1、DotCom 行業(yè)Radware解決方案11DotCom 行業(yè)現(xiàn)狀及應(yīng)用分析31.1DotCom行業(yè)應(yīng)用交換現(xiàn)狀及需求31.2DotCom行業(yè)應(yīng)用安全現(xiàn)狀及需求32Radware DotCom 解決方案42.1方案簡(jiǎn)單描述42.2Radware應(yīng)用交換解決方案42.3Radware安全解決方案53Radware 解決方案的優(yōu)勢(shì)73.1高可用性73.2高性能73.3高安全性71 DotCom 行業(yè)現(xiàn)狀及應(yīng)用分析1.1 DotCom行業(yè)應(yīng)用交換現(xiàn)狀及需求DotCom行業(yè)通過(guò)聚集網(wǎng)民的注意力來(lái)為自己贏得點(diǎn)擊率和流量，點(diǎn)擊率和流量對(duì)DotCom公司就意味著收入和未來(lái)得到風(fēng)險(xiǎn)投資、甚至上市的可能性。因此

2、DotCom行業(yè)是最關(guān)注用戶的網(wǎng)上體驗(yàn)的行業(yè)，如何為網(wǎng)民提供穩(wěn)定、可靠的訪問體驗(yàn)，是所有DotCom公司CIO首先關(guān)注的焦點(diǎn)。為了達(dá)到用戶體驗(yàn)的最優(yōu)化，DotCom公司通常在應(yīng)用交換上采用下列方式來(lái)實(shí)現(xiàn)優(yōu)化用戶體驗(yàn)的目的。1、 主機(jī)托管，充分利用運(yùn)營(yíng)商的帶寬和網(wǎng)絡(luò)資源；2、 通過(guò)服務(wù)器群來(lái)實(shí)現(xiàn)同一功能，既排除服務(wù)器單點(diǎn)故障，同時(shí)也通過(guò)利用多臺(tái)服務(wù)器的性能提高應(yīng)用的響應(yīng)速度；3、 多點(diǎn)多運(yùn)營(yíng)商部署服務(wù)器；4、 采用緩存、TCP offload、TCP復(fù)用、壓縮等技術(shù)手段來(lái)優(yōu)化服務(wù)器處理能力，使服務(wù)器專注提供客戶請(qǐng)求應(yīng)答，實(shí)現(xiàn)服務(wù)器的最高處理性能；因此如何整合資源，提高效率，DotCom公司需要解

3、決各站點(diǎn)，多服務(wù)器之間的協(xié)調(diào)處理問題。1.2 DotCom行業(yè)應(yīng)用安全現(xiàn)狀及需求要想為客戶提供最優(yōu)的使用體驗(yàn)，網(wǎng)絡(luò)安全問題也是DotCom公司必須面對(duì)的一個(gè)問題。如果經(jīng)常由于網(wǎng)絡(luò)安全問題的存在導(dǎo)致服務(wù)不可用，那么用戶得不到他們期望的服務(wù)，也無(wú)法留駐用戶并發(fā)展新的用戶。這是DotCom公司無(wú)法承受的損失。隨著Internet的發(fā)展，網(wǎng)絡(luò)安全事件也層出不窮，安全事件造成的損失也越來(lái)越大。對(duì)于DotCom公司的網(wǎng)絡(luò)應(yīng)用而言，對(duì)服務(wù)的最大威脅是目前網(wǎng)絡(luò)中存在各種DoS/DDoS攻擊，這些以消耗網(wǎng)絡(luò)和主機(jī)資源達(dá)到服務(wù)能力耗盡的攻擊對(duì)以通過(guò)網(wǎng)絡(luò)提供服務(wù)而生存和發(fā)展的DotCom公司是最大的敵人。同時(shí)各種類

4、型的蠕蟲、病毒和后門軟件也對(duì)DotCom公司的關(guān)鍵信息資源形成了威脅。傳統(tǒng)的防火墻、IDS等安全設(shè)備在對(duì)付這種類型的攻擊時(shí)都無(wú)法實(shí)現(xiàn)最佳的保護(hù)。防火墻不再可以依賴，那么我們需要什么技術(shù)來(lái)維護(hù)應(yīng)用的安全呢？我們首先分析黑客可能會(huì)對(duì)我們做什么，今天網(wǎng)絡(luò)黑客的攻擊手段多種多樣，總結(jié)起來(lái)分為兩類，一類是INTRUSION（入侵），另一類為DDOS（拒絕服務(wù)）。這就是為什么今天市場(chǎng)上流行著兩大類型的安全產(chǎn)品：IPS（入侵防護(hù)系統(tǒng)）及ANTI-DDOS（拒絕服務(wù)防護(hù)系統(tǒng)），而今的IPS 及ANTI-DDOS 大都是通過(guò)攻擊特征庫(kù)查詢來(lái)防御攻擊，不幸的是攻擊特征碼只有在攻擊發(fā)生以后才能被分析出來(lái)，因此這種防

5、御手段雖然有效，但是缺少足夠的主動(dòng)性，這也是為什么基于行為的DDOS防御手段（BDOS）成為了網(wǎng)絡(luò)安全領(lǐng)域非常熱門的話題及技術(shù)，談到這里，相信已經(jīng)有答案了，我們需要什么？我們需要IPS + ANTI-DDOS + BDOS ！2 Radware DotCom 解決方案2.1 方案簡(jiǎn)單描述Radware公司作為一家專注于智能應(yīng)用交換的廠家，一直以來(lái)都在幫助企業(yè)用戶解決網(wǎng)絡(luò)應(yīng)用的可用性、性能問題和安全問題。針對(duì)DotCom公司的關(guān)注焦點(diǎn)提出了自己的解決方案，來(lái)幫助DotCom企業(yè)優(yōu)化和提高客戶體驗(yàn)。主要集中在1、DotCom公司分布部署的服務(wù)器群的本地和全局負(fù)載均衡，通過(guò)協(xié)調(diào)所有服務(wù)器的資源來(lái)實(shí)現(xiàn)

6、用戶體驗(yàn)的最優(yōu)化，并通過(guò)從服務(wù)器剝離卸載各種大計(jì)算量的工作（比如緩存、壓縮、SSL加解迷等）來(lái)實(shí)現(xiàn)服務(wù)器專注在業(yè)務(wù)邏輯上，從而提高性能；2、DotCom網(wǎng)絡(luò)應(yīng)用的安全解決方案，協(xié)助DotCom公司保護(hù)網(wǎng)絡(luò)上的資源免受目前網(wǎng)絡(luò)中最有威脅的DoS/DDoS攻擊的影響；上圖是一個(gè)部署了Radware應(yīng)用交換解決方案和應(yīng)用安全解決方案后的典型網(wǎng)絡(luò)拓?fù)洹Ｔ谶@個(gè)客戶的不同站點(diǎn)分別部署了Radware用于服務(wù)器全局負(fù)載均衡和服務(wù)器本地負(fù)載均衡的設(shè)備，配合各站點(diǎn)的AppXcel設(shè)備，實(shí)現(xiàn)了所有站點(diǎn)之間和站點(diǎn)內(nèi)部服務(wù)器的協(xié)調(diào)工作以及各站點(diǎn)的緩存、壓縮和TCP offloading功能，充分提高應(yīng)用的效率和可靠性

7、，優(yōu)化用戶的體驗(yàn)。同時(shí)各站點(diǎn)也通過(guò)部署了DefensePro來(lái)保護(hù)網(wǎng)絡(luò)免受DoS/DDoS的攻擊。2.2 Radware應(yīng)用交換解決方案本地負(fù)載均衡在DotCom的每個(gè)站點(diǎn)，Radware AppDirector可以實(shí)現(xiàn)本地服務(wù)器群的負(fù)載分擔(dān)。配合Radware公司的AppXcel產(chǎn)品，能夠進(jìn)一步提高應(yīng)用向客戶分發(fā)的速度。 AppDirector根據(jù)應(yīng)用的要求，通過(guò)IP地址、端口號(hào)碼甚至應(yīng)用層的包頭內(nèi)容把用戶請(qǐng)求智能調(diào)配到后臺(tái)負(fù)載較輕的應(yīng)用服務(wù)器。對(duì)于本地服務(wù)器負(fù)載均衡，還有一個(gè)非常重要的功能是檢查服務(wù)的工作是否正常。AppDirector能實(shí)時(shí)檢查服務(wù)器的健康狀況，一旦當(dāng)服務(wù)器發(fā)生任何形式的

8、故障，如網(wǎng)絡(luò)中斷、應(yīng)用關(guān)閉等，能夠及時(shí)把該服務(wù)器從正常工作的服務(wù)器群中剔除，防止用戶請(qǐng)求繼續(xù)向該服務(wù)器發(fā)送。應(yīng)用加速AppXcel則接管了應(yīng)用服務(wù)端最耗費(fèi)CPU的工作（如SSL加速；TCP復(fù)用；數(shù)據(jù)壓縮，緩存等），即增強(qiáng)了穩(wěn)定性，又提高了應(yīng)用的性能。Radware公司的AppXcel設(shè)備上集成了各種提高服務(wù)器性能，優(yōu)化用戶訪問體驗(yàn)的防范，其中關(guān)鍵內(nèi)容包括：SSL 加解密，SSL加密和解密都涉及非常復(fù)雜的計(jì)算，傳統(tǒng)的服務(wù)器在進(jìn)行這些計(jì)算時(shí)都會(huì)極大消耗機(jī)器的CPU，通過(guò)在AppXcel上實(shí)現(xiàn)SSL計(jì)算，把服務(wù)器從這些繁雜的計(jì)算中解放出來(lái)，專注于業(yè)務(wù)邏輯中，可以提高服務(wù)器的處理性能；TCP mult

9、iplexing，傳統(tǒng)的訪問形式下服務(wù)器需要維護(hù)大量來(lái)自客戶端的TCP連接，每個(gè)連接的維持都需要耗費(fèi)服務(wù)器的內(nèi)存和CPU計(jì)算周期。AppXcel提供了TCP復(fù)用的機(jī)制，通過(guò)在AppXcel上維持和客戶端的大量連接，而在AppXcel和服務(wù)器之間建立少量常開的連接，每個(gè)AppXcel和服務(wù)器之間的連接服務(wù)若干客戶端和AppXcel的連接，減少服務(wù)器的資源消耗，提高服務(wù)器的處理性能。并且可以避免TCP的slow start過(guò)程，讓服務(wù)器用最大窗口盡力發(fā)送；文本和圖象壓縮，AppXcel能通過(guò)GZIP算法對(duì)網(wǎng)站的文本和圖象信息進(jìn)行壓縮，在客戶端無(wú)需安裝任何類型的解壓軟件（瀏覽器自帶），減少?gòu)V域鏈路上

10、的數(shù)據(jù)傳輸，加快傳輸速度；Cache緩存，AppXcel能對(duì)用戶經(jīng)常訪問的內(nèi)容進(jìn)行緩存，在緩存中命中的信息直接應(yīng)答，并且AppXcel中緩存的是經(jīng)過(guò)壓縮的信息，避免了兩次壓縮的過(guò)程；AppXcel能夠和AppDirector 配合使用，在單臺(tái)設(shè)備性能不夠的情況下，通過(guò)在多臺(tái)AppXcel之間分配用戶請(qǐng)求，實(shí)現(xiàn)用戶對(duì)于AppXcel設(shè)備的按需購(gòu)買，幫助用戶實(shí)現(xiàn)成本的最優(yōu)化和擴(kuò)展的方便性。全局負(fù)載均衡其中AppDirector還可以升級(jí)成AppDirector-Global，使其具備GSLB的功能，實(shí)現(xiàn)分布部署的服務(wù)器群之間的協(xié)調(diào)工作。不同站點(diǎn)之間的AppDirector設(shè)備能夠通過(guò)Radware

11、專利的技術(shù)相互通信，互相了解本地的服務(wù)器的負(fù)載壓力情況和客戶分布情況，把用戶的請(qǐng)求流量定向到就近的站點(diǎn)或者處理能力富裕的站點(diǎn)，避免用戶的請(qǐng)求經(jīng)過(guò)運(yùn)營(yíng)商的主干鏈路或者跨運(yùn)營(yíng)商進(jìn)行訪問。AppDirector能夠以多種方式進(jìn)行全局請(qǐng)求的定向，其中包括了DNS方式、HTTP/RTSP方式和全局三角傳輸方式。以DNS方式為例分析用戶請(qǐng)求全局定向的流程：1、用戶將訪問www.A.com的訪問請(qǐng)求發(fā)往Local DNS；2、Local DNS將請(qǐng)求遞歸至授權(quán)DNS服務(wù)器；3、授權(quán)DNS服務(wù)器通知Local DNS的A記錄解析請(qǐng)求應(yīng)發(fā)往移動(dòng)主站點(diǎn)AppDirector Global（www.A.com的A記

12、錄解析必須由AppDirector Global完成）；4、Local DNS移動(dòng)主站點(diǎn)AppDirector Global的發(fā)出A記錄解析請(qǐng)求；5、AppDirector Global判斷Local DNS服務(wù)器的地址，如果是電信網(wǎng)段地址，AppDirector Global將www.A.com的地址解析為就近鏡像站點(diǎn)的地址；6、Local DNS將就近鏡像站點(diǎn)的地址作為解析結(jié)果發(fā)送給用戶；7、用戶向就近鏡像網(wǎng)站發(fā)起請(qǐng)求；8、就近鏡像站點(diǎn)響應(yīng)。對(duì)于全局負(fù)載均衡的解決方案而言，如何根據(jù)用戶發(fā)起訪問的地點(diǎn)來(lái)進(jìn)行用戶的導(dǎo)向是非常關(guān)鍵的內(nèi)容。Radware的專利就近性技術(shù)能夠自動(dòng)探測(cè)用戶發(fā)起訪問的客

13、戶端離DotCom公司部署的站點(diǎn)的距離。 2.3 Radware安全解決方案由于傳統(tǒng)的防火墻只能檢查數(shù)據(jù)包網(wǎng)絡(luò)或傳輸層的信息，對(duì)于目前網(wǎng)絡(luò)中大量隱藏在正常應(yīng)用端口如HTTP等中的攻擊無(wú)法檢測(cè)。因此一種深度包檢查（DPI）的技術(shù)已經(jīng)出現(xiàn)，通過(guò)發(fā)現(xiàn)深藏在數(shù)據(jù)包內(nèi)部的攻擊來(lái)實(shí)現(xiàn)對(duì)于攻擊的真正防范。而RADWARE 的 DefensePro就是最佳的選擇，DefensePro是市場(chǎng)上唯一同時(shí)具備IPS，ANTI-DDOS，BDOS的安全產(chǎn)品，也是安全市場(chǎng)上處理能力最快的安全產(chǎn)品，最高安全處理能力高達(dá)6G。并具備帶寬管理功能，有效地在出口限制P2P應(yīng)用帶寬及垃圾流量。Radware DefensePro

14、提供了多種技術(shù)手段來(lái)發(fā)現(xiàn)和防范各種攻擊的發(fā)生，其中有黑白名單、多層syn 攻擊的防范、基于特征的蠕蟲、病毒、后門軟件和DoS攻擊的防范、基于特征和采樣相結(jié)合的DoS-Shield功能、連接限制、BDOS等。其中BDOS功能是目前業(yè)界最先進(jìn)的基于網(wǎng)絡(luò)行為模式的攻擊防范技術(shù)，通過(guò)監(jiān)控網(wǎng)絡(luò)中的流量模型，不但能防范目前已知的flooding攻擊類型，也能夠?qū)Α皕ero day”攻擊進(jìn)行有效的防范。DefensePro BDOS 功能不單只檢測(cè)流量的行為異常，并監(jiān)測(cè)TCP/UDP/ICMP 等狀態(tài)的分布異常，避免產(chǎn)生誤報(bào)的發(fā)生，如新聞網(wǎng)站，經(jīng)常因?yàn)轭^條新聞而導(dǎo)致流量劇增，若只檢測(cè)流量的行為異常，必定產(chǎn)生

15、誤報(bào)，DefensePro BDOS監(jiān)測(cè)TCP/UDP/ICMP 等狀態(tài)的分布異常，避免產(chǎn)生誤報(bào)。見下圖：綜合DefensePro上述的安全防范功能，配合Radware的ApsoluteInsite網(wǎng)絡(luò)管理軟件，能夠?qū)崟r(shí)掃描網(wǎng)絡(luò)中的攻擊，一旦當(dāng)攻擊發(fā)生時(shí)自動(dòng)觸發(fā)防御和報(bào)告機(jī)制，主動(dòng)保護(hù)網(wǎng)絡(luò)中的資源。ApsoluteInsite網(wǎng)絡(luò)管理軟件還能采集網(wǎng)絡(luò)中的各種安全事件，形成各種報(bào)表，供安全維護(hù)人員和公司決策層參考。3 Radware 解決方案的優(yōu)勢(shì)3.1 高可用性通過(guò)在全局和本地實(shí)現(xiàn)服務(wù)器的流量分擔(dān)，能夠避免各種情況的單點(diǎn)故障。無(wú)論是整個(gè)站點(diǎn)由于災(zāi)難情況或者站點(diǎn)內(nèi)的某些服務(wù)器出現(xiàn)故障現(xiàn)象，Radware的解決方案都能夠自動(dòng)檢測(cè)到故障情況的發(fā)生，及時(shí)定向流量到健康的站點(diǎn)，保證公司對(duì)外提供的服務(wù)的正常。3.2 高性能在多個(gè)站點(diǎn)多臺(tái)服務(wù)器提供相同內(nèi)容的服務(wù)，并把用戶的請(qǐng)求定向到響應(yīng)最快的站點(diǎn)中響應(yīng)最快的