RadwareAPSolute智能应用网络解决方案_图文(精)

1、RADWARE 整体解决方案概述*radwareRadware China radware目录1 应用交换及应用安全背景剖析（31.1 应用交换背景剖析（31.2 应用安全背景剖析（42Radware 整体解决方案概述（52.1 应用交换解决方案（52.2 应用安全解决方案（103RADWARE 整体解决方案的优势（11Vradware1 应用交换及应用安全背景剖析在介绍 RADWARE 整体解决方案以前，我们首先分析应用交换技术及应用安全 技术的市场背景及技术背景。1.1 应用交换背景剖析为什么会出现应用交换技术？它的出现到底为今天的网络应用带来了什么好处？解决了什么样的问题呢？在回答这些问

2、题以前，我们首先探讨以下这个传统的网络架构，用 户在访问应用的时候，首先经过接入运营商（Access ISP 这些接入运营商又通过网络 提供商（Network SP 最后经过主机/应用托管服务提供商（Hosting SP/IDC 到达应用服 务器。： radware不容置疑的是，这些运营商，包括接入运营商 （Access ISP 网络提供商 （Network SP,主机/应用托管服务提供商（Hosting SP/IDC,他们为了抢占这个利润丰厚的市场，运营 商内部的网络带宽都足够充分，几乎不存在网络瓶颈。但是，可悲的是运营商之间的 网络带宽却是小得可怜（可能是物理带宽不足，更多的因素是由于竞争

3、关系相互限制, 直接导致运营商之间的带宽限制成为用户访问的瓶颈，这是用户访问速度缓慢的其 中一个重要的因素，这方面的瓶颈我们称之为 Peering Delay.除了前面所阐述的 Peering Delay 以外,还有什么因素导致用户访问缓慢呢？这个 因素也许大多数朋友都未意识到，这个瓶颈来自应用的前端，为什么这样讲呢？我们都 知道服务器的发展速度受到摩尔定律的限制，即主机的性能每十八个月才翻一倍，而 今天对网络流量的调查，我们发现网络的流量每隔三个月就翻一倍，可见网络流量的 发展速度远远快于主机的发展速度，如果主机只是简单地通过一张网络接口卡就连 接到网络上面去的话，必定受到网络数据流严重的冲

4、击，应用服务与网络的接口成为 了应用访问的瓶颈，这个瓶颈我们称之为 Server delay 见上图。f radware在这个关键的时候丄 4/L7 应用交换技术脱颖而出，它承担了应用服务与网络传 输之间的接口，去解决应用与网络之间的瓶颈（SLB。这就是应用交换机走向市场的 历史背景，应用交换机的出现，使得应用的智能性逐渐地从应用端延伸到网络的边缘，使得应用可以通过这个接口无缝的接合到网络当中，这种最早期的应用交换技术，我 们又称之为应用负载均分技术。这种早期的应用交换（SLB 负载均分技术，解决了应用前端的瓶颈问题（ServerDelay，而前面所提到的 Peering Delay 的问题应

5、该如何解决呢？在无法控制运营商之 间的瓶颈的情况下，我们把应用逐渐推向用户的边缘，让用户可以从最近的应用点获 取数据，从而避免了运营商之间的瓶颈，我们以 YAHOO 作为案例： radwareYAHOO 在 INTERNET 上并非只有一个站点，而是把站点镜像到世界不同的角 落,各站点间运行着洲际负载均衡技术（GSLB,这些站点都同享一个域名:，当用户访问 的时候，通过 GSLB 技术,把用户定向到距离自身最近，响应速度 最快的站点，从而有效解决了运营商之间的 Peering Delay 瓶颈问题。SLB 技术与 GSLB 技术是最早的应用交换技术，经过多年来的发展，应用交换派 生出更多更丰富

6、的技术，我们会在第二章和大家介绍 RADWARE 的全面应用交换技 术及解决方案。总之,应用交换技术的诞生，让网络的边缘具备了应用的智能性，作为应用与网络 间的接口，消除了网络与应用间的瓶颈，使得应用可以通过这个接口，无缝地接入到网 络当中去，应用的性能得到了极大的提高。1.2 应用安全背景剖析防火墙一直是网络及应用安全的代名词，在瞬息万变的信息时代，这个曾经叱咤风云的一代宗师，今天却成为了信息安全的误区，防火墙仍然安全吗？众所周知，今天的应用逐渐向 Web 转换，这意味着什么呢？参见下图:： radware radware传统的应用，不同应用具有不同的端口，防火墙为不同应用开放不同的端口，见

7、左图,今天的应用向 WEB 转换，不同的应用全都承载在 WWW 端口上，防火墙只需开放 一个端口，即 WWW （80 端口,见右图。左边的防火墙开放了多个端口，而右边的防火 墙只开放了一个端口 （80,因此右边的防火墙比左边的更安全吗？当然不是，我们试想 从另一个角度出发，应用向 WWW 转换后,原来每一个应用的报头信息，今天全部成 为 WWW应用的净负荷（PAYLOAD,防火墙若不具备深度包检测的机制，应用向 WEB 转变将导致防火墙形同虚设，根据 GARTNER 的预测，如果防火墙还只局限于 状态检测而不具备深度包检测的机制，将很快面临淘汰的厄运。防火墙不再可以依赖，那么我们需要什么技术来

8、维护应用的安全呢？我们首先分 析黑客可能会对我们做什么，今天网络黑客的攻击手段多种多样，总结起来分为两类, 一类是 INTRUSION （入侵，另一类为 DDOS（拒绝服务。这就是为什么今天市场上流 行着两大类型的安全产品：IPS（入侵防护系统及 ANTI-DDOS（拒绝服务防护系统，而 今的IPS 及 ANTI-DDOS 大都是通过攻击特征库查询来防御攻击，不幸的是攻击特 征码只有在攻击发生以后才能被分析出来，因此这种防御手段虽然有效，但是缺少足 够的主动性，这也是为什么基于行为的 DDOS 防御手段（BDOS 成为了网络安全领域 非常热门的话题及技术，谈到这里，相信已经有答案了，我们需要什

9、么？我们需要 IPS + ANTI-DDOS +BDOS !2 Radware 整体解决方案概述2.1 应用交换解决方案： radware前面介绍了应用交换技术的市场背景，在这一章节里我们介绍 RADWARE 应用 交换的整体解决方案及产品系列，其中每一款产品的市场定位都是不一样的，有应用 存在的地方，就会有应用交换技术及应用安全的市场机会，我们先看一看传统应用的 数据流程：；radware用户接入 INTERNET,访问数据从数据中心的 INTERNET 接入点进入数据中心 然后进过数据中心的防火墙，经过局域网骨干，在流经 ANTI-VIRUS,及 ANTISPAM 、URL-FILTERI

10、NG 等安全监控服务器群，最后到达数据服务器。显然，这种串 行的数据访问流程带来几个问题：?整个流程的稳定可靠性取决于稳定可靠性最弱的环节?整个流程的安全性取决于安全性最弱的环节?整个流程的性能取决于性能最弱的环节?ANTI-VIRUS,及 ANTI-SPAM、URL-FILTERING 进一步带来性能恶化，如:由 于ANTI-SPAM 坐落于数据链路当中，使得 WEB 数据无可奈何地经由 ANTI-SPAM 转发一遍，这种多此一举的动作导致性能进一步下降。r LInternet .働啬LAN rArwf 1Jnllll/iru!5? AntihSpan任何环节出现不稳定因素，或出现性能瓶颈及

11、安全漏洞，都会导致整个数据环节 不稳定、性能下降、及安全隐患。显然,当串行流程中若由于只有一台设备而导致稳定性问题及性能瓶颈问题，那 么可以采用多台设备同时并行处理的方式来解决这些问题，然而如何在这些众多设 备当中实现智能的流量调配（如下图示，这就是 L4/L7 应用交换技术的精华所在。f radware? radware然而在每一个不同的环节，都有不同的 L4/L7 交换技术去解决不同的问题，发挥 其不同功效。以下我们 探讨在每一个环节当中的 L4/L7 应用交换技术的市场机 会：在 INTERNET 连接部分,如下图，用户为了保证出口的带宽及稳定性，都会向不 同或同一 ISP 申请多条链路

12、来解决问题，这是 RADWARE LinkProof 多链路解决方 案的市场机会，只要引入 LinkProof,就可以实现出口及入口的链路负载分担，确保INTERNET 出口的性能及稳定性，并且 LINKPROOF 具备精确的就近性 (PROXIMITY，LinkFroof保证用户从最快的链路出入。详细技术细节请参阅技术白皮书。： radwareradware在防火墙部分，如下图,为了保证性能及提高稳定性，大多用户会采用多台防火墙 (同一品牌或不同品牌并行处理的工作方式，这是 RADWARE SecureFlow 防火墙及 各种安全服务器负载分担的市场机会，只要引入 SecureFlow 就可

13、以让多台防火墙并 行工作，把多台防火墙逻辑上统一成一台，确保防火墙环节的性能及稳定性，并方便了 管理。详细技术细节请参阅技术白皮书。： rad wareSecureFlowFirewalls在安全监控服务器环节，如下图示，为了解决按数据类型分配流量问题（如:WWW 请求只流经ANTI-VIRUS,而旁路 ANTI-SPAM,EMAIL 请求及流经 ANTI-VIRUS,又 流经ANTI-SPAM 作安全检测，以增强效率及提高性能，带来了 CID 的市场机会，CID 作为众多安全监控服务器的智能交换中心，把不同类型的数据智能调配到不同的安 全监控服务器上实现相应的安全监控，结果是不同的安全监控服

14、务器只接收及监控 所支持的应用类型及协议，并可以对安全服务器实现负载分担，即保证了应用数据的 安全监控，同时又加强了性能。详细技术细节请参阅技术白皮书。IISecureFlowr radwareradwareo o o o錢注:CID 的部分功能可以在前面阐述的 SecureFlow 中完成，具体细节请联系RADWARE 工程师。在应用服务器部分，是最传统的应用服务负载分担的 AppDirector 的市场机会, 也是 AppXcel 应用加速的市场机会,AppDirector 把用户请求智能调配到后台负载较 轻的应用服务器，而 AppXcel 则接管了应用服务端最耗费 CPU 的工作（如 S

15、SL 加速;TCP 复用擞据压缩,缓存等，即增强了稳定性，又提高了应用的性能。其中AppDirector 还可以升级成 AppDirector-Global,使其具备 GSLB 的功能,解决第一章 阐述的 Peering DelayAnti-virusAnti-spam问题。如下图，详细技术细节请参阅技术白皮书。： rad wareVradware2.2 应用安全解决方案通过前面的分析，我们已经得到答案，今天网络安全市场需要 IPS + ANTI-DDOS +BDOS!而 RADWARE 的 DefensePro 就是最佳的选择，DefensePro 是市场上唯一同 时具备 IPS,ANTI-

16、DDOS,BDOS 的安全产品，也是安全市场上处理能力最快的安全产品，最 高安全处理能力高达 6G。并具备带宽管理功能，有效地在出口限制 P2P 应用带宽及 垃圾Anti-virusAnti-spai流量。： radwareDefenseProDefensePro BDOS 功能不单只检测流量的行为异常，并监测 TCP/UDP/ICMP 等 状态的分布异常，避免产生误报的发生，如新闻网站，经常因为头条新闻而导致流量剧 增，若只检测流量的行为异常,必定产生误报，DefensePro BDOS 监测 TCP/UDP/ICMP 等状态的分布异常，避免产生误报。见下图：注:以上讲述的 RADWARE 应用交换机系列，都可以通过许可证升级的方式，让 应用交换 机带有应用安全的功能在应用交换机上嵌入安全性是应用交换机的发展 趋势，而 RADWARE 在第一天就内置了这种功能 3 RADWARE 整体解决方案的优 势概括起来,RADWARE 的四层交换机采用硬件架构实现高性能应用交换，这是我 们和竞争对手很大的区别,RADWARE 应用交换技术非常齐全，保证端到端的应用 加速，其中 CID/SF是 RA