Radware DP产品描述.doc

Radware DefensePro1 市场定位当前，随信息化发展而来的网络安全问题日渐突出，这不仅严重阻碍了社会信息化发展的进程，而且还进一步影响到整个国家的安全和经济发展。面对网络安全的严峻形势，如何建设高质量、高稳定性、高可靠性的安全网络成为我们通信行业乃至整个社会发展所要面临和解决的重大课题。现如今，全球网民数量已接近7亿，网络已经成为生活离不开的工具，经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以 及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。人们在享受到各种生活便利和沟通便捷的同时，网络安全问题也日渐突出、形势日益 严峻。网络攻击、病毒传播、垃圾邮件等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。（以上摘自通信信息报）威胁触目惊心 根据公安部一份信息网络安全状况调查显示，在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中，发生网络安全事件的比例为58。 其中，计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79，拒绝服务、端口扫描和篡改网页等网络攻击事件占43，大规模垃圾邮件传播造成的安全事件占36。特别地，计算机病毒的感染率为87.9，比上一年增加了2。 上述调查对象都是国内信息安全投入比较高的大行业，防火墙、入侵检测、防病毒等常见安全产品基本都已部署，但仍然遭受了触目惊心的安全危害。1.1 传统安全架构无法应对基于应用的攻击模式防火墙无法保护处于它身后的网络不受外界的侵袭和干扰防火墙一直是网络及应用安全的代名词，在瞬息万变的信息时代，这个曾经叱咤风云的一代宗师，今天却成为了信息安全的误区，防火墙并不能保证网络的绝对安全：l 入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门；l 防火墙不能防止来自网络内部的袭击，通过调查发现，将近65%的攻击都来自网络内部，对于那些对企业心怀不满或假意卧底的员工来说，防火墙形同虚设； l 传统防火墙不具备对应用层协议的检查过滤功能，无法对Web攻击、FTP攻击等做出响应，防火墙对于病毒蠕虫的侵袭也是束手无策。我们试想发，应用向WWW转换后，原来每一个应用的报头信息，今天全部成为WWW 应用的净负荷（PAYLOAD），防火墙若不具备深度包检测的机制，应用向WEB转变将导致防火墙形同虚设，根据GARTNER 的预测，如果防火墙还只局限于状态检测而不具备深度包检测的机制，将很快面临淘汰的厄运。IDS无法完全弥补防火墙的不足为了弥补防火墙应用协议检查的不足，在网络世界里，人们开始了对入侵检测技术的研究及开发。IDS技术应时而生，为网络提供实时的监控，并且在发现入侵的初期采取相应的防护手段。但是，人们也逐渐意识到IDS所面临的问题。 l 较高的漏报率和误报率。l IDS是以被动的方式工作，只能检测攻击，而不能做到真正实时地阻止攻击。1.2 单一的IPS和DOS防范模式无法应对层出不穷的攻击手段今天网络黑客的攻击手段多种多样，总结起来分为两类，一类是INTRUSION（入侵），另一类为DDOS（拒绝服务）。这就是为什么今天市场上流行着两大类型的安全产品：IPS（入侵防护系统）及ANTI-DDOS（拒绝服务防护系统）。而今的IPS 及ANTI-DDOS 的方式主要有：l 通过攻击特征库查询来防御攻击入侵和DDOS攻击；l 通过阀值的限制来实现DDOS攻机防范。但不幸的是，上述防范方式无法应对层出不穷的攻击手段：l 攻击特征码只有在攻击发生以后才能被分析出来，因此这种防御手段虽然有效，但是缺少足够的主动性；l 通过阀值的限制误判的可能性极大，会在防范攻击的同时严重损害正常的应用和服务；l 新型的攻击层出不穷，基于特征和基于阀值的防范方式都只能从网络的行为的局部来降低攻击带来的负面影响。因此，在网络安全形势日益严峻的今天，我们需要多层次的、真正了解网络行为并行之有效的主动防范机制。2 Radware DefensePro（DP）功能Radware在业内首先提供了高达6千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击，从而为所有网络化应用、用户和资源提供了直接保护。DefensePro是市场上唯一同时具备IPS，ANTI-DDOS，基于网络行为模式BDOS的安全产品，并具备带宽管理功能，有效地在出口限制P2P应用带宽及垃圾流量。2.1 DefensePro攻击防范DefensePro 采用了多层安全架构，分别检测和抵抗不同类型的攻击，确保只有“清洁”流量进入收保护的区域。2.1.1 Dosshield实现已知攻击工具防范DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量，提供了实时的、数千兆位速度 的DoS防范。该机制会对照DefensePro 攻击数据库中的DoS攻击特征列表（潜在攻击）来比较流量样本。一旦达到了某个潜在攻击的激活阈值，该潜在攻击的状态就会变为Currently Active （当前活动），这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征，相应的数据包就会被丢弃。如果没有匹配的特征，则会将数据包转发给网络。借助高级的取样机制检测DoS 攻击，DoSShield只在出现了严重带宽滥用的情况下，才会判断攻击的存在，它会外科手术般地采用逐包过滤除去攻击流量。而当攻击不再活跃时，DoS Shield也能检测到相应状态并停止逐包过滤的操。这样不仅可实现完全的DoS和DDos 防范能力，而且还保持了大型网络的高吞吐量。Dosshield的主要优势：l 监听和采样机制，只有在出现严重攻击时才采取防范措施，保证了大型网络的高性能和高吞吐量；l 基于特征码的防范策略，对正常应用无影响，保持了极低的误判率。DoS Shield作为第一道防范体系，负责在抵御已知Flood攻击的同时传输其他流量，而这些其他流量中还可能包含未知的新型攻击，它们将由第二道防范体系Behavioral DoS 模块来实现防护。2.1.2 Behavioral DoS基于网络行为模式实现自动攻击防范借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术，Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒，避免危害的发生。Radwares 自适应Behavioral DoS防范模块自动学习网络上的行为模式，建立正常基准，并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。 通过概率分析，该模块使用一系列提取自数据包包头和负荷的参数，例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum值等共17 个参数，来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量，该模块还会采用“与”“或”逻辑运算来尽量精确攻击的防范策略。 所有上述流程都由DefensePro自动完成，无需人为干预，能够在数千兆位的网络环境中精确防范已知攻击、Zero-day Dos/DDos攻击和自我繁殖网络蠕虫。Behavioral DoS 防护模块的攻击检索机制即不使用特征码，也不依赖于用户定义的行为策略和阀值。它还可以自动适应网络中的正常流量变化，因此它不会影响网络中的正常应用行为。B-DoS 能够非常有效的抑制以下已知和未知的攻击：l SYN Floodl TCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods) l UDP Floodsl DNS floods (基于UDP 53端口)l UDP Flood 和 ICMP反向散射(unreachable 信息) l ICMP Floodsl IGMP Floods l Zero-Day 高速自我繁殖蠕虫(SQL Slammer, Blaster, Welchia, 等) Behavioral DoS的主要优势：l Zero-day Dos/DDos的未知攻击防范，无需认为手工干涉；l 对DoS攻击的完全防范，较低的CPU资源消耗；l 自适应的行为判别模式，将误判率降至最低；l 完全自适应功能，无需策略配置，无需维护成本。2.1.3 入侵防范防范各类应用攻击为了确保DoSShield和Behavioral DoS模块不会遗漏任何攻击并危害运用户网络应用的关键应用系统，Radware还提供另一道防护屏障入侵防范。 通过对比入侵特征库，DefensePro阻止攻击数据包来建立最后一道屏障。入侵特征库罗列一系列会对网络造成严重破坏的应用层攻击，通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击，NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。DefensePro会对数据包进行逐一检查，并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1600多种攻击特征。为了防范新的攻击形式，数据库会不断被更新。对于未知形式的攻击，可以使用协议异常检查功能来检测。通过检查协议的异常性，可以检测异常的数据包碎片，而这大多数情况下标识了恶意活动。快速的攻击特征比较为了支持数千兆位的特征扫描速度，DefensePro专门采用了基于ASIC的强大加速器 StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作，可对照特征数据库进行高速的检测和数据包比较。同使用Intel Pentium 4 CPU进行串行特征搜索相比，其字符串搜索速度提高了300倍。实时抑制攻击当检测到恶意活动时，DefensePro可能以任何组合形式立即执行以下的这些操作：丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护，以免它们遭到蠕虫、病毒和其它形式的攻击。入侵防范的主要优势：l 基于特征的入侵识别，能够准确地识别和抑制攻击；l 专用的硬件加速器，确保了告诉的检测和防范以及网络吞吐量。2.1.4 其它安全相关功能除了上述三个模块外，DefensePro还提供以下功能：黑白名单（Black and White List）访问控制列表Syn Flood防范为了提供全面的SynFlood攻击防范能力，除了Dosshield和Behavioral Dos之外，DefensePro采用SynCookie技术基于源地址监视来发现恶意攻击源，并提供多重级别的防范措施。异常流量（Anomalies）防范为了逃避安全设备的检查，黑客通常会采用拆包并将攻击分成多个数据包碎片传输。此类攻击被称作Anomalies。针对此类攻击，DefensePro提供了也体动相应的防范能力：l 异常协议类；l Buffer Overflow类；l HTTP碎片类状态检测（Stateful inspection）DefensePro提供针对协议滥用等攻击，提供状态检测攻击防范能力，可以防范的攻击例如：l TCP Flooding：SYN-ACK (反射攻击), TCP数据包风暴；l Stealth 扫描：通过发送TCP fin / rst /ack / syn-fin数据包，以图发现开放的端口；l DNS reply flooding： 使用大量的DNS响应数据包攻击服务器；l ICMP Echo reply flooding： 使用大量的echo reply数据包攻击服务器（Smurf）；l 防扫描（AntiScanning）黑客在发起攻击之前，通常会试图确定目标上开放的TCP/UDP端口，而一个开放的端口通常意味着某种应用，操作系统或者后门。DefensePro提供此类探测的防范能力。带宽管理在提供强大的安全功能同时，DefensePro 的带宽管理功能。DefensePro能够根据网络数据包的源/目的地址、应用端口和内容（IP header或IP Data）区分流量，还可以限制相同用户的并发会话和每个会话的带宽，从而阻止和控制各种流量的带宽应用。2.2 硬件架构DefensePro 6000DefensePro 6000的3层架构是为满足企业、电子商务公司以及通讯商在网络和应用保护方面最紧迫的需求而设计的。DefensePro 硬件平台的三个主要组件，它们分别是：l 交换结构和交换ASICl 网络处理器l 高端的Power PC RISC 处理器88 Gbps 的交换结构 & 业内最高的端口密度DefensePro无阻塞的88千兆位交换背板基于多层的分布式交换架构，使用了可选2个10GbE端口、9个1千兆位端口以及8个高速以太网10/100/1000Mbps端口实现线速交换的交换ASIC 。借助业内最高的端口密度和最高的交换性能，一台DefensePro 设备就可以执行对多个网络段的双向扫描。最先进的网络处理器4个网络处理器将并行工作，它们可以用数千兆位的速度同时处理多个数据包（实现了更快的第4至第7层安全交换速度）并且执行所有同数据包处理有关的任务，包括流量转发和拦截、流量控制以及延迟绑定（以防范SYN flood攻击）。对第4层攻击的检测和防范是由网络处理器完成的，这有助于提升防范这些攻击类型时的性能。除了清除所有可疑流量外，网络处理器还支持端到端的流量控制和带宽分配管理，以确保所有安全流量有稳定的服务水平，并且保证关键任务应用的连续性和服务质量（即使在受到攻击的情况下）。DefensePro 的RISC 处理器使用的是Motorola PPC 7457。这是业内最快的处理器，它负责管理所有安全性会话并且区分它们的优先级。它不仅可识别所有的活动攻击并且控制安全策略和网络处理器中隔离、拦截和阻止攻击的活动操作，而且还可以管理所有的安全更新和网络要求。借助高端的RISC 处理器（都相当于一个G4工作站）、4个网络处理器以及端口级别负责流量转发的88 Gbps 交换ASIC ，DefensePro 安全交换架构提供了无与伦比的性能和计算能力，可以满足将来在应用安全方面的任何需求。DP6000提供了2个10GE的接口，满足运营商等大流量环境下的链路清洗以及攻击旁路清洗等解决方案的实现，从而为运营商数G大流量网络环境下安全部署提供了灵活便捷的解决方案。DP6000提供的8个10/100/1000自适应的电口提供了内部Bypass的功能，当设备出现断电，端口故障或者软件故障时，DP千兆电口可以迅速Bypass相关流量保证用户的网络稳定运行。DefensePro-x20与X02系列DefensePro在业界第一个授予软件扩展吞吐量许可，用户无需进行硬件升级即可增加吞吐量，最大限度地保护投资。基于AS4平台 DefensePro-x20系列软件吞吐量可由600 Mbps升级到1 Gbps和3 Gbps (参见图)。图: DefensePro-x02DefensePro-x02系列在监视企业网络外围、部门和远程分支机构系统安全方面具有最佳性价比。基于Radware新一代安全平台的 DefensePro-x02系列软件吞吐量可由100升级到200、500和1000 Mbps。提供了2个10/100/1000自适应的千兆电口和一个10/100/1000管理端口。图4: DefensePro-x20DefensePro-x20系列在多段监视企业网络核心与外围环境方面具有业内最佳价格/分段比。2.3 DefensePro的安全报告当DefensePro检测到攻击时，它会将该安全事件报告。在报告中包含有全面的流量信息，比如源IP地址和目标IP地址、TCP/UDP 端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息，或者通过系统日志渠道、SNMP 陷阱或电子邮件将安全事件信息发送到外部。 还可以根据网络中的实时安全状况，以雷达图的方式提供当前的攻击严重程度以及数量等信息。3 DefensePro解决方案优势高效、易于使用和维护是优秀安全解决方案的必要特点。高效 -保护手段必须提供准确和精细的侦查和预防机制，在提供保护的同时不干涉合法的流量。这一点是至关重要的，它保证了关键应用既使面临一次巨型的攻击，也能够提供正常的服务。Simplicity/TCO - 复杂配置和频繁的更新维护会导致配置错误，最终引起攻击的误判。 因此，保护措施必须易于配置和管理，而且需要最少的特征更新和其它维护。Radware DefensePro安全交换机独具的多层安全架构完全具备了上述要求，在功能和性能上都是用户保护网络应用的最佳选择：l 创新的硬件架构提供高达6G的安全吞吐能力；l 多层防范体系使用户远离DDOS攻击带来的困扰和损失；l 基于行为模式的自动BDOS攻击防范机制最大程度降低用户的TCO和缩短对新型攻击的相应时间；l 带宽管理功能降低垃圾流量对网络带宽的恶意占用；l 集DDOS防范、IPS和带宽管理于一身，保护用户投资。(DP6000无IPS功能)l 所有电口提供了内置Bypass功能，保护用户的网络稳定。4 DP规格型号DefensePro-6000 DefensePro软件版本 3.02或更高版本网络作用/位置外围，核心性能 最大吞吐量6 Gbps 最多并发会话数量1,750,000 延迟 200微秒端口 XGE (10GE) 2 GE (GBIC) 9 10/100/1000铜缆8 控制台RS-232C 1 扫描端口最多分段数量9 网络操作透明L2转发管理端口GE、FE和RS-232 内存(主CPU RAM) 1GB 操作模式联机，SPAN最端口监测，复制端口状态操作双向检查，访问列表DoS/DDoS保护SYN泛滥保护基于自适应行为，TCP，UDP，DNS，ICMP，IGMP，及SYN泛滥零日保护 TCP连接淹没保护已知DoS淹没保护攻击保护机制实时拦截攻击：自适应智能动态过滤器，TCP连接重置，连接拦截，动态源IP拦截，连接速率限制，针对攻击的相应措施包过滤器标准(自适应智能动态过滤器) 源IP，目的IP，源端口，目的端口，包ID，包尺寸，TTL (生命期),ToS (服务类型)，IP校验和，TCP序号，TCP校验和，TCP标志，ICMP校验和，UDP校验和，ICMP信息类型，DNS查询，DNS查询ID攻击隔离与带宽 根据应用程序保证带宽(粒度，以每用户为基准)。限制每应用程序带宽。管理限制每会话P2P协议流量 措施实时拦截攻击，丢弃攻击包，分组日志，针对攻击的相应措施告警SNMP，日志文件，系统日志（Syslog），电子邮件管理 SNMP V1，2C，3，HTTP，HTTPS，SSH，Telnet，控制台APSolute Insite支持管理与安全报告物理规格尺寸长x宽x高(mm) 440x484x88 重量6.6kg/14.52lb 电源自动范围: 100V-120V/200V-240V AC 50-60Hz或38-72VDC 功耗110.8 W 可用性故障-开通旁路：(内部铜缆端口；外部光纤交换机)，双电源发热量378.32 BTU/h 工作温度0-40C 湿度(非冷凝) 5% to 95% 保修与支持保修1年硬件和软件维护支持保障支持计划技术规格和产品信息如有变更，恕不另行通知。DefensePro DP-3020DP-1020DP-620DP-502DP-202DP-102软件/硬件 DefensePro软件版本3.0及更高版本3.03及更高版本基于ASIC的硬件平台应用交换机4 (DP-x20系列)安全平台1 (DP-x02系列)性能1最大吞吐量3 Gbps1 Gbps600 Mbps500 Mbps200 Mbps100 Mbps最多并发会话数量1,600,00021,600,00021,600,0002140,000140,000140,000延迟 200微秒端口GE (GBIC) 888-10/100/1000铜缆121212333控制台RS-232C Yes扫描端口 最多分段数量999111网络操作透明L2转发管理端口 包括GE, FE和RS-232内存(主CPU RAM) 512MB-2G512MB-2G512MB-2G512M-1G512M-1G512M-1G物理规格尺寸(宽x长x高) mm 432x455x88432x455x88432x455x88298x215x44298x215x44298x215x44重量(lb, kg) 15.4, 7.015.4, 7.015.4, 7.04.785, 2.1754.785,2.1754.785,2.175电源自动范围: 100V-120V/200V-240V自动范围: 100V-120V/200V-240V AC 50-60HzAC 50-60Hz or 38-72VDC功耗108W108W108W20W20W20W发热量(BTU/h) 368.758368.758368.75868.36