－织Defen层sePro旷提供针对协丑议滥用等攻炸击，提供状款态检测攻击威防范能力，狐可以防范的斩攻击例如：尺TCPF广loodi望ng河：壶SYN-A北CK(宪反射攻击摘),TC起P挡数据包风暴飘；育Steal到th谢扫描：通过汉发送计TCPf海in/典rst/排ack/倘syn-政fin泼数据包，以址图发现开放呀的端口；令DNSr证eply莲flood塔ing忘：债使用大量的举DNS响应姥数据包攻击仙服务器；税ICMP尝Echo寄reply盘floo擦ding揪：给使用大量的竭echo社reply熊数据包攻击殿服务器（S是murf）具；绿防扫描（A终nti－S薪canni圾ng）黑客稿在发起攻击洲之前，通常穗会试图确定禽目标上开放创的TCP/斥UDP端口必，而一个开跨放的端口通匙常意味着某鄙种应用，操衰作系统或者搭后门。De摇fense翼Pro提供催此类探测的牙防范能力。漏Defen蓬sePro刚的安全报告撞当创Defen宵sePro距检测到攻击押时，它会将惨该安全事件蒙报告。在报鹅告中包含有扎全面的流量趟信息，比如眨源裁IP等地址和目标岭IP虾地址、狐TCP/U详DP骡端口号、物于理接口以及限攻击的日期般和时间。可涉以使用设备阀日志文件和况报警表格在魄内部记录安桌全事件信息吉，或者通过动系统日志渠灿道、他SNMP屈陷阱或电子肿邮件将安全能事件信息发染送到外部。段还可以根据蹈网络中的实逮时安全状况视，以雷达图辜的方式提供技当前的攻击爬严重程度以衣及数量等信标息。辞Radwa耐re扁SIP时支持颈AppDi矿recto钩r保证了燕运营商级的梯VoIP服柜务；界AppDi摔recto慎r保证了衔融合服务的换高可靠性和金高性能；尊AppDi辜recto自r能通过同哑一IP地址至管理不同的哗SIP服务鼻烂–规他能根据依要求的SI得P服务或者颠其他SIP离参数区分流毫量，并转发倍到相关的S吨IP服务器众。这种方式眯能节约公网虎IP地址，值并通过增加坟更多的服务状到现存的S刮IP服务I体P地址映得到透明扩功展。交奴AppDi鼻recto开r持续监孝控SIP服倾务器的健康贷状态。当检凳测到SIP银服务器由于痒故障或维护牵宕机，Ap冻pDire毫ctor供自动切换到裂其他可用的滔SIP服务败器。厦AppDi堂recto谜r保证准到确计费出帐荐保证SIP后服务。梨AppDi驱recto稿r通常通乖过基于SI三P呼叫号码胞保持SIP外会话。Ap隆pDire把ctor确尤保同一SI管P呼叫里面蠢的所有信令迁数据包发送额到同一服务玻器。由于S直IP协议只绝用于会话信符令而不是真摇实数据传输挤，保持SI逗P会话能让令同一服务器于看到同一S管IP会话的壤发起和终结霜。对于基于版时长计费的泄的SIP服如务来说是非悔常关键的。族AppDi蚂recto慎r/Def招enseP杂ro能保再护SIP服加务器免遭S宾IP漏洞攻灭击和DoS练攻击。佳随着数据和休语音的融合所，网络架构菊的安全性也膛成了关注要爹点。对于提藏供VoIP赖服务的运营鸡商和企业而挠言，威胁最驼大的攻击是隆那些能导致欺语音质量下屠降的攻击寻，这会导致品服务不可用猜。最简单导疏致语音质量屋下降的方式坛就是采用拒后绝服务攻击援（DoS）友或分布式拒炒绝服务攻击翠（DDoS惠）。储AppDi雁recto雨r/Def拦enseP猜ro完整番的安全功能叨集确保语音至服务不会受佣到DoS攻通击或其他针巧对SIP协永议漏洞的攻任，允许可靠驶持续提供的唤VoIP服寻务。乘图2屑表示了SI衰P环境中A竿ppDir庭ector怜的使用。很倘多服务，包培括SIP，幼通过单一公钻网IP地址薪提供服务。郑AppDi鉴recto夫r把来自吩客户的请求御转发到提供尼服务的Fa科rm,并气为每个呼叫习选择性能最馅优的服务器梯。对于已经具存在的呼叫签，AppD拣irect丽or确保选极择已处理呼恭叫的服务器边。激SIP和地圈址翻译固SIP负载案均衡的一个斩主要问题是蔬地址翻译。暗SIP网络列中的地址翻潮译非常复杂忌，因为IP词地址不仅出奖现在IP包见头，也存在习SIP数据叼包的其他部排位。采用A吹ppDir禽ector袋管理SIP奥流量，完全稻可以避免地姐址翻译。在雪SIP服务充器上配置环季路地址为四锹层策略虚拟蒜IP地址。蛛对于每个S游IP请求，拐AppDi回recto充r选择最优不的服务器，仪转发SIP参请求到该服庸务器，同时串保持目的I驱P地址不变文。由于服务弊器设置了环同路地址，从加服务器应答魂客户端的数锐据包的源地孙址为VIP施。泥烟环路地址设素置能和本地引三角传输一芦起使用，服欢务器应答直披接发送给客年户端，无需届经过App礼Direc弓tor转发则。但是在S尺IP网络环摆境中本地三程角传输并非游是必须的。青服务器的应奇答能通过A松ppDir胀ector逆转发或者直秀接发送给客采户端。独SIP会为话保持驶织SIP会话朵保持是通过拔查询SIP番数据包中的啄内容，主要挽的主叫号码嫌Call锻ID。管理爽员能采用下齿列之一或者嫂两者来实现辞会话保持。婆诱HASHI缴NG：采用祖HASHI迅NG分发方冶法，App败Direc磨tor根伪据基于主叫卵号码Cal粥l-ID哈旗希出来的结虾果选择可用舍的服务器。挑骂Sessi撞onIDs毁：通过Se列ssion躺IDs，A俩ppDir荡ector跳通过SI显P包头的强字段的值，毫比如Cal辉l-ID、圆分支标记等式。吧基于SIP裂的Farm讽选择格匹AppDi市recto相r能通过单伐一IP地址质（单一UR笨I）提供不铺同服务。不浩同的SIP晕Farm曲提供不同的灭服务，Ap吨pDire货ctor您根据每个S托IP请求包惊头内容选择舒相应的SI粮PFar售m。码专比如在下列硬情况，起初胖单一的服务录器同时作为伏SIP代理谢服务器和S魂IP注册服猫务器。用户净通过同一I晒P地址访问畅两个SIP厉服务。随着咳用户的增长垂，需要一个舞服务器用作涝注册服务器位，另外一个启服务器用作浅代理服务器仗。采用Ap磁pDire修ctor能攻方便实现这朋个功能。蛇两个服务通薪过同一IP燃地址或UR鼻I提供服务怒，因此这个嘱改变对用户拦是透明的。绳稳同样可以同级一公网地址仿增加服务。杨彩另外，当匹茶配特定策略狮，AppD困irect狠or能重芽定向SIP恐请求到其他匹SIP服务繁器或Far及m,。这个岁重定向是通揭过302廉SIP代码或实现的。烤这个功能是毙非常有用的丧，比如SI盾P注册服务艇器移到了其捕他服务器，物或者由同一予AppDi茄recto监r管理，或牙者由其他A纸ppDir皇ector乖管理，更或她者根本不由算AppDi挽recto哑r管理。更姓复杂的情况蜂是重定向特沃定域的注册筑请求到其他成SIP注册卡服务器。比猴如重定向所绕有Radw领are用户芳的注册请求踪到一个新加值入网络的注代册服务器。椅SIP健康慰检查饺戏AppDi奸recto镜r采用S驰IP健康检彩查确保SI瘦P服务器在娃线或健康。章者SIP健康率检查是通过乒SIPO蓬PTION数S方法来实判现的。这个选方法是用于欢查询SIP怜代理服务器横或SIP用贞户代理支持分的SIP功校能。SIP递OPTI半ONS方法晕并非多媒体永会话发起顺斜序的必须部松分，他也不狸是资源要求焦很高的。向SIP安宪全熟拒AppDi遇recto层r提供了完众整的方法保把护SIP协售议和防范D骗oS攻击。恨另外带宽管歇理策略确保印VoIP服抹务的持续。袋糊AppDi估recto枪r提供多耀层保护：厘仇网络层：A对ppDir纲ector赴包括了创新赴的网络行为叔分析技术，乖尤其对下列叉已知和未知剑（zero垦day）密的网络攻击搏有效：仗电SYNF讽lood浙薄TCPF番lood赖(Fin蛙+Ack绞,Res脚etfl之oods,沾Psh+A朵ck)送燥UDPF值lood晕绑RTPF沟lood背丰ICMP宅Flood悦警IGMP懒Flood协啊零日高速或滋低速自我复芝制蠕虫（比议如SQL沸Slamm沿er,B外laste养r,We脚lchia词等）里鲜网络攻击前鲁探测（网络跪扫描）赵摄采用先进的蚀统计分析，惕模糊逻辑和丢闭反馈过滤模机制，Ra呼dware惨的网络行为牧分析模块能活自动并主动领防止已知或躲零日网络泛方滥DoS攻竹击和自复制旱蠕虫。赠传输层：膊AppDi地recto希r通过行为丛技术提供传怪输层保护，感包括通常针增对服务器的易DOS攻击翁和带宽管理厘模块。Ap烧pDire墓ctor能亡检测、阻止筒或限制任何谦种类对于服甜务器的资源故滥用比如D忽NS查询泛耐滥、TCP观资源误用攻泛击比如TC记P连接建立贸泛滥攻击和印伪造SYN冬泛滥攻击鸽。余信SIP层：旋Radwa娃reSI著P行为层保广护包括一个贯新技术分析宾到服务器和勒从服务器返气回的SIP踢数据，源和御目的参数（纺比如SIP辜Fram比标记和SI嗓P