Radware数据中心战略

Radware 数据中心 战 略 November, 2010 Agenda Slide 2 Radware能 为 用 户带 来什么？ Radware数据中心 战 略之 应 用交付 Radware 数据中心 战 略之安全防 护 Radware数据中心 战 略之高效管理 总结 Radware 能 为 用 户带 来什么？ Slide 3 Radware - 优化用户数据中心 Radware 能 为 用 户带 来什么？ Slide 4 快速应用交付 全面安全防护 Radware数据中心 战 略之 应 用交付 数据中心面临的应用交付挑战 快速 如何消除应用层和网络层之间的瓶颈，是核心业务能快速交付到客户手中 ? 效能 您如何保证核心业务应用的高效运行 ? 稳定 如何保持 Internet出口和核心业务运行的稳定 ? 可扩充性 您如何确保在可预期的未来 ,数据中心的扩充能够花费最小的投资已达到最大的效益 ? 降低成本 如何能够解决上述问题而且又能够降低成本 ? Slide6 我们保障数据中心核心业务的快速应用交付 Radware 应 用交付 产 品 Slide 7 LinkProof AppDirector / Alteon Radware 应 用前端解决方案 AppDirector/Alteon & Users Employees Customers Partners Data Center Application Servers Web & Portal Servers Database servers Application Security & QoS B/DoS Protection Syn Protection QoS Capabilities Compliance & Reporting Max Throughput 20Gbps AppDirector/Alteon Application Availability Layer 4-7 Load balance Health monitoring Local traffic redirection Global traffic redirection Persistency Redundancy Application Acceleration SSL acceleration Compression Caching TCP multiplexing TCP optimization IPv4 / IPv6 Slide 8 Radware全局 负载 均衡 实现 多数据中心 访问 容灾 Database Servers Firewall Data Center 2 Front Tier Middle Tier Database Servers Firewall Data Center 1 Front Tier Middle Tier AppDirector Local / Global TR AppDirector Local / Global TR Internet Slide 9 User accesses data center Resource 100 150 Data Center HIS Servers Web & Portal Servers Database servers & Users Employees AppDirector Employees 北京地 坛 医院 HIS/PACS系 统 拓扑 Slide 10 方案特点： 一、实现医院 HIS/PACS系统负载均衡，提高医院运行效率； 二、实时监控 HIS/PACS服务器运行状况，保证用户最优访问； 潍 柴 动 力 GSLB系 统 拓扑 Data Center Application Servers Web & Portal Servers Database servers Users AppDirector Users 电 信 网通 山 东潍 坊 Application Servers Web & Portal Servers Database servers AppDirector 新加坡 办 事 处 Data Center Internet Slide 11 方案特点： 一、通过 GSLB实现全球用户对核心应用的最快访问； 二、实现了异地多数据中心的互为灾备； 三、通过 AD实现了本地多链路的入向负载均衡； Router Router Switch Firewall Application Servers Web & Portal Servers Internet LinkProof Switch Students Teachers LinkProof Link Load balance (Proximity) Link Health monitoring Smart NAT-Traffic redirection Client Table Log Flow Control Redundancy Radware 应 用 访问 解决方案 - LinkProof Slide 12 ISP1 ISP2 Throughput (bps) 4G 16G 8G LinkProof 按需 扩 展硬件平台 100M Slide 13 Throughput licenses: LP 108 up to 100Mbps LP 208 up to 200Mbps LP 1008 up to 1Gbps LP 2008 up to 2Gbps LP 4008 up to 4Gbps Throughput licenses: LP 8016 up to 8Gbps LP 12016 up to 12Gbps LP 16016 up to 16Gbps Slide 14 Database Servers Application Servers Web Servers Firewall 2 x LinkProof Slide 14 电 信 联 通 Internet 电 信通 首都机 场 网 络 出口拓扑 2 x Bluecoat Local Users HTTP Traffic Non HTTP Traffic 方案特点： 一、 Flow控制技术实现网络出口安全及优化； 二、实现 Bluecoat的负载均衡及冗余切换； 三、通过 L4-L7信息识别流量类型，智能转发流量； Slide 15 复旦大学网 络 出口拓扑 Slide 15 校园网 东 区用 户 邮电 Firewall 特殊用 户 电 信 2* LinkProof 4016 Cernet 联 通 Internet 方案特点： 一、高性能的 ODS设备承载网络出口小包大流量； 二、 Proximity实现用户到达 Internet的最快访问； 三、独有的内部 DNS解决方案实现入向负载均衡； Slide 16 Database Servers AIP Web Servers Firewall Slide 16 电 信 网通 Internet Radware数据中心 战 略之 应 用交付 CPP 最快响应 LinkProof AppDirector 高效稳定 实时可用 快速应用交付 实现 从服 务 器端到客 户 端的快速 应 用交付 Radware数据中心 战 略之安全防 护 数据中心面临的安全风险与挑战 可靠度 您如何确保企业应用程序能在网络攻击下正常运行 ? 效能 您如何保证您的用户在网络攻击下能够保持相当程度的联机质量 ? 安全性 如何考虑资源的滥用与数据的流失造成巨大的成本支出 ? 可扩充性 您如何确保在可预期的未来 ,数据中心的扩充能够花费最小的投资已达到最大的效益 ? 降低成本 如何能够解决上述问题而且又能够降低成本 ? Slide18 我们给予数据中心全面的安全防护 Radware 安全 产 品 Slide 19 AppWall Web 应 用防火 墙 (WAF) DefensePro 网 络 安全方案 基于特征防护的 IPS 漏洞研究中心 周期性特征升级 特征保护 已知漏洞攻击防范 : 蠕虫 , 木马 , 客户端漏洞 间谍软件 , 邮件和 web漏洞 , VoIP 漏洞 异常探测 协议 (状态监测 , RFC 标准 ) 流量 (基于流量 , 流量限制 ) 断电 保护 Fail-Open 串联接入 集中式配置、管理和报告 传统 IPS特性 Slide 20 July 2009 Cyber Attacks From The News Slide 21 Slide22 传统 IPS面对新型攻击时的局限性 Internet Public Web Servers Bot (Infected host) Bot (Infected host) Attacker BOT Command C&C Server Bot (Infected host) Bot (Infected host) Legitimate User Mydoom.EA Botnet特性 50,000 僵尸计算机 多样化的攻击手法 : HTTP page flood SYN flood with packet anomalies UDP flood ICMP flood 目的为美国与南韩 6-7 Gbps inbound traffic(2 Million PPS) Radware网络安全防护 - DefensePro Slide23 Internet Access Router Web Servers Application Servers Firewall DoS Protection IPS NBA Anti Trojan / phishing IPS DoS Protection NBA DefensePro IPS DoS Protection NBA Radware DefensePro 提供 All-in-One的解决方案 一款合众多功能于一身的新型 IPS DefensePro IPS DoS Protection NBA 采用 DefensePro一次搞定 ! Slide24 IPS DoS Protection NBA 特征码 侦测 Rate-based Rate-based 行为化 分析 特征码 分析 行为化 分析 状态异常 分析 SYN Cookies IPS:静态特征码防御 特征码防御 顶尖资安事件搜寻团队 防御已知的应用程序弱点 周期性与紧急性的特征码更新 可立即启用防御 Worms, Bots, Trojans, Phishing, Spyware Web, Mail, SQL, VoIP (SIP), DNS vulnerabilities Anonymizers, IPv6 attacks Microsoft vulnerabilities Protocol anomalies Slide 25 DoS Protection:实时特征防御 自动实时产生特征码防御网络 DDoS攻击行为 : SYN floods TCP floods UDP/ICMP floods 效益预期 维护重要应用资产能在攻击时可有效提供服务 有效阻隔攻击而不会造成正常联机中断 纯自动 ,实时性的防御网络 Flood攻击行为 ,无须人为干预 Slide 26 Network BehavioralAnalysis:实时特征学习防御 NBA (Network behavioral analysis)可侦测异常的用户与应用程序状态 自动实时产生特征码可有效防御 : 恶意软件的扩散 应用程序资源误用 : Brute force attacks Web application scanning HTTP page floods SIP Scans SIP Floods 效益预期 维护重要应用资产能在攻击时可有效提供服务 有效阻隔攻击而不会造成正常联机中断 纯自动 ,实时性的防御网络 Flood攻击行为 ,无须人为干预 Slide 27 版本 5.10 信誉引擎 Slide 28 Reputation 信誉引擎 : 实时 反 馈 保 护 网 络 用 户 免于下列威 胁 金融欺 骗 信息盗取 已知与未知 恶 意 软 件 扩 散 RSA Anti Fraud Command Center (AFCC)实时 反 馈 市面上最大最具 经验 的反欺 诈团队 预 防 木 马 安装及 远 程控制 用 户 信息披露 网 络钓鱼 企 图 Slide 29 ERT 紧 急响 应 小 组 Slide 30 ERT 紧 急响 应 小 组 背景 : July 2009 大量 DDoS 事件在 USA 与 Korea 攻 击 新 趋势 往量与 质发 展 Radware决定 针对 此 类 攻 击 提供立即响 应 帮助用 户 解决 问题 ERT目 标 To provide swift and professional response that allowed customers to neutralize attacks and restore network and service operational status 特性 24x7 服 务 立即响 应 打 击 DoS/DDoS 攻 击 与 恶 意 软 件 扩 散 Slide 31 多任务分类各司其职 Slide32 OnDemand Switch 平台效能可透过软件升级方式至 12Gbps DoS Mitigation Engine ASIC 高效能芯片组防御 防御巨量攻击 可防御 高达 10 Million PPS攻击事件封包 NBA Protections 防御应用资源滥用 防御恶意软件与蠕虫扩散 IPS 硬件芯片进行特征码比对分析 防御已知的应用程序风险与漏洞 Reputation Engine 对抗木马与钓鱼威胁 Slide 33 相对的优势 Multi-Gbps Capacity Legitimate Traffic 10 Million PPS Attack Traffic Other Network Security Solutions Multi-Gbps Capacity Legitimate Traffic + Attack Attack Attack Attack Traffic DefensePro 攻击事件流量 , 需要耗损 IPS资源进行防御 ,造成影响正常流量行为 攻击事件流量不会影响正常流量行为 DefensePro 特点 单 机提供网 络 与数据中心最佳安全方案 : 入侵防御 (IPS) DoS 攻 击 防 护 网 络 行 为 分析 (NBA) 信誉引擎服 务 多重安全科技 专 利 最佳防御性能方案 DME DoS 防御引擎 在攻 击 状况下依然 维 持正常 处 理量 最佳 CAPEX 单 机提供多重安全工具 按需升 级 许 可 证 平滑升 级 最低 OPEX 自 动实时 防 护 无需人工介入 Slide 34 “Radware offers low product and maintenance cost, as compared with most competitors.” Greg Young & John Pescatore, Gartner, April 2009 陕 西 电 信 DNS安全防 护项 目 Customers Data Center DNS Servers AppDirector Firewall DefensePro Slide 35 Customers Customers DNS Servers Internet 方案特点： DefensePro基于行为的安全防护有效防范对于 DNS Server的安全威胁 关于 Web应 用安全的 统计 进 来研究 显 示 75% 的攻 击 在 Web应 用 层执 行 2005年 2月以来，大 约 8,000万条 记录 因 为 黑客攻 击 有被盗取的威 胁 目前网 络 上的 Web站点存在着有超 过 8,000 个漏洞 70% 的 Web站点有随 时 被黑客攻 击 的危 险 关于 Web站点漏洞的 统计 客户信任度丧失 网站可信性受到损害 收入减少 站点宕机时间增加 恢复和维修的话费 法律责任 No one in the Internet is immune from security threats! 网站被黑客攻 击 后的 损 失 Network Access (OSI Layer 1 3) Protocols (OSI Layer 4 7) Application (New Layer 8+) Network Layer Application Layer Data Layer 传统防火墙只侦测网络层的攻击 只检查 IP位置，网络服务端口号 (TCP/UDP service port) IPS 设备只检查已知的攻击特征 无法解读应用程序内容；造成高度的误判及漏判 无法追踪使用者及联机信息 ； 无法保护 SSL流量 只有 Web Application Firewall 能阻止应用层的攻击 ! Perimeter Firewall Network Firewall Data Center Firewall Radware AppWall Web Application Firewall Departmental Firewall Intrusion Prevention System (IPS) & Deep Inspection Firewall WAF的必要性 Introducing AppWall Radwares AppWallTM 是用于保障 Web应 用安全与符合 PCI安全 规 范的Web 应 用安全防火 墙 (WAF) 系 统 防 护 Web 应 用安全威 胁 与弱点保 护 避免公司与个人敏感数据遭窃取与修改 Slide 40 Technology owned by Radware AppWall 简 介 Slide 41 Internet Access Router Web Servers Firewall DefensePro ADC 完整 web应 用保 护 - OWASP Top-10 威 胁 完整涵盖防 护 - 正向与 负 向行 为 分析提供 16层侦测安全防 护 AppWall 威 胁 管理 提供 详 尽的安全 报 告 符合 PCI 安全 规 范 - 高 级 安全 报 告与合 规 化 报 告 - 同 时 提供 WAF + IPS (PCI 6.6 & 11.4) 安装迅速 同 类 最佳自 动 策略生成机制 Tunnel-IP (untrusted zone) Interface-IP (trusted zone) Server-IP (Protected Web Server) Client-IP Security Filter Security Policy AppWall 是如何做到的 Slide 42 攻 击报 告 安全 监 控 合 规报 告 安全与合 规报 告 Slide 43 最高 级 与 详细报 告 PCI compliance reports Security reports, learning reports, audit reports Web & Portal Servers Database servers Users AppDirector Users 北 仑 区政府 应 用安全拓扑 AppWall Internet DefensePro Slide 44 方案特点： 一、 DefensePro基于行为的安全防护有效防范各种安全威胁 二、 AppWall实现门户网站的基于 Web应用的安全防护 三、 AppDirector实现门户网站的最快交付 Radware数据中心 战 略之安全防 护 Slide 45 Internet Access Router Web Servers Firewall DefensePro ADC AppWall AppWall 提供 Web 应 用威 胁 完全防 护 PCI 合 规 化 DefensePro 在网 络层 提供攻 击 防御 提供网 络 架构与 应 用保 护 实现 从网 络层 到 应 用 层 的全面安全防 护 Radware数据中心 战 略之高效管理 Radware 数据中心 战 略之高效管理 Slide 47 APSolute Vision 管理与安全日志系 统 Easy access for all device configuration topics Hierarchical logical element grouping Cross-referenced data entry Graphical change notation Drill-down configuration topics Inline filtering Page 48 APSolute Vision:配置 Easy access to monitoring topic