RADWARE针对企业用户的.docx

RADWARE针对企业用户的整体解决方案:radware以色列Radware有限公司北京代表处2007年1月目录一、 行业背景4二、 企业用户网络应用现状52 企业网络应用现状简述52.1 1广域网链路现状62.2 网络平安防护现状72.3 网络应用现状83 企业网络中存在的缺陷83.1 广域网链路存在的缺陷83.2 网络平安防护存在的缺陷93.3 网络应用存在的缺陷10三、 企业网络应用需求分析111广域网链路需求分析112网络平安防护需求分析123网络应用需求分析13四、 RadWare解决方案141 .RadWare公司简介142 RadWare解决方案介绍152.1RadWare解决方案拓扑图152.2RadWare解决方案简介162. 2.1RadWare连接解决方案局部简介173. 2.2RadWare平安解决方案局部简介1«2.2.3RadWare应用解决方案局部简介193RadWare技术介绍204. 1DefenSePro一实现入侵和DoS攻击的实时防范203. 1.1DOSShie1.d实现攻击工具防范204. 1.2BehaViOra1.DoS基于网络行为模式实现自动攻击防范215. 1.3入侵防范防范各类应用攻击236. 1.4带宽管理247. 1.5其它平安相关功能248. 1.6DefensePro的平安报告253.2 1.inkProof链路优选方案253. 2.1链路健康捡测264. 2.2流入(InbOUnd)流量经理265. 2.3流出(Outbound)流量处理286. 2.4独特优势-“就近性”运算283.3 SeCUreFIOW对防御系统进行中央管理293. 3.1保证各平安工具的高可用性304. 3.2提升各平安工具的处理性能305. 3.3统一和可升级的平安体系结构303.4 APPDireCtor-实现效劳器负载均衡303.4.1 4.1健康状况检查313.4.2 交易完整性的可靠保证313.4.3 完全的容错与冗余313.4.4 4.4通过正常退出效劳保证稳定运行313.4.5 智能的效劳器效劳恢复313.4.6通过负载均衡优化效劳器资源323.4.7应用交换323.4.8UR1.交换323.4.9内容交换323.5AppXce1.智能应用加速323.5.1SS1.加速323.5.2集中处理多设备应用程序和SS1.协议管理333.5.3TCP优化333.5.4多路HTTP/s协议343.5.5高速缓存343.5.6h1.1.p压缩343.5.7数据压缩34五、RadWare整体解决方案的优势35RADWARE针对企业用户的整体解决方案一、行业背景人类社会在迸入80年代以来，以现代通信技术与计算机、网络技术引导的技术革命取得了巨大的成功.基于Internet及Intranet技术得到了夸追的应用。大大地推动了全球信息化的进程,改变了人类传统的生产和生活方式。促进了知识经济的成长，加快了世界经济一体化进程.对信息的学筌、利用与传播成为影响生产力开展水平和缘合国力增强的关键因素，信息化程度已成为国家开展潜力和开展水平的重妻标志.然而一个国家信息化的程度如何最终表达在企业信息化的程度.因为企业才是跋富最终的创造者。也就是说，企业信息化的程度是衢量一个国宓信息化水平上下的一个最史要的标志。所谓企业信息化是指“企业利用现代信息技术手段，在生产、经管.管理过程中，有效地开发、利用信息姿源的过程".实现金业信息化，曳是企业充分运用通讯.计算机和网络技木等现代信息技术与装备，果集.如工、处理、传递和贮存信息，对信息资源进行有效龙开发与利用.企业能否有效地开发利用信息、优化信息费源的配置,决定者企业管理效军上下.整张米质优劣和竞争优势那羯。开展企业信息化有利于企业实现馆息资源的共享、有利于加国企业的管理、决策、运营的现代化与信息化.近年来，很多企业都建立了与互联网相违的企业内部网（专网），大大促进了我国的企业信息化进程.旗着中国市场逐步开放，许多国内企业走出国门谋求更大的市爆空间,在回络信息技术高速开茨的今天，企业信息网塔是否高效.畅通、平安在恒大程度上影响企业的生产、销修、管理等各个环节。对于现代企业来说,及时了解客户的需求和市场动态非常IE要.就立一个务效、可隼的企业信息何络就显得尤为迫切。企业网内的应用大致包括如下内容：会业不同部门之间的文件资溉共享.打印共享：收发电子邮件、区珞传真,召开视阿络电话会议最大限度降低办公本钱：企业臼有的办公OA系统、ERP、CRiI等信息管理系统：企业速立自己的门户网站，通过网烙宣传企业或开展电子商务.然而,就在我们得益于现代网络通信技术拾我们将来便利的同时,我们也体会到了阿络拾我们带来的灾雉.东囱外部的蓄意攻击、计算机病毒的侵袭.和来自商业间谍对信息数据的窃取.破坏使我们防不胜防：何端平安问题得到了普遏的重视.如何为企业用户提供一个平安、杭定的网络应用平台巳成为一个日益突出的同题.Radware公司针对日益突出的怅络平安问我推出了一系列网络平安产品,旨在推动我国同络平安事业的开展,为我国的信息网络杂驾护航。为广网的网络用户提供一个平安.稳定的网络应用平台。本方案就是针对我国企业用户提供的一套婺体解决方案。二、企业用户网络应用现状2企业网络应用现状简述一个典型的企业的网络拓扑结构图如以下图所示:可以看出上述典型的企业同络大致由3局部组成: 网塔连接局部 网塔平安局部 网络应用局部下面我们就这三局部做例要搂述：2.1 广域网倭路现状网塔连接局航还可以分为Internet连接局部和勺网赛接局部：Internet爰接局部IntCrnC1.连接局部是指企业何络数据中心通过ISP运苕商的铁路连接到IntCrnc1.用于企业对外的网上公共信息发布.为Inteme1.用户提俣企业网上应用，同时企业内部用户也可以访何Internet上的资源；专网爰接局部专网连接局部用于企业网络送接各地分支机灼.分支机构的内部用户遗过专网连接访问数据中心的应用效劳器，例如：WEB效劳赛，E-Mai1.效劳器等，同时也可以通过数据中心的Internet链路访问Internet上的链源。2.2 网络平安防护现状网给平安局部通常由防火墙、入侵检测系统（11）S）和防病毒网关等没备构成，用于制定内部信息夷渡的不同访问策略.保护数据中心的应用免受来自Internet的网络攻击。网培应用由企业对外WUW信息发布系统，业务应用系统和后台数据库系统姐成3企业网络中存在的缺陷从上图中可以看出，在企业网络中存在很多网络设计上的缺陷,总结是来可以分为以下三个局部的问题： 网络连接局部存在的问题 网络平安局部存在的问刖 网络应用局部存在的问题下面我们就这三局部存在的问题做详维描述：3.1 广域网倭路存在的缺陷企业网塔连接局新存在的问题可以分为以下两局部：企业中央机构Internet辑珞存在的问J:各分支机构到中央机构之间广域网钺路存在的同底：企业中央机构Internet路存在的向题： 链路的单点失效性：果用单一Internet连接钱路存在单点失效性,一旦该钱路出现故停得造成整个回络的瘫痪： 钱路性能的板颈：单一Internet连接链路的带宽资源是有限的，无法满足企业内部金体用户对网络访问Internet时带宽不断增长的需求,同时也无法大量的Internet上的用户对企业的访问； 访问快慢不一内部用户访问internet资源时，或外部用户访问企业发布的内部资源时，会受到ISP提供商的不同,而产生访间快慢不一的现像.例如：如果企业采用的ISP是通过网通接入的,在访问处于电信的资源时.会由于不同ISP之间互连互通的问题遗成访问变慢.而访间网通资源时，就不会存在同1. 两络平安防护能力弱：目前Interne1.上的各种各样的网焙攻击层出不穷，路由器自身对网塔攻击的防护能力非常有娘，1.)OSDDOS网珞攻击会对广域网络由器产生产重的影响:各分文机构到中央机构之网广域网心存在的同用t 链路的单点失效性：各省级机关到中央机构之间采用单一广域网检路.存在单点失效性,一旦该钱路出现故障将送戌该否班机关无法访司中央机构和Internet； 链路性能的根预：各省级机关到中央机构之间采用低速的广域网销路(FrameRe1.ay,DDN),而各分支机的用户访问中心的应用效劳卷的网络流量，以及各分支机的用户访问InteEet的回络流量都荽经过这条单一的广域同链路.因比无法满足用户对网络带宽不断沿长的需求： 网塔平安防护能力弱：各省鳏机关中收病毒感染的机器会向中央机构发送攻击数据包,造成各省级机关到中夬机沟之间的链路拥塞.从而影响网络中的关缝应用的正常运行3.2网络平安防护存在的缺陷 两络平安谀备的单点失效性：单一的眄络平安设备存在单点失效性，例如：图中的昉火嫣和防病毒设备一旦出现问题，格造成整个网格的« 两络平安设各柢能的瓶预：网烙平安说各由于要对迸出阿络的败据包进行平安性检衣，与网络路由器和网烙交换机相比.性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有3-10Mbps.因此网络中的平安设备通常都是制约网络传输速度的瓶弥点。 平安体系架构存在漏洞：防火墙可以基于网络中的TCP、UDP埔口对网络流量迸行访问控制，并且可以对基于状态的协仪进行帙议状态检登,因此防火堆通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于国络七层中的网络攻击进行防护例如：馍虫入侵病寻入侵.,后门攻击。IDS可以对网络中的数据包进行濠入的分析，可以检查到资科包中第7箧的信息，它具备演时对可疑谎置进行检证和识别的能力。但是IDS最大的问题是IDS并不能阻止攻击的入侵,仅仅能发出告警.而此时何络攻击巴始进入到网焙内部.目前我们面临着手段各异形式多样的迎合式攻击威胁,这些攻击中应用圾层的攻击占了绝大多数，为了非制这些攻击，GartnCr咫议“在作出平安方密的决策既除了考虑简单的静态协议过港外.还要手定时应用内容（网络七层中的攻击特征）迸行深入的数挣包检查，并阻挡该攻击”.因此.企业在面临多种多样的攻击鼠肺时,急需找到更产率的平安1.护手段。3.3网络应用存在的缺陷 网烙应用的可享性较爰：应用效劳器由于效劳器硬件的稳定性.流量压力超截、网络攻击等情况廷常会出现意外宕机的情况，从而无法保迂网珞应用的7x24小时的持块性效劳. 网焙应用的仕能瓶软：在网络应用系统中，通常会采用多台效劳器同时提供效劳的方式.但是由于网络中的流量并不均衡，因比垃常会出现某台效劳器由于访同量过大而宕机,造成网络应用性能的不错定，从而影响到整个网络应用系统的性能. 网烙应用的平安性较爰：从上图中可以看出现有网络中的平安性防妒机制的特点是： 现有的平安性防护机制通常是针对来自外网的攻击： 缺乏针对来自内网的攻击防护机制： 现有的平安性防护机制通常是针对整体网络层面的攻击防护，即针对网络IP层、TCPZtDP层的网格4层以下的攻击防护： 缺乏针对具体的、特定的企业网络应用的特点而专门制定的符合企业网络应用的基于何络7层防护的平安仕防护机制；三、企业网络应用需求分析1广域网链路需求分析网络爰接方面的求一多健膝负於均If技术企业在网烙连接方面的需求可以分为以下两局部： 中夬机构In1.Crne1.闸络连接方面的需求 各省级机关到中央机构之间网塔连接方密的需求中央机构InUrnet对华差接方面的求目Iit在国内由于多家ISP的竞争，Internet接入链珞的本钱大幅降低，多辕拈Intornet的接入已成为许多用户在的选择网络逐接方面的需求。因此在中央机构Iniemet网塔连接方面,企业网烙将存在如下要求： 提高InIenWt网培链潞的可用性：建议企业采用接入多个ISP的方式摄商可用性.而当企业网络中心具有多条Internet链路后，应提高InterrWt网络钱略可用性的智猿检查能力,防止出现由于某一条Internet钱路的失效造成整体匣络的不可访问。 提奇In1.emet链路的网络吞吐：搔高网络中心的Internet网烙假路的吞吐量,申请多条Internet 根苏Internet网络链路的抗网络攻击的能力：Internet上的各种各样的网将攻击首先影响的朽会是Internet网焙链路，因此应加隹在Internet像路上的攻击防护.各有毅机关到中央机构之R1.网络逐控方百的求目前各省级机关到中央机构之间通常采用FrameReIay或I)DN等昂贵的专线广域网链路.而目前国内运营商可以提供相对高速同时价格廉价的IntCrnC1.接入傕路,例如：ADS1.,因此企业网络存在入下要求： 提高省级机关到中央机构的广域网链路的可用性：如果各地省级机关与中央机构之间存在多条链路，应注意提高令级机关到中央机构的广域河密路可用性的智号检查，防止出现由于某一条链路的失效造成整个省级机关无法访何到中央机用. 增加省级机关到中央机构的钱将，增加带宽，同时降低省级机关与中央机构之间广域网轼路的本钱：利用运营新提供的低价、高速链路,在各地省线机关与中夬机构之间中加链路带宽,谀法降低轻各地省级机关与中央机构之间专线的流量压力,降低广垓网斑珞的本饯 提斯各个省级机关的网络平安防护能力：在各个省级机关的广域的出口和Internet出口的位置箝加阿络平安防护的能力，以保证各省级机关的网络平安,同时可以俣证-旦某个省级机关内部的用户受到网络攻击的侵袤，那么该两络攻击不会扩散到中央机构，以及其它省级机关。2网络平安防护需求分析IR络平安方面的求一昉火»、IDS,防病毒设备负均If技术的求为了保迂企业的网络在区络平安防护方面的高可用性,高性能和平安性，企业在网络平安方面的需求可以分为以下几局部： 提高网塔平安设备的可用性：网络中应具备平安设备的的可用性检查，防止单一的网络平安设备的单点失效性. 提蜀网络平安设各性能：在网珞中采用多台网络平安没备，防止网珞平安设备芍来的瓶殛，提高网络传输速度. 完善网烙平安体系架构：现今.各种各样的回格攻击层出不穷.导致防火城的负荷在不配提3S.再相对于何络物理带寞的大幅度提高，防火墙逐渐成为了网络的瓶颈，本案希里使用一姐（2个以上）防火墙采用负毂均衡技术提供平安效劳，以健升性能。同络平安方面的鲁求一具备深属检测、商性能的平安防护设备求当前的黑客攻击，具备层出不穷,隐越性强，攻量大，影响广等特点，对平安网关设备提出了更高的要求，因此需要企业的网络中的平安产品提出了新的甯求.要求应用平安产品具备防范一系列攻击的智能和性能：第一，帑要集成的其时平安性，发现攻击和入侵立即拦截第二，能够深入检登数据包.防范各种应用层攻击,例如蠕虫、病毒.木马和DOS攻击第三，胞解即使拦我大流量,爆发性的DoS/DDos攻击,与此同时,要求网络访问正常迸行.何络的性能不能有太大降低第四，要求平安产品具备数千兆位速度双向扫描的平安检测性能第五，能够对岩路的带宽使用进行有效管理，如对消耗带宽资源非常严重的P2P流量进行有效控制，保证关键应用的带宽使用3网络应用需求分析网络应用方面的求一应用效劳募或次均备技术的求为了保迁企业的网络应用的高可用性.高性能和平安性.企业的网络应用存在以下需求： 提奇网烙应用的可靠畦：自动的网络应用可用性检安，保证网培应用的7x24小时的带续住效劳. 报奇网络应用的性能：如果网珞中仅有单台效劳器畿供网络应用的效劳，很难保证网珞应用的性能,可以考虑瑞加相应的效劳器效<,配合负找均衡技术来提高网络网络应用的性能。 网络应用的平安住枝笠：制定针对具体的，特定的网络应用的符点而专门制定的是于回络7层防护的平安性防护机制：四、Radware解决方案1.RadWare公司简介RadwiIre公司是RAD集团的成员之一，RAD集团目前拥有M个各自独立的公司，在网络及通讯产业领域提供不同的技术，效劳不同的市场。Hadware公司于1999年在NASDAQ上市(RDUR),目前，RadUare公司的网辂产品行箱40多个国家,在全球拥有130家经铺商.为广阚用户提供了全囱的产品和解决方案，Radwarc一直致力于提供智能应用交换(IAS技术.以保证IP网络应用在Incrne1./1.niranei上的最正确运行和效劳.Radware将应用帝求和网络设法紧密结合在一起,可无健分配资源、优化应用系统的运行以及提高网烙平安性.最终为用户提供高可靠性的.高性能的,高平安性的网珞智能应用解决方案。作为网络智能应用交换(IAS)领域的佼佼者.Raharc通过在47层网络交换领域和网络入侵防护(IPS)领域专注的技术研发，不断为市场提供功能强大.稔定高效的网络智能应用解决方案.Radwnre目前提供3大类网络智能应用解决方案：Radware网络建接解决方案:Radware网络平安解决方案:Radware网络应用侪决力案:网络应用解决方案网络安全解决方案网络连接解决方案通过最优化的网络资源利用以及完善的平安防护体系架构为广网用户打造全方位、高效率的网塔平安空也Radware解决方案借助星获殊荣的产品来构架Radware花烙智能应用解决方案用于满足企业、效劳役供商以及电子商务机构的牌络需求。这些产品包括：1.inkProof(1.P),1.inkproof-Branch(1.PB).Defense-pro(DP).AppDirectoi-,SecureF1.ow(SF),AppXce1、FireProof(FP),ContentInspectionDirector(CID)»Radwarc公司全面的产品组合可效劳于端到娓的应用业务，同时提供可靠和可扩展的网络流量保证。RadWarC可让您对网络环境中从点击到内容的方方面面做到万无一失.RadIrare在智能应用交换（IAS）技术上一直处于领先地位,Radnare的产品获得过众多的业界大奖，这些奖项包犷：PCMagazineEditor'sChoiceNetworkmagazine'sProductoftheYearZDinternet1.ab'sNetBestSpringInternetWor1.d'981.OSAnge1.es.BestofShowNetworkComputingmagazine'sEditor'sChoice鹰睡4'2RadWare解决方案介绍2.1 Radware解决方案拓扑图根据上述网络应用现状分析和用户的需求分析，结合RadHare产品的技术实现和特点，我们建议的企业方案设计包括两大局部，中央机构方案设计和省级机关方案设计，如以下图所示:Cache防病寺UR1.it<4图一：中夬机构网络柘扑图二,中央机构与各分支机巧的连接拓扑2.2 RadWare解决方案筒介建议在中央机构网络各层面上共采用了如下RadWare的设备，其中包括：DefensePRO(Dp)-专用的透明平安设备1.inkPEof(1.P)-锥路负载均衡设备SeCUreF1。MSF)-平安网关负载均衡设备AppDir。Ctor-效劳.器负载均衡APPXCe1.-效劳.器优化设备在各分支机构的internet出口处部署1.台1.inkProOfBranCh(分支机构链路负载均衡器)，并在其上部署应用平安模块(具备DP所有功能).该静决方案从功能上分为3个局需： 连接解决方案局部 平安解决方案局部 应用的静决方案局部1.inkPrOOf实现多黄心的负就均街和防火墙的负傲均衡如上图所示，我们速议在网络接入处，部署1.inkProof,实现对多条internet接入钺路（最多100条）的负载均衡，可以同时实现OUIbOUnd流量（内部办公用户访问internet）和inbound流量（internet用户访问内部效劳器）双向的负载灼衡。同时使用RHdWare专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择，大大提高用户访问的效劳质量和访问效率。1.inkPrOof可以配合SeCUreFIoW实现多台防火堵（政多100台）的负我均衡，防火墙可以是不同厂家，不同型号，不同性能，大大提供防火墙的扩展性和可用性。各分支机构的1.inkProOfBranCh实现多链册的负假均衡如上图所示，我们建议在各分支机构的网络接入处,部詈1.inkPrOOfBranch,实现对internet接入和企业广域网接入这两条链路的负载均衡，根据分支机构办公用的访问的目的地址或者应用，智能的选择锥路，实现两条链路的冗余备份和透明容错.保证了分支机构访问中央机构关键应用的100%的高可用性。EB1.ECache防腐雷UR1.iiie我们建议的平安解决方案局部,包括2款产品，DefensePro(DP),SecureF1.ow(SF),每台设备简要功能描述如下： Defen8ePro实现实时的攻击防御如上图所示，我们建议在网络接入处，部署DefenSePro,可以识别并实时抵御1600多种蟠虫、病毒，DOS攻击和异常的流量模式，保护内部用户和效劳器的平安。同时，通过把端口两两静杰绑定，虚拟成多台逻辑设备，分别部署在核心交换机和企业广域网之间保护入侵和攻击不致互相扩散。使用一台逻辑设备部署在核心交换机和APPDireSor之间，保护效劳器群免受内部办公用户的非法攻击。使用多台逻辑设备都著在内褂办公用户的不同网段(或者楼层)之间，保证非法入侵和攻击不致犷散到其它办公网段或者楼层。 SeCureFIg(SF)实现各平安网关的负做均衡如上图所示，我们建议在多台防火墙和核心交换机之间,部署SeCUreWoW,实现多台防火墙(战多100台)的负载均衡，防火场可以是不同厂家.不同型号,不同性能，大大提供防火墙的扩展性和可用性。通过旁路部署各平安网关设备,SeCUrewOW可以实现多台IDS(最多100台)、CaChe效劳器、防病毒网关，UR1.过滤网关的负载均衡，这些平安网关设备可以是不同厂家，不同型号，不同性能.大大提供平安网关的扩展性和可用性。AppXce1.核心交族机½客户端1.P防火能WEBIai1.依用服务HCache防病再UR1.it我们建议的应用解决方案局部，包括2款产品，APPDireCtor,AppXce1.,每台设备简要功能描述如下： ApPDireCtOr实现效劳暑的负武均衡APPDireCtOr位于核心交换机和各种IP应用效劳器之间，主要实现所有基于IP协议的各种效劳器的负载均衡功能.遹过部署APPDireaor,可以实现效劳器业务的7*24不间断的运行和保证业务的最正确效劳器质量,从而实现了效劳器所承载的业务的100%的高可用性和高性能。 APPXCeI实现SS1.加速和IrnP(HTTPS)页面的加速SS1.加速功MhAppXce1.与APPDireetOr配合,为用户提供SS1.加布加速效劳O利用APPDireCtOr的负载均街可以使Web效劳器摆脱第集型处理的SS1.密钥交换加加击/解密功能。为应用处理择放了效劳器资源,并且笠效劳界的投安发挥最大效庭.W11P(HTTPS)Jf营的加速AppXccI通过UEB压境和HTTP连接复用技术,大大提升inicrnct用户讨效劳案的访问速度。较大地节有了internet的接入带宽，大大地降低了WEB效劳港的处理资源消耗,3Radware技术介绍3.1 DefensePro一实现入侵和DOS攻击的实时防范DefensePro采用了多层平安柒构,分别检测和抵抗不同类型的攻击.瑜保只有“清洁”流量进入收保护的区域.入侵S荀；StringMtchEngine3.1.1 D88hie1.d实现攻击工具防范DefenSePr。的DOSShie1.d模藻借助高圾的取样机制和基准流量行为监测来识别异莒流*.提供了实时的.我千兆位速度的MS汾苑.该机制会对照DefenSePrO攻击数据库中的DOS攻击特征列表（潜在攻击来比较流量样本。一旦到达了某个潜在攻击的青活阈值，该潜在攻击的状态就会变为CUrrCn1.IyACtiVC（当前活动）,这样就会使用该潜在攻击的特征文件来比较各个数据包.如果发现匹配的构征，相应的数据包就会被丢弃.如果没有匹配的特征，则会将钻搭包转发给网络。DoSShie1.dExamp1.e130110Termnaoon100120MiqAttM.m*%ho90O)7060501.i.1.i1.,1.iiiiHmi曲此I山1357911131517192123252729313335Te<mfat1.9nMOTe'TfmmtrtMt<MTimeExndmmcOImXXjndru11)(Radware,s自适应BOhaViOnHDOS防范模块自动学习国络上的行力模式，窿立正常基准，并通过先进的模期关系更握运算判断背离正常行为的异常流量,通过柢平分析,该模块使用一系列提取自数据包包头和负荷的叁数.例如ID(packetidentificationnumber),TT1.(Timeto1.ive).Packetsize.DNS查询,PacketChecksum值等共17个参数.未实时定义即时异常流量的特点。为了防止误判而阻止合法用户的正常流量，该模块还会采用“与"或逻辑运算未尽量精确攻击的防范策咚。IntgrIM)abo<,IhftXYPkVttIhoM1.h<<uttXVcpOHcntsrA>t0d<ajts.theymrepresentsrate<vana111.rputsThtZ-«mwpmmte*w(9rwctftftad TCPF1.oods(ck.Psh-Ack.Fin-Ack.Kstf1.oods) IWF1.oods DNSf1.oods(兴于UDP53塔口) UDPF1.ood和ICMp反向敌射(UnreaChabIe信息) ICMPF1.oods IGMPF1.oods Zero-Day高速自我繁殖场虫(SQ1.S1.a三mer.B1.aster.Ue1.chia.等)Behaviora1.DoS的主要ft势： ZCrO-dayDos/DDOS的未知攻击防范,无需认为手工干手更； 对DOS攻击的完全防范，较低的CPU费源消耗； 自适应的行为判别梗式，桥误列率降至最低： 完全囱适应功能，无的策略配置,无需维界本饯。3.1.3 入侵防范防范各类应用攻击为了验保DoSShie1.d和Behaviora1.OoS模块不会遗漏任何攻击并危害运用户网络应用的关键应用系统.Raduar。还提供另一道防护屏障一入侵防苞。通过比照入侵特征库.DefenSCPr。阻止攻击数据包来戏立最后一遭屏障。入侵特征库罗列一系列会对网络造成严生破坏的应用层攻击，通常包括在Internet上近期出现和爆炭的造用带宽资源的攻击，NetSky,、Bag1.e,Mytob.BIackniii1.Sober等瑞虫以及它们的变种都在其中.DefensePro会看数据包进行逐一检查，并根据恶意攻击模式执行特征比较.它可以识别Raduare平安数据库中的1600多种攻击朴征。为了防范新的攻击形式.到:据库会不断被更新。对于未知形式的攻击，可以使用协议异常检查功能来检测.通过检查协设的异常性，可以检测异常的数据包碎片，而这大多数情兄下标识了恶意活动.快速的攻击纶征比较为了支拉数干兆位的特征扫描速度.DcfcnscPr。专门采用了基于AS1.C的强大加速器-StringMatchEngineZStrin斓atchEngine支持并行的特征搜喉操作，可对照特征战招库进行商速的检测和数据包比较，同使用Inte1.Pentiu.-ICPU迸行串行特征搜卷相比,其字符串搜索速度提高了300倍。实廿抑制攻击当检测到看意活动时，DefensePro可能以任何缎合形式立即执行以下的这些操作：丢弃数据包，重置遂接以及向管理位置发送报告，这样就为该设备之后的应用、操作系统、网络设备和其它网络舒源报案了全面保护.以免它们遭到靖虫、病毒和其它形式的攻击.入侵防范的主要优势： 基于特征的入侵识别.能够准确地识别和抑制攻击； 奇用的硬件加速器，确保了告诉的检测和防范以及网络吞吐量.3.1.4 情宽管理在摄供强大的平安功能同时，DefensePro的热宽管理功能，DefenSePro能第根灵网络数樨包的图/目的地址.应用蜡口和内容(IPhCader或IPDaIa)区分流量，还可以泯制相同用户的并发会话和每个会话的带宽，从而阻止和控制各种说置的带宽应用.3.1.5 其它平安相关功能除了上述四个功能馍块外，DCfCnSePr。迂提供以下功能： 白名单(B1.ackandIhIte1.1.at)-问控制列表SmF100d酚藏一为了提供全面的SynF1.ood攻击防范能力.除了Dosshic1.d和Behaviora1.Dos之外，DefenSePrO采用SynCOOkie技术基于遢地址监视未发现恶意攻击源，并提供多重级别的防范指法.-一流量(A1.gaHee防篦一为了逃迎平安设备的检查，黑客通常会采用拆包并挎攻击分成多个致密包碎片传输.比类攻击被梆作AnomaIies.针时比我攻击.DefenSCPr。提供了也体动相应的防范能力： 异常协仅美； BufferOverf1.ow HTTP碎片类状(StatmiiMpctiont-DofensePro提供针对协议滥用等攻击,梃供状态检测攻击防范能力，可以防范的攻击例如： TCPF1.ooding：SYN-ACK(反射攻击).TCP数据包风暴： Stca1.th扫描：通过发送T(Tfin/rstack/syn-fin1.据包.以图发现开放的潴口： DNSrep1.yf1.ding:便用大盘的I)NS响应致密包攻击效劳器； ICMPEchorep1.yf1.ooding：使用大量的echorep1.y数据包攻击效劳器(Smurf)： 防扫描(Anti-Scanning)熏客在发起攻击之T.通常会试图确定目标上开放的TCP/UDP端口,而一个开放的埼口通常意味着某种应用，操作系统或者后门.DefenSePro提供此类探测的防范能力.3.1.6 Defen8ePro的平安报告当DCfenSCPr。检测到攻击时,它会将该平安事件报告。在飘告中包含有会台的流量信息,比方源IP地址和目标IP地址、TCP/UDP研口号、物理接口以及攻击的日期和时间.可以便用设备日志文件和馥警表格在内部记录平安事件信息,或者通过系统日志渠道、SNMP陷阱或柜子卸件将平安事件信息发送到外部。号“二二二二；三二二M三三三-三一S三三三三i三三一田三三三三三三三,r二二二三二二二二二S-还可以根据网络中的实时平安状况,以雷达图的方式槌供当箭的攻击严重程度以及般量等信息。3.21.inkPrOOf侵略优选方案1.inkPrOOf能梦同时实现双向Inbound和OUUK>und流量在多条班珞上的负敌均衙的。 链路健康状况检查：1.P可以采用多种方式判断苗路的健康状况,例如Ping全链路健康检查）,以及通过核宜多个In1.Crne1.目标来共同判断链珞状泥。 Inbound流量处理方壹主要利用了DNS和Smi1.rtNAT技术； Outbound流量处理主要利用了SmartNAT技术。3.2.1 链路健康检渊1.inkProOf会通过多种方式检测两条链路的健束状况,一旦发现其中一条斑路故竦,会立即将所有用户流量定向至其它可用辍路，从而真观Interne1.爸接的高可用性.主要的方法有： 全路径健康检登为了验保ISPiif路的畅通，1.inkProof将采用Ping的方法,不仅仅检查和其相骏的珞由器的端口是否可达.还可以检查该辑路后侯珞由节点的连通性（10%）,已确保整个珞径的杨通。注：该方法要求ISP的筑路对ICMp开放.1.1.nkProof 奇圾魅康检登针对所有的网络环境（包括.嘉止IQ1.P的ISP）.1.inkProof拨供了丰富的47层检查方式，并可以通过多种检查结果的“与'和"或'运算结果，最终准确判断链路的健康状见.例如：魂IiCNC的路役，同时检查和的80W11,并将检查结果做“或”运算.只要一个检查通过即可判断CNC链路正常。防止了某网站故獐导致链路状态误判的可能性.3.2.2 流入（Inbound）流量处理1.inkProof需要客户配合格域名的解析功能导向到1.inkProof.由1.inkProof来进行域名的侪析.这样当远程通或域名访问企亚网W,逐步通过远程用户的本地DNS效劳器、根DNS效劳塔，最终由1.inkPrOof来进行域名的解析,此肚1.inkProOf就会通过静态列表或者动态判断算法,选择最优的线路，然后将域名解析成相应线,珞的IP地址。例如：当某个网通的远程用户访问金业网时，首先向他当地的DNS效劳器发起域名解析的请求，再通过他接入运营商的根DNS效劳器，最终总归会向HnkProof请求DNS解析,此时1.inkProof就会通过好态列表或者动态判断算法.选择景优的我路（网通,然后将域名解析戌网通线路的IP地址（218.x.x.D。这样远程的网通用户就会使用网通的目标IP地址，通4网通的姣路逃行访问，实现了访问时链珞方面的黄城均衡优化。下面以为例.描述InboUnd流量处理的过程。假设图中的SerVerI是Web效劳器，Internet主机名为，地址为私有IP：192.168.1.100/24。91161.I1.如下图，在DNS效劳器上主则两笔NS记求，指向1.inkProot':NS100.1.1.2NS200.1.1.2而在1.inkProOf上设置IR1.与内部主机地址的对应关系：192.168.1.100而在1.inkProof上设置静态的地址翻译：192.168.1.100100.1.1.3192.168.2.100200.I.1.3当有Internet用户访问是时，DNS效劳涔回应给用户由1.i