《Radware产品培训》PPT课件.ppt

Radware Shanghai Office SE Gavin Wu 吴国强Radware 产品培训 1 IDS Farm Radware solution overview Cache Anti-Virus URL Filtering Passive SSL Firewall/VPNs SSL Acceleration Switch Server Farms Multi-homing LAN Radware Solutions SynApps Enabled 2 借助以下功能可确保交易实现端到端的完整性 : 丰富的应用感知服务组合 -. SynApps TM 架构 SynApps TM 应用安全 DoS 攻击保护 带宽管理 流量 重定向 健康状况监视 3 Radware 网络连接解决方案 4 Critical Resources 活动/被动备份方式 FirewallSwitch X 单一 ISP & 单一活动链接 冷备模式 冷背线路大部分时间处于空闲 成本昂贵 为了降低成本,备份线路往往负载能力比较有限 需要人工手动切换 效率低,成本昂贵 空闲带宽 单链路存在单点故障 5 LinkProof多宿主解决方案 Radware的多宿主特性设定,通过对每个ISP连接实时的监控,健 康检查以及安全和性能的确认保证智能的选择可用链路，分配 流量负载,保证关键业务的应用。 Local Network Radware Access Router Radware 6 出网流量负载均衡 LinkProof ms150 ms350 ms200 7 入网流量负载均衡 LinkP Local DNS S DNS ROOT DNS ms200 ms250 ms350 = IP-ISP1 = IP-ISP1 8 There are 4 tunnels 3 4 所有的LinkProofs交换以下信息： 链路和VPN网关工作状态 就近性判断结果 实时负载状态 优先路径选择基于: 远端分支机构本地的链路状况 总部的目的站点网络链接状况 Branch Office HQ LinkProof实现VPN负载均衡 9 Radware 面向应用解决方案 10 丰富的会话保持技术 简单会话保持 根据客户端源IP地址保 持客户会话的技术 HTTP Header 根据HTTP包头信息保持 会话的技术 SSL ID 会话保持 根据SSL ID保持客户/服 务器连接的技术 HTTP Cookie 会话保持 插入模式,改写模式, 被动 模式, 散列模式(Cookie Hash) SIP ID 会话保持 DHCP 会话保持 RADIUS会话保持 1 2 3 1 2 3 Radware AppDirector 11 全局性能优化 最精确的站点选择算法: 站点可用性 站点实时负载 用户到站点的就近性 (专利保护) Widest set of transparent traffic redirection methods: DNS 重定向 HTTP重定向 RTSP重定向(独有) 三角重定向 (专利保护) Client NAT 以上方式的混合 12 Toronto AppDirector AppDirector AppDirector AppDirector Amsterdam San Francisco Berlin Health Check Passed Health Check Failed Health Check Passed 全局业务的连续性 Multi-layered fault tolerance: Server, application, device and site redundancy Health Check Passed 13 Hong Kong AppDirector NYC AppDirectorTokyo London 200ms 400ms 300ms 100ms Traffic redirection is based on: Site availability, load and proximity to end user. (Part No. 6718359 ) 4 redirection methods are available: DNS, HTTP, RTSP and Global triangulation AppDirector AppDirector 全局流量管理 e servers operation by offloading CPU intensive tasks Compensate for WAN latency 14 AppDirector AppXcel Router Client Web Front end Servers SSL 加速Web 压缩 AppXcel:应用优化 TCP 复用 TCP 优化(reordering) Image 压缩 压缩缓存 15 AppDirector AppXcel Load balancing decision HTTPS Load balancing decision HTTP servers HTTP HTTPS HTTP HTTP HTTPS HTTP AppXcel:SSL 加速 把服务器端的SSL功能卸载到AppXcel, 加速SSL交易 16 AppDirector AppXcel Router Client Web Front end Servers AppXcel:TCP 复用 多条HTTP/TCP 会话 AppXcel TCP 复用:把多条TCP会话复用到一条TCP 会话,大大减轻了服务器处理会话的负担. TCP 17 文件大小缩小10倍 AppXcel:Web/Image 压缩并缓存 AppDirector AppXcel Router Client Web Front end Servers 压缩前 压缩后 压缩后缓存,避免二 次压缩而降低性能 18 AppDirector Access Router HTTP servers AppXcel HTTPS Application Security detects attack Session is dropped HTTPS HTTP Appdirector + AppXcel: 检测基于SSL 的攻击 19 精心特制多层架构 多层架构设计通过消除对CPU的竞争达到性能的最优 减少的拥有成本 + 最强的可靠性 BypassBypass PPC 7457 1.3GHz PPC 7457 1.3GHz Network Processor Network Processor Network Processor Network Processor 8X1GE 12X10/100/1000 44Gb ASIC based Switch 减少额外的硬件开销 . 最低限度的管理操作 线速2-3层交换 高端口密度 完全兼容网络协议 (VLAN tagging, VRRP) 减轻CPU负担 没有 安全-性能 之间 的折衷 专用的4-7层处理器减 少应用处理对CPU的 竞争 并发字符串搜索，硬 件加速卡 (SME) 为处理的完整性 & 业务的持续性提供集 成的可靠性，高性能 和安全 实时健康检查，复杂 的7层交换算法，QoS & 安全策略强化 2nd Tier: Network processors & SME 3rd Tier: Powerful RISC processor 1st tier: Non- blocking backplane 20 全系列产品线 透明扩展性 (性能 + 集成的功能) Application Switch 1 2345 Max Throughput 200Mbps1000Mbps3000Mbps3000Mbps6000Mbps Port density 2x1GE (GBIC) +8xFE 5x1G (GBIC) + 16 FE(100) 1x10GE +7x1G (GBIC) +16xFE(100) 20 GE (8 GBIC + 12 Copper) 2x10GE +17G (9 GBIC) +8 Copper) ASIC switch Backplane9.6Gbps19Gbps N.B.44Gbps N.B.44Gbps N.B.88Gbps N.B. CPU - MPC 7410 500Mhz MPC 7457 1Ghz MPC 7457 1.3Ghz MPC 7448 1.7Ghz Networking Processors -2x650MHz2x750MHz4x800MHz Internal bypass (DP) - Functionality 21 Radware 安全解决方案 22 Radware 网络安全解决方案 Radware 提供了两个解决方案： 网络安全防护优化 - SF 和 CID。 它们通过确保传统的安全性设备（比如防火墙、VPN 网关、IDS、防病毒系统，等等）的可用性和最优化的性能， 来保证安全策略的贯彻执行。 第一层主动防护 DefensePro 业界最快的IPS（Intrusion Prevention System） 专用的高性能硬件提供了实时的应用防护 23 网络安全防护优化 SFCID 24 单点失败 性能受到限制 无法扩展 LAN URL 过滤 访问 路由器 防火墙 /VPN E-Mail 过滤 IDS IDS Anti-Virus 网关 它们如何共同工作？ 25 安全优化 提供持续的应用和网络安全 确保安全资源始终可用并且是最优化的 应用级别的保护（入侵防范和 DoS 防护） LANSecurFlow 访问 路由器 防火墙 CID AV 群集URL 过滤 IDS 群集AppXcel 26 应用隐患 Web 应用/分布式应用已广为普及 大多数攻击（蠕虫、病毒、DoS）都是通过 80 端口 进行的 来源：Network World， 2003 年 8 月 27 DefensePro 业界最快的IPS，可隔离、拦 截和预防攻击，从而实现即时、高性能的 应用安全 DefensePro 简介 28 第一层防护 Users 路由器 服务器 交换机 LAN 数千兆位速度的应用安全保护，可防范入侵、病毒和蠕虫 实时防范拒绝服务攻击和拦截 Syn flood 攻击 协议异常性检测 全面监视和隔离攻击 简单的串联式安装 防火墙 DefensePro 29 企业应用安全 Users 路由器 服务器 L2/3 交换机 第 1 层 第 2 层 第 3 层 DefensePro 实时保护所有的局域网单元和应用 清理所有的入站/出站流量 将攻击隔离起来，防止影响分布式 关键应用 没有修补上的管理 30 Simple Security Configuration Connect Networks/TrafficConnect Networks/Traffic Modular Security Services 31 Attack Logs Reports 32 Attack Reports Reports 33 实时安全雷达图 34 自动更新 35 DefensePro 架构 Security Update Service 36 Adaptive Fuzzy Logic Decision Engine Attack area Suspect area Normal area Bytes/sec axis Protocol distribution% axis Attack Degree axis HIGH MEDIUM LOW Normal Adapted Area 37 WAN Blocking Rules RT statistics Fuzzy Logic Engine Learning Footprint Lookup Behavioral DoS System Modules Attack Characteristics Source/Destination IP Source/Destination Port Packet size Type of Service TTL (Time To Live) DNS Query DNS ID Packet ID More (up to 17) Initial filter is generated: Packet ID Degree of Attack = Low (Positive Feedback) Filter Optimization: Packet ID AND Source IP Filter Optimization: Packet ID AND Source IP AND Packet size Degree of Attack = High (Negative Feedback) Filter Optimization: Packet ID AND Source IP AND Packet size AND TTL Degree of Attack = High Degree of Attack = Low Narrowest filters Packet ID Source IP Address Packet size TTL (Time To Live) 12 3 4 5 Inbound Traffic Outbound Traffic 38 Fuzzy Decision Surface Scenario 1 Rate-invariant anomaly axis Attack area Suspicious area Normal adapted area Attack Degree = 5 (Normal- Suspect) Abnormal rate of Syn packets Normal TCP flags distribution Legitimate mass-crowd enter news site Rate-based anomaly axis Y-axisX-axis Z-axis Attack Degree axis 39 Fuzzy Decision Surface Scenario 2 Rate invariant anomaly weight axis Attack area Attack Degree axis Attack Degree = 10 (Attack) Abnormal rate of UDP packets/sec Abnormal protocol distribution UDP/total and UDP/ICMP unreachable UDP Flood Rate-based anomaly weight axis Y-axis X-axis Z-axis 40 管理 41 APSoluteInsite 42 设备管理 ConfigWare Insite ConfigWare 基于Java 全图形化界面 SNMP Telnet 访问 SSH 访问 Web 管理 HP OpenView 模块 命令行方式 43 可以查看元素运行状态 (main, backup) 可以查看设备的逻辑配置 (e.g. SF-Farm-Logical Server) 可以定位元素在图中的位置 可以在树形目录中搜索元素 可以查看设备运行状态 (main, backup) 44 硬件架构Switch 所有产品都支持端口级ASIC芯片 内置Network Processor 最多可支持8个光纤接口，且光纤接口可支持LX，SX 支持万兆接口 采用非旋转介质 Flash MTBF平均无故障运行时间长 高性能 软件专有的操作系统 高安全性 更合理的使用内存资源 内存手工分配，对不同功能所占用的内存进行合理分配，各功能间不会互相强占资源。 功能冗余功能 采用网络设备通用的标准VRRP协议(RFC 2338) 免费支持RIP1,RIP2,OSPF等路由协议 内置的IPS和DOS安全模块及BWM模块，可以提供高性能的IPS及防DOS等攻击能力 本地负载均衡产品Appdirector-Globle 1.除具备服务器负载均衡功能，内置的IPS及防dos攻击安全模块更可以为服务器提供更安全的保障 2.Appdirector+Appxcel的旁路SSL加速解决方案，使SSL流量为用户提供高性能，高稳定性及高可扩展性。 3. Appdirector-Pro只需付费换License即可升级为具有Appdirector-Globle功能的设备，同时完成本地及全局 负载均衡 全局负载均衡Appdirector-Globle 1.已申请专利的“就近性”访问技术。技术专利号:6718359 2.内置的IPS及防dos攻击安全模块更可以为服务器提供更安全的保障 产品优势 45 Radware成功案例 成功案例 46 成功案例 企业成功案例 47 鲁能信通广域网 数字电路 天融信 防火墙 100M 100M 100M HDPIHDPI环境拓扑示意图环境拓扑示意图 BCN 100M 接入 路由器 交换机 Passport 8600双机 B Contivity 2700 4 x E1 4 x E1 H F 济南 总部 莱芜 电厂 100M 交换机 VPN访问网段： /22 VPN访问网段： /22 华电集团 J 6509 L M N O Contivity 1700 48 鲁能信通广域网 数字电路 100M 100M 100M 100M HDPI LPHDPI LP解决方案拓扑方案示意图解决方案拓扑方案示意图 BCN 100M 接入 路由器 Passport 8600双机 B D A,C,R,K Contivity 2700 防火墙 4 x E1 4 x E1 FW-A LP-A H F LP-A 100M 济南 总部 莱芜 电厂 交换机 华电集团 J E 6509-1 L M N O I P Q C1700 S G T U LP-B LP-B FW-B 6509-2 HSRP 红色部分为电厂将 来扩展双机系统 49 Shanghai Baosteel 2 LPs Internet links LB 2 CIDs control LAN user HTTP traffic, flow control between AV farm and Cache farm. 50 成功案例 运营商成功案例 51 运营商成功案例-北京网通 北京网通为宽带接入用户提供VOD视频点播的增值服 务，大量的VOD点播节目吸引了更多的接入用户，成 为了北京网通新的经济增长点。 为保证该项服务可以长期稳定的运行，北京网通需要 ： VOD业务7*24小时持续运行 能够为流媒体及Cache服务器提供负载均衡 承受大量用户的点播访问 为实现北京各地区的用户就近访问，建立CDN网络 后台服务器不受安全威胁 52 Radware 应用前端解决方案 北京宽带网 Catalys t 6509 AppDirector-Global 电报局中心节点 皂君庙节点国际局节点中关村节点望京节点东单节点西客站节点 紫竹院节点 Cataly st 6509 MMS Cataly st 6509 MMS C