RADWARE针对企业用户的整体解决方案

RADWARE针对企业用户的

整体解决方案

:eradware

以色列Radware有限公司北京代表处

2007年1月

目录

一、行业背景...........................................................3

二、企业用户网络应用现状...............................................4

2企业网络应用现状简述..................................................4

2.1广域网链路现状.................................................5

2.2网络安全防护现状...............................................6

2.3网络应用现状....................................................7

3企业网络中存在的缺陷..................................................7

3.1广域网链路存在的缺陷...........................................8

3.2网络安全防护存在的缺陷.........................................9

3.3网络应用存在的缺陷.............................................9

三、企业网络应用需求分析..............................................11

1广域网链路需求分析...................................................11

2网络安全防护需求分析.................................................12

3网络应用需求分析.....................................................13

四、Radware解决方案.................................................14

1.Radware公司简介....................................................14

2Radware解决方案介绍..................................................15

2.1Radware解决方案拓扑图..........................................15

2.2Radware解决方案简介............................................16

2.2.1Radware连接解决方案部分简介...............................17

2.2.2Radwarc安全解决方案部分简介...............................19

2.2.3Radware应用解决方案部分简介...............................20

3Radware技术介绍....................................................21

3.1DefensePro一实现入侵与DOS攻击的实时防范......................21

3.1.1Dosshield实现已知攻击工具防范............................21

3.1.2BehavioralDoS基于网络行为模式实现自动攻击防范...........22

3.1.3入侵防范防范各类应用攻击..................................24

3.1.4带宽管理..................................................25

3.1.5其它安全有关功能..........................................25

3.1.6DefensePro的安全报告....................................26

3.2LinkProof链路优选方案.........................................27

3.2.1链路健康检测...............................................27

3.2.2流入（Inbound）流量处理...................................28

3.2.3流出（Outbound）流量处理.................................29

3.2.4特殊优势-“就近性”运算......................................30

3.3SecureFlow对防御系统进行中央管理...............................31

3.3.1保证各安全工具的高可用性..................................31

3.3.2提升各安全工具的处理性能..................................32

3.3.3统一与可升级的安全体系结构................................32

3.4AppDirector-实现服务器负载均衡..................................32

3.4.1健康状况检查...............................................33

3.4.2交易完整性的可靠保证......................................33

3.4.3完全的容错与冗余...........................................33

3.4.4通过正常退出服务保证稳固运行..............................33

3.4.5智能的服务器服务恢复......................................33

3.4.6通过负载均衡优化服务器资源................................34

3.4.7应用交换...................................................34

3.4.8URL交换...................................................34

3.4.9内容交换...................................................34

3.5AppXcel智能应用加速............................................34

3.5.1SSL加速...................................................34

3.5.2集中处理多设备应用程序与SSL协议管理.....................35

3.5.3TCP优化..................................................35

3.5.5高速缓存...................................................36

3.5.7数据压缩...................................................36

五、Radware整体解决方案的优势.......................................37

RADWARE针对企业用户的

整体解决方案

一、行业背景

人类社会在进入80年代以来，以现代通信技术与计算机、网络技术引导的技术革命取

得了巨大的成功。基于Internet及Intranet技术得到了普遍的应用。大大地推动了全球信息

化的进程，改变了人类传统的生产与生活方式。促进了知识经济的成长，加快了世界经济一

体化进程。对信息的掌握、利用与传播成为影响生产力进展水平与综合国力增强的关键因素,

信息化程度已成为国家进展潜力与进展水平的重要标志。然而一个国家信息化的程度如何最

终表达在企业信息化的程度。由于企业才是财富最终的制造者。也就是说，企业信息化的程

度是衡量一个国家信息化水平高低的一个最重要的标志。

所谓企业信息化是指“企业利用现代信息技术手段，在生产、经营、管理过程中，有

效地开发、利用信息资源的过程”。实现企业信息化，就是企业充分运用通讯、计算机与网

络技术等现代信息技术与装备，采集、加工、处理、传递与贮存信息，对信息资源进行有效

地开发与利用。企业能否有效地开发利用信息、优化信息资源的配置，决定着企业管理效率

高低、整体素养优劣与竞争优势强弱。开展企业信息化有利于企业实现信息资源的共享、有

利于加强企业的管理、决策、运营的现代化与信息化。

近年来，很多企业都建立了与互联网相连的企业内部网（专网），大大促进了我国的企

业信息化进程。随着中国市场逐步开放，许多国内企业走出国门谋求更大的市场空间。在网

络信息技术高速进展的今天，企业信息网络是否高效、畅通、安全在很大程度上影响企业的

生产、销售、管理等各个环节，关于现代企业来说，及时熟悉客户的需求与市场动态非常重

要，建立•个高效、可靠的企业信息网络就显得尤为迫切。

企业网内的应用大致包含如下内容：

企业不一致部门之间的文件资源共享、打印共享：

收发电子邮件、网络传真，召开视频、网络电话会议最大限度降低办公成本；

企业自有的办公OA系统、ERP、CRM等信息管理系统：

企业建立自己的门户网站，通过网络宣传企业或者开展电子商务。

然而，就在我们得益于现代网络通信技术给我们带来便利的同时，我们也体会到了网

络给我们带来的灾难。来自外部的蓄意攻击、计算机病毒的侵袭、与来自商业间谍对信息数

据的窃取、破坏使我们防不胜防：网络安全问题得到了普遍的重视。如何为企业用户提供一

个安全、稳固的网络应用平台已成为一个日益突出的问题。

Radwarc公司针对日益突出的网络安全问题推出了一系列网络安全产品。旨在推动我

国网络安全事业的进展，为我国的信息网络保驾护航。为广大的网络用户提供一个安全、稳

固的网络应用平台。本方案就是针对我国企业用户提供的•套整体解决方案。

二、企业用户网络应用现状

2企业网络应用现状简述

一个典型的企业的网络拓扑结构图如下图所示:

能够看出上述典型的企业网络大致由3部分构成:

•网络连接部分

•网络安全部分

•网络应用部分

下而我们就这三部分做简要描述：

2.1广域网链路现状

典型网络拓扑结构一网络连接部分「radware

内部用户WEB服务器应用服务器DB服务器

网络连接部分还能够分为Internet连接部分与专网连接部分：

Internet连接部分

Internet连接部分是指企业网络数据中心通过ISP运营商的链路连接到Intemet,用于企

业对外的网上公共信息公布、为Internel用户提供企业网上应用，同时企业内部用户也能够

访问Intemet上的资源：

专网连接部分

专网连接部分用于企业网络连接各地分支机构。

分支机构的内部用户通过专网连接访问数据中心的应用服务器，比如：WEB服务器，E-Mail

服务器等，同时也能够通过数据中心的Internet链路访问Inlernel上的资源。

典型网络拓扑结构一网络安全部分:eradware

内部用户WEB服务器应用服务器DB服务器

2.2网络安全防护现状

网络安全部分通常由防火堵、入侵检测系统（IDS）与防病毒网关等设备构成，用于制

定内部信息资源的不一致访问策略，保护数据中心的应用免受来自Internet的网络攻击。

典型网络拓扑结构一网络应用部分:eradware

2.3网络应用现状

网络应用由企业对外WWW信息公布系统，业务应用系统与后台数据库系统构成

3企业网络中存在的缺陷

从上图中能够看出，在企业网络中存在很多网络设计上的缺陷，总结起来能够分为下列

三个部分的问题：

•网络连接部分存在的问题

•网络安全部分存在的问题

•网络应用部分存在的问题

下面我们就这三部分存在的问题做全面描述：

3.1广域网链路存在的缺陷

企业网络连接部分存在的问题能够分为下列两部分：

•企业中央机构Internet链路存在的问题：

•各分支机构到中央机构之间广域网链路存在的问题：

企业中央机构Internet链路存在的问题：

•链路的单点失效性：

使用单一Internet连接链路存在单点失效性，一旦该链路出现掖障将造成整个网络的瘫痪：

•链路性能的瓶颈：

单一Internet连接链路的带宽资源是有限的，无法满足企业内部全体用户对网络访问Internet

时带宽不断增长的需求，同时也无法大量的Intemel上的用户对企业的访问：

•访问快慢不一

内部用户访问internet资源时，或者外部用户访问企业公布的内部资源时，会受到ISP提供

商的不一致，而产生访问快慢不一的现像.比加：假如企业使用的ISP是通过网通接入的.

在访问处于电信的资源时，会由于不一致ISP之间互连互通的问题造成访问变慢，而访问网

通资源时，就不可能存在问题。

•网络安全防护能力弱：

目前Internet上的各类各样的网络攻击层出不穷，路由器自身对网络攻击的防护能力非

常有限，DOS/DDOS网络攻击会对广域网络由器产生严重的影响；

各分支机构到中央机构之间广域网链路存在的问题：

•链路的单点失效性：

各省级机关到中央机构之间使用单一广域网链路，存在单点失效性，一旦该链路出现故

障将造成该省级机关无法访问中央机构与Internet；

•链路性能的瓶颈：

各行级机关到中央机构之间使用低速的广域网链路(FrameRelay,DDN),而各分支机

的用户访问中心的应用服务器的网络流量，与各分支机的用户访问Internet的网络流量都要

通过这条单的广域网链路，因此无法满足用广对网络带宽不断增K的需求：

•网络安全防护能力弱：

各省级机关中收病毒感染的机器会向中央机构发送攻击数据包，造成各省级机关到中央

机构之间的链路拥塞，从而影响网络中的关键应用的正常运行

3.2网络安全防护存在的缺陷

•网络安全设备的单点失效性：

单一的网络安全设备存在单点失效性，比如：图中的防火墙与防病毒设备一旦出现问题，

将造成整个网络的瘫痪；

•网络安全设备性能的瓶颈：

网络安全设备由于要对进出网络的数据包进行安全性检查,与网络路由器与网络交换机

相比，性能通常会降低很多，比如防病毒设备的网络吞吐量通常只有3—10Mbps。因此网络

中的安全设备通常都是制约网络传输速度的瓶颈点。

•安全体系架构存在漏洞：

防火墙能够基于网络中的TCP、UDP端口对网络流量进行访问操纵，同时能够对基于

状态的协议进行协议状态检查，因此防火墙通常是在网络第四层上对用户的网络进行保护。

但是防火墙无法对基于网络七层中的网络攻击进行防护比如：

•蠕虫入侵

­病毒入侵。

•后门攻击。

IDS能够对网络中的数据包进行深入的分析，能够检查到资料包中第7层的信息，它具

备随时对可疑流量进行检查与识别的能力。但是IDS最大的问题是IDS并不能阻止攻击的

入侵，仅仅能发出告警，而如今网络攻击已经进入到网络内部.

目前我们面临着手段各异形式多样的混合式攻击威胁，这些攻击中应用级层的攻击占了

绝大多数，为了抑制这些攻击，Gartner建议”在作出安全方面的决策时除了考虑简单的静

态协议过滤外，还要考虑对应用内容（网络七层中的攻击特征）进行深入的数据包检资，并

阻挡该攻击”。

因此，企业在面临多种多样的攻击威胁时，急需找到更严密的安全防护手段。

3.3网络应用存在的缺陷

•网络应用的可靠性较差：

应用服务器由于服务器硬件的稳固性、流量压力超载、网络攻击等情况经常会出现意外

宕机的情况，从而无法保证网络应用的7x24小时的持续性服务。

•网络应用的性能瓶颈：

在网络应用系统中，通常会使用多台服务器同时提供服务的方式。但是由于网络中的流

量并不均衡，因此经常会出现某台服务器由于访问量过大而宕机，造成网络应用性能的不稳

固，从而影响到整个网络应用系统的性能。

•网络应用的安全性较差：

从上图中能够看出现有网络中的安全性防护机制的特点是：

•现有的安全性防护机制通常是针对来自外网的攻击：

•缺乏针对来自内网的攻击防护机制；

•现有的安全性防护机制通常是针对整体网络层面的攻击防护，即针对网络IP层、

TCP/UDP层的网络4层下列的攻击防护：

•缺乏针对具体的、特足的企业网络应用的特点而专门制定的符合企业网络应用的基

于网络7层防护的安全性防护机制：

三、企业网络应用需求分析

1广域网链路需求分析

网络连接方面的需求一多链路负载均衡技术

企业在网络连接方面的需求能够分为下列两部分：

•中央机构Internet网络连接方面的需求

•各省级机关到中央机构之间网络连接方面的需求

中央机构Internet网络连接方面的需求

目前在国内由于多家ISP的竞争，Internet接入链路的成本大幅降低，多链路Intemet

的接入己成为许多用户在的选择网络连接方面的需求。因此在中央机构Internet网络连接方

面,企业网络将存在如下要求：

•提高Internet网络链路的可用性：

建议企业使用接入多个ISP的方式提高可用性，而当企业网络中心具有多条Internet链路后，

应提高Intemet网络链路可用性的智慧检查能力，防止出现由于某一条Internet链路的失效

造成整体网络的不可访问。

•提高Internet链路的网络吞吐量：

提高网络中心的Internet网络链路的存吐量，申请多条Internet链路

•提鬲Internet网络链路的抗网络攻击的能力：

Internet上的各类各样的网络攻击首先影响的将会是Intemet网络链路，因此应加强在Internet

链路上的攻击防护。

各省级机关到中央机构之间网络连接方面的需求

目前各省级机关到中央机构之间通常使用FrameRelay或者DDN等昂贵的专线广域网

链路，而目前国内运营商能够提供相对高速同时价格便宜的Intemet接入链路，比如：

ADSL,因此企业网络存在入下要求：

•提高省级机关到中央机构的广域网链路的可用性：

假如各地省级机关与中央机构之间存在多条链路，应注意提高省级机关到中央机构的广

域网链路可用性的智慧检查，防止出现由于某一条链路的失效造成整个省级机关无法访问到

中央机构。

•增加省级机关到中央机构的链路，增加带宽，同时降低省级机关与中央机构之间广域网

链路的成本：

利用运营商提供的低价、高速链路，在各地省级机关与中央机构之间增加链路带宽，设

法降低减轻各地省级机关与中央机构之间专线的流量压力，降低广域网链路的成本

•提高各个省级机关的网络安全防护能力：

在各个省级机关的广域网出口与Internet出口的位置增加网络安仝防护的能力，以保证

各省级机关的网络安全，同时能够保证一旦某个省级机关内部的用户受到网络攻击的侵袭，

那么该网络攻击不可能扩散到中央机构，与其它省级机关。

2网络安全防护需求分析

网络安全方面的需求一防火墙、IDS、防病毒设备负载均衡技术的需求

为了保证企业的网络在网络安全防护方面的高可用性、高性能与安全性，企业在网络安

全方面的需求能够分为下列几部分：

•提高网络安全设备的可用性：

网络中应具备安全设备的的可用性检查，避免单一的网络安全设备的单点失效性。

•提高网络安全设备性能：

在网络中使用多台网络安全设备，避免网络安全设备带来的瓶顼，提高网络传输速度。

•完善网络安全体系架构：

现今，各类各样的网络攻击层出不穷，导致防火墙的负荷在不断提高，再相关于网络物

理带宽的大幅度提高，防火墙逐步成为了网络的瓶颈，本案希望使用一组（2个以上）防火

墙使用负载均衡技术提供安全服务，以提升性能。

网络安全方面的需求一具备深层检测、高性能的安全防护设备需求

当前的黑客攻击，具备层出不穷，隐岐性强，攻量大，影响广等特点，对安全网关设备

提出了更高的要求，因此需要企业的网络中的安全产品提出了新的需求，要求应用安全产品

具备防范一系列攻击的智能与性能：

第一，需要集成的实时安全性，发现攻击与入侵立即拦截

第二，能够深入检查数据包，防范各类应用层攻击，比如蠕虫、病毒、木马与Dos攻

击

第三，能够即使拦截大流量，爆发性的DoS/DDos攻击，与此同时，要求网络访问正

常进行，网络的性能不能有太大降低

第四，要求安全产品具备数千兆位速度双向扫描的安全检测性能

第五，能够对链路的带宽使用进行有效管理，如对消耗带宽资源非常严重的P2P流量

进行有效操纵，聚证关犍应用的带宽使用

3网络应用需求分析

网络应用方面的需求一应用服务器负载均衡技术的需求

为了保证企业的网络应用的高可用性、高性能与安全性，企业的网络应用存在下列需求：

•提高网络应用的可靠性：

自动的网络应用可用性检查，保证网络应用的7x24小时的持续性服务。

•提高网络应用的性能：

假如网络中仅有单台服务器提供网络应用的服务，很难保证网络应用的性能，能够考虑

增加相应的服务器数量，配合负我均衡技术来提高网络网络应用的性能。

•网络应用的安全性较差：

制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护

机制;

四、Radware解决方案

1.Radware公司简介

Radware公司是RAD集团的成员之一，RAD集团目前拥有14个各自独立的公司，

在网络及通讯产业领域提供不一致的技术，服务不一致的市场,Radware公司于1999年在

NASDAQ±T|J(RDWR),目前，Radwarc公司的网络产品行销40多个国家，在全球拥有130

家经销商，为广大用户提供了全面的产品与解决方案。

Radware一直致力于提供智能应用交换(IAS)技大，以保证IP网络应用在

Intcrnct/Intranct上的最佳运行与服务。Radwarc将应用需求与网络设施紧密结合在一起，可

无缝分配资源、优化应用系统的运行与提高网络安全性，最终为用户提供高可靠性的、高性

能的、高安全性的网络智能应用解决方案。

作为网络智能应用交换(IAS)领域的佼佼者，Radware通过在4—7层网络交换领

域与网络入侵防护(IPS)领域专•注的技术研发，不断为市场提供功能强大、稳固高效的网

络智能应用解决方案。Radware目前提供3大类网络智能应用蟀决方案:

Radwarc网络连接解决方案;

Radware网络安全解决方案:

Radware网络应用解决方案:

网络应用网络安全

解决方案解决方案

通过最优化的网络资源利用与完善的安全防护体系架构为广大用户打造全方位、高

效率的网络安全空间。

Radware解决方案借助屡获殊荣的产品来构架Radware网络智能应用解决方案用于

满足企业、服务提供商与电子商务机构的网络需求。这些产品包含：LinkProof(LP).

Linkproof-Branch(LPB)、Defense-pro(DP)、AppDirector、SecureFlow(SF),AppXcel、

Fireproof(FP)、ContentInspectionDirector(CID)ORadware公司全面的产品组合可服务于端

到端的应用业务，同时提供可靠与可扩展的网络流量保证。Radware可让您对网络环境中

从点击到内容的方方面面做到万无一失。

Radware在智能应用交换（IAS）技术上一直处于领先地位，Radware的产

品获得过众多的业界大奖，这些奖项包扩：

PCMagazineEditor'sChoice

Networkmagazine'sProductoftheYear

ZDInternetLab'sNetBest

SpringInternetWorld'98

LosAngeles,BestofShow

NetworkComputingmagazine'sEditor'sChoice

internet

1MMim

BIST0,SHOW

2Radware解决方案介绍

2.1Radware解决方案拓扑图

根据上述网络应用现状分析与用户的需求分析，结合Radware产品的技术实

现与特点，我们建议的企业方案设计包含两大部分，中央机构方案设计与省级机

关方案设计,如下图所示：

WAN

，专网AppXcel

fB&ftLe针端

Cache防病毒URL过滤

图一：中央机构网络拓扑

客户端

总部分支机构

图二、中央机构与各分支机构的连接拓扑

2.2Radware解决方案简介

建议在中央机构网络各层面上共使用了如下Radware的设备，其中包含:

DefensePRO(DP)-专用的透明安全设备

LinkProof(LP)-链路负载均衡设备

SecureFlow(SF)-安全网关负载均衡设备

AppDirector-服务器负载均衡

AppXcel-服务器优化设备

在各分支机构的internet出口处部署一台LinkProofBranch（分支机构链

路负载均衡器），并在其上部署应用安全模块（具备DP所有功能）。

该解决方案从功能上分为3个部分：

•连接解决方案部分

•安仝解决方案部分

•应用的解决方案部分

2.2.1Radware连接解决方案部分简介

•LinkProof实现多链路的负载均衡与防火墙的负载均衡

如上图所示，我们建议在网络接入处，部署LinkProof,实现对多条internet

接入链路（最多100条）的负载均衡，能够同时实现outbound流量（内部办公

用户访问internet）与inbound流量（intemet用户访问内部服务器）双向的

负载均衡。

同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态

的就近性选择，大大提高用户访问的服务质量与访问效率。

LinkProof能够配合SecureFlow实现多台防火墙（最多100台）的负载均衡,

防火墙能够是不一致厂家，不一致型号，不一致性能，大大提供防火墙的扩展性

与可用性。

•各分支机构的LinkProofBranch实现多链路的负载均衡

如上图所示，我们建议在各分支机构的网络接入处，部署LinkProofBranch,

实现对internet接入与企业广域网接入这两条链路的负载均衡，根据分支机构

办公用的访问的目的地址或者者应用，智能的选择链路，实现两条链路的冗余备

份与透明容错，保证了分支机构访问中央机构关键应用的100%的高可用性。

2.2.2Radware安全解决方案部分简介

二③针端

Cache防病毒URL过滤

我们建议的安全解决方案部分，包含2款产品，DefensePro(DP),

SecureFlow(SF),每台设备简要功能描述如下：

•DefensePro实现实时的攻击防御

如上图所示，我们建议在网络接入处，部署Defensor。，能够识别并实时抵

御1600多种蠕虫、病毒、DOS攻击与特殊的流量模式，保护内部用户与服务器

的安全。

同时，通过把端口两两静态绑定，虚拟成多台逻辑设备，分别部署在核心交

换机与企业广域网之间保护入侵与攻击不致互相扩散。

使用一台逻辑设备部署在核心交换机与AppDirector之间，保护服务器群免

受内部办公用户的非法攻击。

使用多台逻辑设备部署在内部办公用户的不•致网段(或者者楼层)之间，

保证非法入侵与攻击不致扩散到其它办公网段或者者楼层。

•SecureFlow(SF)实现各安全网关的负载均衡

如上图所示，我们建议在多台防火墙与核心交换机之间，部署SecureFlow,

实现多台防火墙(最多10。台)的负载均衡，防火墙能够是不一致厂家，不一致

型号，不一致性能，大大提供防火墙的扩展性与可用性。

通过旁路部署各安全网关设备,SecureFlow能够实现多台IDS（最多100台）、

cache服务器、防病毒网关，URL过滤网关的负载均衡，这些安全网关设备能够

是不一致厂家，不一致型号，不一致性能，大大提供安全网关的扩展性与可用性。

2.2.3Radware应用解决方案部分简介

Cache防病毒URL过滤

我们建议的应用解决方案部分，包含2款产品，AppDirector,AppXcel,每

台设备简要功能描述如下：

•AppDirector实现服务器的负载均衡

AppDirector位于核心交换机与各类IP应用服务器之间，要紧实现所有基于

IP协议的各类服务器的负载均衡功能，通过部署AppDirector,能够实现服务器

'业务的7*24不间断的运行与保证业务的最佳服务器质量，从而实现了服务器所

承载的业务的100%的高可用性与高性能。

SSL加速功能：

AppXcel与AppDirector配合，为用户提供SSL加密加速服务。利用AppDirector的负

载均衡能够使Web服务器摆脱密集型处理的SSL密钥交换与加密/解密功能。为应用处理释

放了服务器资源，同时使服务器的投资发挥最大效益。

3Radware技术介绍

3.1DefensePro一实现入侵与DOS攻击的实时防范

DefensePr。使用了多层安全架构，分别检测与抵抗不一致类型的攻击，确保只有“清

洁”流量进入收保护的区域。

零时攻击

已知攻击工只DoS四翕入侵lntru*ion

&蜡虫要足nm«

ooeooe

IIIK。IIKO

oeeoee

ooeooo

入侵防范

StringMatch

Engine

3.1.1Dosshield实现已知攻击工具防范

DefensePro的DoSShicld模块借助高级的取样机制与基掂流量行为监测来识别特殊流

量，提供了实时的、数千兆位速度的DoS防范。

该机制会参照DefensePro攻击数据库中的DoS攻击特征列表（潜在攻击）来比较流量

样本。一旦达到了某个潜在攻击的激活阈值，该潜在攻击的状态就会变为Cu门'cnllyAciivc

（当前活动），这样就会使用:亥潜在攻击的特征文件来比较各个数据包。假如发现匹配的特

征，相应的数据包就会被丢弃。假如没有匹配的特征，则会将数据包转发给网络。

DoS^hiel^Example

140

Sanpled

130Attack

Tr^fic

120

«^^«Act(vation

110Threshold

100

£

90Threshold

80

Termnation

70Message

Threshold

60

50^^™Termnation

Threshold

1357911131517192123252729313335

Time

7

借助高级的取样机制检测DoS攻击，DoSShield只在出现了严重带宽滥用的情况卜\才

会推断攻击的存在，它会外科手术般地使用逐包过滤除去攻击流量。而当攻击不再活跃时，

DoSShield也能检测到相应状态并停止逐包过滤的操。这样不仅可实现完全的DoS与DDos

防范能力，而且还保持了大型网络的高吞吐量。

Dosshield的要紧优势：

•监听与采样机制，只有在出现严重攻击时才采取防范措施，保证了大型网络的高性

能与高吞吐量：

•基于特征码的防范策略，对正常应用无影响，保持了吸低的误判率。

DoSShield作为第一道防范体系，负责在抵御已知Flood攻击的同时传输其他流量，

而这些其他流量中还可能包含未知的新型攻击，它们将由第二道防范体系一BehavioralDoS

模块来实现防护。

3.1.2BehavioralDoS基于网络行为模式实现自动攻击防范

借助于先进的统计分析、模糊逻辑与新颖的闭环反馈过滤技术，RadwareB-DoS防范模

块能够自动与提早防范网络Flood攻击与高速自我繁殖的病毒，避免危害的发生。

Radwarc，s自习惯BehavioralDoS防范模块自动学习网络上的行为模式，建立正常基

准，并通过先进的模糊关系逻辑运算推断背离正常行为的特殊流量。通过概率分析，该模

块使用一系列提取自数据包包头与负荷的参数，比如ID(packctidenIificaIionnumber),

TTL(TimetoLive),Packetsize,DNS查询，PacketChecksum值等共17个参数,来实

时定义即时特殊流量的特点。为了避免误判而阻止合法用户的正常流量，该模块还会使用

“与”“或者”逻辑运算来尽量精确攻击的防范策略。

Attackarea

3

-

工

一

«

・&

己

。

*

0

3

innguretwabove,theXYplaneshowsth©fuzzyinputs.

X-axisrepresentsrate-basedmpcMs,they-a»srepresentsratmvariantinputs

TheZ-axsrepresentsthedegreeofattack

所有上述流程都由DcfenscPro自动完成，无需人为干预，能够在数千兆位的网络环境

中精确防范已知攻击、Zero-dayDos/DDos攻击与自我繁殖网络端虫。

BehavioralDoS防护模块的攻击检索机制即不使用特征码，也不依靠于用户定义的行

为策略与阀值。它还能够自动习惯网络中的正常流量变化，因此它不可能影响网络中的正常

应用行为。

B-DoS能够非常有效的抑制下列已知与未知的攻击：

•SYNFlood

•TCPFloods(Ack,Fsh+Ack,Fin+Ack,Rstfloods)

•UDPFloods

•DNSfloods(基于UDP53端口)

•UDPFlood与ICMP反向散射(unreachable信息)

•ICMPFloods

•IGMPFloods

•Zero-Day高速自我繁殖蠕虫(SQLSlammer,Blaster,WeIchia,等)

BehavioralDoS的要紧优势：

•Zero-dayDos/DDos为未知攻击防范，无需认为手工干涉；

•对DoS攻击的完全防范，较低的CPU资源消耗：

•自习惯的行为判别模式，将误判率降至最低：

•完全自习惯功能，无需策略配置，无需保护成本。

3.1.3入侵防范防范各类应用攻击

为「确保DoSShield与BehavioralDoS模块不可能遗漏任何攻击并危害运用户网络应

用的关键应用系统，Radware还提供另一道防护屏障一入侵防范。通过对比入侵特征库，

DefensePro阻止攻击数据包来建立最后一道屏障。

入侵特征库罗列一系列会对网络造成严重破坏的应用层攻击，通常包含在Internet上

近期出现与爆发的滥用带宽资源的攻击，NetSky,、Bagle、Myiob、BlackmaRSober等蠕

虫与它们的变种都在其中。DefensePro会对数据包进行逐一检查，并根据恶意攻击模式执

行特征比较。它能够识别Radware安全数据库中的1600多种攻击特征。为了防范新的攻击

形式，数据库会不断被更新。关丁•未知形式的攻击，能够使用协议特殊检查功能来检测。通

过检查协议的特殊性，能够检测特殊的数据包碎片，而这大多数情况下标识了恶意活动。

快速的攻击特征比较

为了支持数千兆位的特征扫描速度,DcfensePro专门使用了基于ASIC的强大加速器-

StringMatchEngine"。StringMatchEngine支持并行的特征搜索操作，可参照特征数据库

进行高速的检测与数据包比较。同使用IntelPentium4CPU进行串行特征搜索相比，其字

符串搜索速度提高了300倍。

实时抑制攻击

当检测到恶意活动时，DefensePro可能以任何组合形式立即执行下列的这些操作：丢

充数据包、重置连接与向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络

设备与其它网络资源提供了全面保护，以免它们遭到蠕虫、病毒与其它形式的攻击。

入侵防范的要紧优势：

•基于特征的入侵识别，能够准确地识别与抑制攻击；

•专用的硬件加速器，确保了告诉的检测与防范与网络吞吐量。

3.1.4带宽管理

在提供强大的安全功能同时，DefensePro的带室管现功能。DefensePro能够根据网络

数据包的源/目的地址、应用端口与内容(IPheader或者IPData)区分流量，还能够限制

相同用户的并发会话与每个会话的带宽，从而阻止与操纵各类流量的带宽应用。

3.1.5其它安全有关功能

除了上述四个功能模块外，DefensePro还提供下列功能：

黑白名单(BlackandWhiteList)•-访问操纵列表

SynFlood防范一为了提供全面的SynF1ood攻击防范能力，除了Dosshield与

BehavioralDos之外，DefensePro使用SynCookie技术基于源地址监视来发现恶意攻击源，

并提供多重级别的防范措施。

特殊流量(Anomalies)防范一为了躲避安全设备的检查,黑客通常会使用拆包并将攻

击分成多个数据包碎片传输。此类攻击被称作Anomalies.

针对此类攻击，Defense"。提供了也体动相应的防范能力：

•特殊协议类：

•BufferOverflow类；

状态检测(Statefulinspection)—DefensePro提供针对协议滥用等攻击，提供状态

检测攻击防范能力，能够防范的攻击比如：

•TCPFlooding：SYN-ACK（反射攻击）,TCP数据包风暴;

•Stealth扫描：通过发送TCPfin/rst/ack/syn-fin数据包，以图发现开放的端口:

•DNSreplyflooding：使用大量的DNS响应数据包攻击服务器；

•ICMPEchoreplyflooding：使用大量的echoreply数据包攻击服务器(Smurf)：

•防扫描(Anli-Scanning)黑客在发起攻击之前，通常会试图确定目标上开放的

TCP/UDP端口，而一个开放的端口通常意味着某种应月，操作系统或者者后门。

DefcnsePro提供此类探测的防范能力。

3.1.6DefensePro的安全报告

当DefensePro检测到攻击时，它会将该安全事件报告。在报告中包含有全面的流量信

息，比如源IP地址与目标IP地址、TCP/UDP端口号、物理接口与攻击的日期与时间。能够

使用设备日志文件与报警表格在内部记录安全事件信息，或者考通过系统日志渠道、SNMP陷

阱或者电子邮件将安全事件信息发送到外部。

。口10a7入国—口

’M74««nJA*idJre.C

三

r;三

二

三

二

三

三

二

三

三

三

三

二

三

三

二

三

三

二

二

二

一

三

还能够根据网络中的实时安全状况，以雷达图的方式提供当前的攻击严重程度与数量

等信息。

3.2LinkProof链路优选方案

LinkProof能够同时实现双向（Inbound与Outbound）流量在多条链路上的负载均衡的.

・链路健康状况检查；LP能够使用多种方式推断铳路的健康状况，比如Ping（全捷

路健康检查），与通过检查多个Internet目标来共同推断链路状况。

•Inbound流量处理方面要紧利用了DNS与SmartNAT技术；

•Outbound流量处理要紧利用了SmartNAT技术。

3.2.1链路健康检测

LinkProof会通过多种方式检测两条链路的健康状况，一旦发现其中一条链路故障，会

立马上所有用户流量定向至其它可用链路，从而实现Internet连接的高可用性。要紧的方

法有：

•全路径健康检查

为了确保ISP链路的畅通，LinkProof将使用Ping的方法，不仅仅检查与其相连的路

由器的端口是否可达，还能够检查该链路后续路由节点的连通性（10跳），已确保整个路

径的畅通。

注：该方法要求ISP的链路对1CMP开放。

e,e

rj检作10跳

Router1Router2

LlnkProof

•高级健康检查

3.2.2流入(Inbound)流量处理

LinkProof需要客户配合将域名的解析功能导向到LinkProof,由LinkProof来进行域

名的解析。这样当远程通过域名访问企业网时，逐步通过远程用户的本地DNS服务器、根

DNS服务器，最终由LinkProof来进行域名的解析。如今LinkProof就会通过静态列表或者

者动态推断算法，选择最优的线路，然后将域名解析成相应线路的IP地址。

比如：当某个网通的远程用户访问企业网时，首先向他当地的DNS服务器发起域名解析

的请求，再通过他接入运营商的根DNS服务器，最终总归会向LinkProof请求DNS解析，如

今LinkProof就会通过静态列表或者者动态推断算法，选择最优的线路(网通)，然后将域

名解析成网通线路的IP地址(218.x.x.1)。这样远程的网通用户就会使用网通的目标IP

地址，通过网通的线路进行访问，实现了访问时链路方面的负载均衡优化。

00

如图所示，在DNS服务器上主则两笔NS记录，指向LinkProof：

血在LinkProof上设置URL与内部主机地址的对应关系：

而在LinkProof上设置静态的地址翻译：

192.168.1.100100.1.1.3

192.168.2.100200.1.1.3

3.2.3流出(Outbound)流量处理

LinkProof要紧使用下列集中方式来处理流出流量。

SmartNAT

关于流出流量的智能地址管理，LinkProof使用了称之SmarlNAT的算法。当选定一个

路由器(某一个ISP)传送流出流量时，LinkProof将选择该ISP提供的地址。在图二中，

假如LinkProof选择ISP1作为流出流量的路径，则它将把内部的主机地址192.168.2.A/24

翻译为100.1.1.A/24,并作为流出数据包的源地址。同样，假如LinkProof选