1、RADWARE針對金融行業(yè)的整體解決方案以色列Radware有限公司2006年12月目錄一、金融行業(yè)背景4二、金融行業(yè)網(wǎng)絡應用現(xiàn)狀61金融行業(yè)應用現(xiàn)狀簡述61.1廣域網(wǎng)鏈路現(xiàn)狀71.2網(wǎng)絡安全防護現(xiàn)狀81.3網(wǎng)絡應用現(xiàn)狀92金融行業(yè)網(wǎng)絡中存在的缺陷92.1廣域網(wǎng)鏈路存在的缺陷92.2網(wǎng)絡安全防護存在的缺陷102.3網(wǎng)絡應用存在的缺陷11三、金融行業(yè)網(wǎng)絡應用需求分析131廣域網(wǎng)鏈路需求分析132網(wǎng)絡安全防護需求分析143網(wǎng)絡應用需求分析14四、Radware解決方案161Radware公司簡介162Radware解決方案介紹172.1Radware解決方案拓撲圖172.2Radware解決方案簡

2、介182.2.1Radware連接解決方案部分簡介192.2.2Radware安全解決方案部分簡介202.2.3Radware應用解決方案部分簡介212Radware技術介紹222.1DefensePro 實現(xiàn)入侵和DOS攻擊的實時防范222.1.1Dosshield實現(xiàn)已知攻擊工具防范222.1.2Behavioral DoS基于網(wǎng)絡行為模式實現(xiàn)自動攻擊防范232.1.3入侵防范防范各類應用攻擊252.1.4帶寬管理262.1.5其它安全相關功能262.1.6DefensePro的安全報告272.2LinkProof 鏈路優(yōu)選方案282.2.1鏈路健康檢測282.2.2流入（Inbound）

3、流量處理292.2.3流出（Outbound）流量處理302.2.4獨特優(yōu)勢-“就近性”運算312.3SecureFlow對防御系統(tǒng)進行中央管理322.3.1保證各安全工具的高可用性322.3.2提升各安全工具的處理性能332.3.3統(tǒng)一和可升級的安全體系結構332.4AppDirector-實現(xiàn)服務器負載均衡332.4.1健康狀況檢查342.4.2交易完整性的可靠保證342.4.3完全的容錯與冗余342.4.4通過正常退出服務保證穩(wěn)定運行342.4.5智能的服務器服務恢復352.4.6通過負載均衡優(yōu)化服務器資源352.4.7應用交換352.4.8URL交換352.4.9內容交換352.5Ap

4、pXcel 智能應用加速352.5.1SSL加速362.5.2集中處理多設備應用程序和SSL協(xié)議管理362.5.3TCP 優(yōu)化372.5.4多路HTTP/s協(xié)議372.5.5高速緩存372.5.6http壓縮372.5.7數(shù)據(jù)壓縮38五、Radware整體解決方案的優(yōu)勢39RADWARE針對金融行業(yè)的整體解決方案一、 金融行業(yè)背景二十世紀,伴隨著以數(shù)字化網(wǎng)絡化為代表的信息技術革命的滾滾浪潮，針對金融系統(tǒng)的安全防范理論和技術將發(fā)生徹底的轉變，傳統(tǒng)的模擬監(jiān)控模式不再適應時代發(fā)展需要，將面臨全方位的轉型和變革，在 信息技術的發(fā)展和網(wǎng)絡化數(shù)字化的推動下,更加速了這一轉型的到來 ,視頻監(jiān)控不僅僅是為行業(yè)

5、的安全防范服務,必將提高到一個新的水平,依據(jù)視頻監(jiān)控所建立的網(wǎng)絡平臺,為全行業(yè)管理服務.新的世紀必將奏響數(shù)字化網(wǎng)絡化多媒體監(jiān)控管理的新樂章,這是歷史發(fā)展的必然。 金融行業(yè)是新技術革命的主力軍和急先鋒,為了提高管理水平,滿足客戶日益增長的服務需要,行業(yè)的自身特點要求在推廣和應用新技術方面時刻要走在時代的最前列,最先成為新技術的應用者,國家在推動金融電子化的現(xiàn)代步伐中,投入了大量的人力和物力,可以說金融系統(tǒng)所應用的設備和技術是在各行業(yè)中領先的,隨著金融安全防范體制和理論的進一步完善和提高,勢必要求金融行業(yè)最快最新地應用高新科技成果,帶領全行業(yè)步入一個新的臺階,提供最安全最周到的服務保障,樹立自己的

6、行業(yè)形象。 保障金融系統(tǒng)正常運轉的最核心問題就是安全保障,這是壓倒一切的根本問題,國家在保障其安全性的問題上給予了最高的重視,但這一思想的貫徹實施是不能完全靠主觀的能動性來保證的,必需建立一套完善的安全機制,用高科技手段武裝起來,將安全體系建設得天衣無縫,逐步降低主觀因素所帶來的意外損失,這正是金融行業(yè)發(fā)展的必然,.傳統(tǒng)的模擬的監(jiān)控因其固有的弊病,最易受到主觀因素的干擾,無法真正建立一套客觀制約的安全機制,無論從技術和理論上都不再適應發(fā)展的需要,必將被歷史所淘汰,新的以計算機為核心的多媒體監(jiān)控,把管理權交給計算機,不以人的主觀意識為轉移,同時其自身所固有的技術特性,為今后的發(fā)展提供了廣闊的空間

7、,隨著全行業(yè)的數(shù)字化,網(wǎng)絡化步伐的加快,傳統(tǒng)模擬的監(jiān)控系統(tǒng)必將被新一代數(shù)字化,網(wǎng)絡化多媒體管理監(jiān)控系統(tǒng)所取代。 二、 金融行業(yè)網(wǎng)絡應用現(xiàn)狀1 金融行業(yè)應用現(xiàn)狀簡述一個典型的金融行業(yè)的網(wǎng)絡拓撲結構圖如下圖所示：由于金融行業(yè)存在著非常特殊的安全要求，因此金融行業(yè)的網(wǎng)絡部署從物理上劃分為辦公網(wǎng)及生產(chǎn)網(wǎng)兩個部分：生產(chǎn)網(wǎng)用于金融行業(yè)對外的網(wǎng)上公共信息發(fā)布、為Internet用戶提供金融行業(yè)網(wǎng)上應用，如：網(wǎng)上銀行，網(wǎng)上證券等。辦公網(wǎng)則用于金融行業(yè)內部用戶訪問Internet上的資源。雖然網(wǎng)絡上按照功能不同進行了劃分，但整體上可以看出上述典型的金融行業(yè)網(wǎng)絡大致由3 部分組成：l 網(wǎng)絡連接部分l 網(wǎng)絡安全部分

8、l 網(wǎng)絡應用部分下面我們就這三部分做簡要描述：1.1 廣域網(wǎng)鏈路現(xiàn)狀網(wǎng)絡連接部分還可以分為Internet連接部分和專網(wǎng)連接部分。Internet連接部分是指金融行業(yè)網(wǎng)絡數(shù)據(jù)中心通過ISP運營商的鏈路連接到Internet。辦公網(wǎng)中的Internet連接主要用于辦公人員訪問internet資源。生產(chǎn)網(wǎng)中的Internet連接主要用于外部用戶訪問金融服務。專網(wǎng)連接部分用于金融行業(yè)網(wǎng)絡連接各地分支機構。分支機構的內部用戶通過專網(wǎng)連接訪問數(shù)據(jù)中心的應用服務器，例如：ERP服務器，EMail服務器等，同時也可以通過數(shù)據(jù)中心的辦公網(wǎng)Internet鏈路訪問Internet上的資源。1.2 網(wǎng)絡安全防護現(xiàn)

9、狀網(wǎng)絡安全部分通常由防火墻、入侵檢測系統(tǒng)（IDS）和防病毒網(wǎng)關設備、認證服務器、代理服務器構成，用于制定內部信息資源的不同訪問策略，保護數(shù)據(jù)中心的應用免受來自Internet的網(wǎng)絡攻擊。1.3 網(wǎng)絡應用現(xiàn)狀金融行業(yè)的辦公網(wǎng)中涉及的網(wǎng)絡應用通常為內部OA辦公系統(tǒng)，Web服務器，各類應用服務器等組成。生產(chǎn)網(wǎng)中的涉及的網(wǎng)絡應用則通常包括對外WWW信息發(fā)布系統(tǒng)，業(yè)務應用系統(tǒng)和后臺數(shù)據(jù)庫系統(tǒng)組成。2 金融行業(yè)網(wǎng)絡中存在的缺陷從上圖中可以看出，在金融行業(yè)網(wǎng)絡中存在很多網(wǎng)絡設計上的缺陷，總結起來可以分為以下三個部分的問題： 網(wǎng)絡連接部分存在的問題 網(wǎng)絡安全部分存在的問題 網(wǎng)絡應用部分存在的問題下面我們就這三

10、部分存在的問題做詳細描述：2.1 廣域網(wǎng)鏈路存在的缺陷金融行業(yè)網(wǎng)絡連接部分無論是生產(chǎn)網(wǎng)還是辦公網(wǎng)均存在如下問題： 金融行業(yè)總部Internet鏈路存在的問題：金融行業(yè)總部Internet鏈路存在的問題：l 鏈路的單點失效性：采用單一Internet連接鏈路存在單點失效性，一旦該鏈路出現(xiàn)故障將造成整個網(wǎng)絡的癱瘓；l 鏈路性能的瓶頸：單一Internet連接鏈路的帶寬資源是有限的，無法滿足金融行業(yè)內部全體用戶對網(wǎng)絡訪問Internet時帶寬不斷增長的需求，同時也無法大量的Internet上的用戶對金融行業(yè)的訪問；l 訪問速度快慢不一由于歷史原因，不同ISP的互連互通一直存在著很大的問題，在南方電信

11、建立的應用服務器，如果是南方電信用戶訪問正常，Ping的延時只有幾十甚至十幾毫秒，對用戶的正常訪問幾乎不會造成影響；但如果是北方網(wǎng)通的遠程用戶訪問，Ping的延時只有幾百甚至上千毫秒，訪問應用時則會出現(xiàn)沒有響應設置無法訪問的問題。如果用戶采用單條接入鏈路，無論是采用電信（或則網(wǎng)通），勢必會造成相應的網(wǎng)通（或則電信）用戶訪問非常慢。當內部用戶通過辦公網(wǎng)鏈路訪問internet資源時，如果訪問資源不屬于所接入的ISP服務提供商，則訪問的延時非常大。例如：如果金融機構采用的ISP是通過網(wǎng)通接入的，在訪問處于電信的資源時，會由于不同ISP之間互連互通的問題造成訪問變慢，而訪問網(wǎng)通資源時，就不會存在問題

12、。同樣，當外部用戶訪問金融機構發(fā)布的網(wǎng)上金融服務時，也會受到ISP提供商的不同，而產(chǎn)生訪問快慢不一的現(xiàn)像。l 網(wǎng)絡安全防護能力弱：目前Internet上的各種各樣的網(wǎng)絡攻擊層出不窮，路由器自身對網(wǎng)絡攻擊的防護能力非常有限，DOS/DDOS 網(wǎng)絡攻擊會對廣域網(wǎng)絡由器產(chǎn)生嚴重的影響；2.2 網(wǎng)絡安全防護存在的缺陷l 網(wǎng)絡安全設備的單點失效性：單一的網(wǎng)絡安全設備存在單點失效性，例如：圖中的防火墻和防病毒設備一旦出現(xiàn)問題，將造成整個網(wǎng)絡的癱瘓；l 網(wǎng)絡安全設備性能的瓶頸：網(wǎng)絡安全設備由于要對進出網(wǎng)絡的數(shù)據(jù)包進行安全性檢查，與網(wǎng)絡路由器和網(wǎng)絡交換機相比，性能通常會降低很多，例如防病毒設備的網(wǎng)絡吞吐量通常

13、只有310Mbps。因此網(wǎng)絡中的安全設備通常都是制約網(wǎng)絡傳輸速度的瓶頸點。l 安全體系架構存在漏洞：防火墻可以基于網(wǎng)絡中的TCP、UDP端口對網(wǎng)絡流量進行訪問控制，并且可以對基于狀態(tài)的協(xié)議進行協(xié)議狀態(tài)檢查，因此防火墻通常是在網(wǎng)絡第四層上對用戶的網(wǎng)絡進行保護。但是防火墻無法對基于網(wǎng)絡七層中的網(wǎng)絡攻擊進行防護例如： 蠕蟲入侵病毒入侵。后門攻擊。IDS可以對網(wǎng)絡中的數(shù)據(jù)包進行深入的分析，可以檢查到資料包中第7層的信息，它具備隨時對可疑流量進行檢查和識別的能力。但是IDS最大的問題是IDS并不能阻止攻擊的入侵，僅僅能發(fā)出告警，而此時網(wǎng)絡攻擊已經(jīng)進入到網(wǎng)絡內部。目前我們面臨著手段各異形式多樣的混合式攻擊

14、威脅，這些攻擊中應用級層的攻擊占了絕大多數(shù)，為了抑制這些攻擊，Gartner建議“在作出安全方面的決策時除了考慮簡單的靜態(tài)協(xié)議過濾外，還要考慮對應用內容（網(wǎng)絡七層中的攻擊特征）進行深入的數(shù)據(jù)包檢查，并阻擋該攻擊”。2.3 網(wǎng)絡應用存在的缺陷l 網(wǎng)絡應用的可靠性較差：應用服務器由于服務器硬件的穩(wěn)定性、流量壓力超載、網(wǎng)絡攻擊等情況經(jīng)常會出現(xiàn)意外宕機的情況，從而無法保證網(wǎng)絡應用的7x24 小時的持續(xù)性服務。l 網(wǎng)絡應用的性能瓶頸：在網(wǎng)絡應用系統(tǒng)中，通常會采用多臺服務器同時提供服務的方式。但是由于網(wǎng)絡中的流量并不均衡，因此經(jīng)常會出現(xiàn)某臺服務器由于訪問量過大而宕機，造成網(wǎng)絡應用性能的不穩(wěn)定，從而影響到整

15、個網(wǎng)絡應用系統(tǒng)的性能。 l 網(wǎng)絡應用的安全性較差：從上圖中可以看出現(xiàn)有網(wǎng)絡中的安全性防護機制的特點是： 現(xiàn)有的安全性防護機制通常是針對來自外網(wǎng)的攻擊； 缺乏針對來自內網(wǎng)的攻擊防護機制； 現(xiàn)有的安全性防護機制通常是針對整體網(wǎng)絡層面的攻擊防護，即針對網(wǎng)絡IP層、TCP/UDP層的網(wǎng)絡4層以下的攻擊防護； 缺乏針對具體的、特定的金融行業(yè)網(wǎng)絡應用的特點而專門制定的符合金融行業(yè)網(wǎng)絡應用的基于網(wǎng)絡7層防護的安全性防護機制；三、 金融行業(yè)網(wǎng)絡應用需求分析1 廣域網(wǎng)鏈路需求分析網(wǎng)絡連接方面的需求多鏈路負載均衡技術金融行業(yè)在網(wǎng)絡連接方面的需求如下：目前在國內由于多家ISP的競爭，Internet 接入鏈路的成本

16、大幅降低，多鏈路Internet的接入已成為許多用戶在的選擇網(wǎng)絡連接方面的需求。因此在Internet網(wǎng)絡連接方面金融行業(yè)網(wǎng)絡將存在如下要求：l 提高Internet網(wǎng)絡鏈路的可用性：當金融行業(yè)網(wǎng)絡中心具有多條Internet鏈路后，應提高Internet網(wǎng)絡鏈路可用性的智慧檢查，防止出現(xiàn)由于某一條Internet鏈路的失效造成整體網(wǎng)絡的不可訪問。l 提高Internet鏈路的網(wǎng)絡吞吐量：提高網(wǎng)絡中心的Internet網(wǎng)絡鏈路的吞吐量，申請多條Internet鏈路l 屏蔽ISP接入商之間的互連互通問題當采用兩個或多個不同ISP接入商之后，提高訪問位于不同接入商資源時的訪問速度。l 提高Inte

17、rnet網(wǎng)絡鏈路的抗網(wǎng)絡攻擊的能力：Internet上的各種各樣的網(wǎng)絡攻擊首先影響的將會是Internet網(wǎng)絡鏈路，因此應加強在Internet鏈路上的攻擊防護。2 網(wǎng)絡安全防護需求分析網(wǎng)絡安全方面的需求防火墻、IDS、防病毒等安全網(wǎng)關設備負載均衡技術的需求為了保證金融行業(yè)的網(wǎng)絡在網(wǎng)絡安全防護方面的高可用性、高性能和安全性，金融行業(yè)在網(wǎng)絡安全方面的需求可以分為以下幾部分：l 提高網(wǎng)絡安全設備的可用性：網(wǎng)絡中應具備安全設備的的可用性檢查，避免單一的網(wǎng)絡安全設備的單點失效性。l 提高網(wǎng)絡安全設備性能：在網(wǎng)絡中采用多臺網(wǎng)絡安全設備，避免網(wǎng)絡安全設備帶來的瓶頸，提高網(wǎng)絡傳輸速度。l 完善網(wǎng)絡安全體系架

18、構：現(xiàn)今，各種各樣的網(wǎng)絡攻擊層出不窮，導致防火墻的負荷在不斷提高，再相對于網(wǎng)絡物理帶寬的大幅度提高，防火墻逐漸成為了網(wǎng)絡的瓶頸，本案希望使用一組（2個以上）防火墻采用負載均衡技術提供安全服務，以提升性能。3 網(wǎng)絡應用需求分析網(wǎng)絡應用方面的需求應用服務器負載均衡技術的需求為了保證金融行業(yè)的網(wǎng)絡應用的高可用性、高性能和安全性，金融行業(yè)的網(wǎng)絡應用存在下列需求：l 提高網(wǎng)絡應用的可靠性：自動的網(wǎng)絡應用可用性檢查，保證網(wǎng)絡應用的7x24 小時的持續(xù)性服務。l 提高網(wǎng)絡應用的性能：如果網(wǎng)絡中僅有單臺服務器提供網(wǎng)絡應用的服務，很難保證網(wǎng)絡應用的性能，可以考慮增加相應的服務器數(shù)量，配合負載均衡技術來提高網(wǎng)絡網(wǎng)

19、絡應用的性能。l 網(wǎng)絡應用的安全性較差：制定針對具體的、特定的網(wǎng)絡應用的特點而專門制定的基于網(wǎng)絡7層防護的安全性防護機制；四、 Radware解決方案1 Radware公司簡介Radware公司是RAD集團的成員之一，RAD集團目前擁有14個各自獨立的公司，在網(wǎng)絡及通訊產(chǎn)業(yè)領域提供不同的技術，服務不同的市場。Radware 公司于1999年在NASDAQ上市(RDWR)，目前，Radware公司的網(wǎng)絡產(chǎn)品行銷40多個國家，在全球擁有130家經(jīng)銷商，為廣大用戶提供了全面的產(chǎn)品和解決方案。Radware 一直致力于提供智能應用交換（IAS）技術，以保證IP網(wǎng)絡應用在Internet/Intrane

20、t上的最佳運行和服務。Radware 將應用需求和網(wǎng)絡設施緊密結合在一起，可無縫分配資源、優(yōu)化應用系統(tǒng)的運行以及提高網(wǎng)絡安全性，最終為用戶提供高可靠性的、高性能的、高安全性的網(wǎng)絡智能應用解決方案。作為網(wǎng)絡智能應用交換（IAS）領域的佼佼者，Radware通過在47層網(wǎng)絡交換領域和網(wǎng)絡入侵防護（IPS）領域專注的技術研發(fā)，不斷為市場提供功能強大、穩(wěn)定高效的網(wǎng)絡智能應用解決方案。Radware目前提供3大類網(wǎng)絡智能應用解決方案：Radware網(wǎng)絡連接解決方案；Radware網(wǎng)絡安全解決方案；Radware網(wǎng)絡應用解決方案；通過最優(yōu)化的網(wǎng)絡資源利用以及完善的安全防護體系架構為廣大用戶打造全方位、高效

21、率的網(wǎng)絡安全空間。Radware 解決方案借助屢獲殊榮的產(chǎn)品來構架Radware網(wǎng)絡智能應用解決方案用于滿足政府、服務提供商以及電子商務機構的網(wǎng)絡需求。這些產(chǎn)品包括：LinkProof（LP）、Linkproof-Branch（LPB）、Defense-pro（DP）、AppDirector 、SecureFlow(SF)、AppXcel 、FireProof（FP）、Content Inspection Director (CID)。Radware公司全面的產(chǎn)品組合可服務于端到端的應用業(yè)務，同時提供可靠和可擴展的網(wǎng)絡流量保證。Radware 可讓您對網(wǎng)絡環(huán)境中從點擊到內容的方方面面做到萬無一

22、失。Radware在智能應用交換（IAS）技術上一直處于領先地位，Radware的產(chǎn)品獲得過眾多的業(yè)界大獎，這些獎項包擴：PC Magazine Editors ChoiceNetwork magazines Product of the YearZD Internet Labs Net BestSpring Internet World98Los Angeles, Best of Show Network Computing magazines Editors Choice 2 Radware解決方案介紹2.1 Radware解決方案拓撲圖根據(jù)上述網(wǎng)絡應用現(xiàn)狀分析和用戶的需求分析，結合Rad

23、ware產(chǎn)品的技術實現(xiàn)和特點，我們建議的金融行業(yè)方案設計如下圖所示：圖一：整體網(wǎng)絡拓撲2.2 Radware解決方案簡介雖然金融行業(yè)中網(wǎng)絡被劃分為生產(chǎn)網(wǎng)與辦公網(wǎng)，但大部份的網(wǎng)絡架構非常相似，因此以下方案將進行統(tǒng)一描述。建議在中央機構網(wǎng)絡各層面上共采用了如下Radware的設備，其中包括:DefensePRO(DP)-專用的透明安全設備LinkProof(LP)-鏈路負載均衡設備SecureFlow(SF)-安全網(wǎng)關負載均衡設備AppDirector-服務器負載均衡AppXcel-服務器優(yōu)化設備該解決方案從功能上分為3個部分：l 連接解決方案部分l 安全解決方案部分l 應用的解決方案部分2.2.

24、1 Radware連接解決方案部分簡介l LinkProof實現(xiàn)多鏈路的負載均衡和防火墻的負載均衡如上圖所示，我們建議在網(wǎng)絡接入處，部署LinkProof，實現(xiàn)對多條internet接入鏈路（最多100條）的負載均衡，可以同時實現(xiàn)outbound流量（內部辦公用戶訪問internet）和inbound流量（internet用戶訪問內部服務器）雙向的負載均衡。同時使用Radware專利技術動態(tài)就近性來保證進出的雙向流量的智能的動態(tài)的就近性選擇，大大提高用戶訪問的服務質量和訪問效率。LinkProof可以配合FireProof實現(xiàn)多臺防火墻（最多100臺）的負載均衡，防火墻可以是不同廠家，不同型號

25、，不同性能，大大提供防火墻的擴展性和可用性。2.2.2 Radware安全解決方案部分簡介我們建議的安全解決方案部分，包括3款產(chǎn)品，DefensePro，F(xiàn)ireProof，CID,每臺設備簡要功能描述如下：l DefensePro實現(xiàn)實時的攻擊防御如上圖所示，我們建議在網(wǎng)絡接入處，部署DefensePro，可以識別并實時抵御1500多種蠕蟲、病毒、DOS攻擊和異常的流量模式，保護內部用戶和服務器的安全。同時，通過把端口兩兩靜態(tài)綁定，虛擬成多臺邏輯設備，分別部署在核心交換機和金融行業(yè)廣域網(wǎng)之間保護入侵和攻擊不致互相擴散。使用一臺邏輯設備部署在核心交換機和WSD之間，保護服務器群免受內部辦公用戶

26、的非法攻擊。使用多臺邏輯設備部署在內部辦公用戶的不同網(wǎng)段（或者樓層）之間，保證非法入侵和攻擊不致擴散到其它辦公網(wǎng)段或者樓層。l SecureFlow(SF)實現(xiàn)各安全網(wǎng)關的負載均衡如上圖所示，我們建議在多臺防火墻和核心交換機之間，部署SecureFlow，實現(xiàn)多臺防火墻（最多100臺）的負載均衡，防火墻可以是不同廠家，不同型號，不同性能，大大提供防火墻的擴展性和可用性。通過旁路部署各安全網(wǎng)關設備，SecureFlow可以實現(xiàn)多臺IDS（最多100臺）、cache服務器、防病毒網(wǎng)關，URL過濾網(wǎng)關的負載均衡，這些安全網(wǎng)關設備可以是不同廠家，不同型號，不同性能，大大提供安全網(wǎng)關的擴展性和可用性。2

27、.2.3 Radware應用解決方案部分簡介我們建議的應用解決方案部分，包括2款產(chǎn)品，AppDirector，AppXcel,每臺設備簡要功能描述如下：l AppDirector實現(xiàn)服務器的負載均衡AppDirector位于核心交換機和各種IP應用服務器之間，主要實現(xiàn)所有基于IP協(xié)議的各種服務器的負載均衡功能，通過部署AppDirector,可以實現(xiàn)服務器業(yè)務的7*24不間斷的運行和保證業(yè)務的最佳服務器質量，從而實現(xiàn)了服務器所承載的業(yè)務的100的高可用性和高性能。l AppXcel實現(xiàn)SSL加速和HTTP（HTTPS）頁面的加速SSL加速功能：AppXcel與AppDirector配合，為用戶

28、提供SSL加密加速服務。利用AppDirector的負載均衡可以使Web服務器擺脫密集型處理的SSL密鑰交換和加密/解密功能。為應用處理釋放了服務器資源，并且使服務器的投資發(fā)揮最大效益。HTTP（HTTPS）頁面的加速AppXcel通過WEB壓縮和HTTP連接復用技術，大大提升internet用戶對服務器的訪問速度。較大地節(jié)省了internet的接入帶寬，大大地降低了WEB服務器的處理資源消耗。 2 Radware技術介紹2.1 DefensePro 實現(xiàn)入侵和DOS攻擊的實時防范DefensePro 采用了多層安全架構，分別檢測和抵抗不同類型的攻擊，確保只有“清潔”流量進入收保護的區(qū)域。2.

29、1.1 Dosshield實現(xiàn)已知攻擊工具防范DefensePro的DoSShield模塊借助高級的取樣機制和基準流量行為監(jiān)測來識別異常流量，提供了實時的、數(shù)千兆位速度 的DoS防范。該機制會對照DefensePro 攻擊數(shù)據(jù)庫中的DoS攻擊特征列表（潛在攻擊）來比較流量樣本。一旦達到了某個潛在攻擊的激活閾值，該潛在攻擊的狀態(tài)就會變?yōu)镃urrently Active （當前活動），這樣就會使用該潛在攻擊的特征文件來比較各個數(shù)據(jù)包。如果發(fā)現(xiàn)匹配的特征，相應的數(shù)據(jù)包就會被丟棄。如果沒有匹配的特征，則會將數(shù)據(jù)包轉發(fā)給網(wǎng)絡。借助高級的取樣機制檢測DoS 攻擊，DoSShield只在出現(xiàn)了嚴重帶寬濫用的

30、情況下，才會判斷攻擊的存在，它會外科手術般地采用逐包過濾除去攻擊流量。而當攻擊不再活躍時，DoS Shield也能檢測到相應狀態(tài)并停止逐包過濾的操。這樣不僅可實現(xiàn)完全的DoS和DDos 防范能力，而且還保持了大型網(wǎng)絡的高吞吐量。Dosshield的主要優(yōu)勢：l 監(jiān)聽和采樣機制，只有在出現(xiàn)嚴重攻擊時才采取防范措施，保證了大型網(wǎng)絡的高性能和高吞吐量；l 基于特征碼的防范策略，對正常應用無影響，保持了極低的誤判率。DoS Shield作為第一道防范體系，負責在抵御已知Flood攻擊的同時傳輸其他流量，而這些其他流量中還可能包含未知的新型攻擊，它們將由第二道防范體系Behavioral DoS 模塊來

31、實現(xiàn)防護。2.1.2 Behavioral DoS基于網(wǎng)絡行為模式實現(xiàn)自動攻擊防范借助于先進的統(tǒng)計分析、模糊邏輯和新穎的閉環(huán)反饋過濾技術，Radware B-DoS 防范模塊能夠自動和提前防范網(wǎng)絡Flood攻擊和高速自我繁殖的病毒，避免危害的發(fā)生。Radwares 自適應Behavioral DoS防范模塊自動學習網(wǎng)絡上的行為模式，建立正?；鶞?，并通過先進的模糊關系邏輯運算判斷背離正常行為的異常流量。 通過概率分析，該模塊使用一系列提取自數(shù)據(jù)包包頭和負荷的參數(shù)，例如ID (packet identification number), TTL (Time to Live), Packet siz

32、e, DNS 查詢, Packet Checksum值等共17 個參數(shù)，來實時定義即時異常流量的特點。為了避免誤判而阻止合法用戶的正常流量，該模塊還會采用“與”“或”邏輯運算來盡量精確攻擊的防范策略。 所有上述流程都由DefensePro自動完成，無需人為干預，能夠在數(shù)千兆位的網(wǎng)絡環(huán)境中精確防范已知攻擊、Zero-day Dos/DDos攻擊和自我繁殖網(wǎng)絡蠕蟲。Behavioral DoS 防護模塊的攻擊檢索機制即不使用特征碼，也不依賴于用戶定義的行為策略和閥值。它還可以自動適應網(wǎng)絡中的正常流量變化，因此它不會影響網(wǎng)絡中的正常應用行為。B-DoS 能夠非常有效的抑制以下已知和未知的攻擊：l S

33、YN Floodl TCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods) l UDP Floodsl DNS floods (基于UDP 53端口)l UDP Flood 和 ICMP反向散射(unreachable 信息) l ICMP Floodsl IGMP Floods l Zero-Day 高速自我繁殖蠕蟲(SQL Slammer, Blaster, Welchia, 等) Behavioral DoS的主要優(yōu)勢：l Zero-day Dos/DDos的未知攻擊防范，無需認為手工干涉；l 對DoS攻擊的完全防范，較低的CPU資源消耗；l 自適應

34、的行為判別模式，將誤判率降至最低；l 完全自適應功能，無需策略配置，無需維護成本。2.1.3 入侵防范防范各類應用攻擊為了確保DoSShield和Behavioral DoS模塊不會遺漏任何攻擊并危害運用戶網(wǎng)絡應用的關鍵應用系統(tǒng)，Radware還提供另一道防護屏障入侵防范。 通過對比入侵特征庫，DefensePro阻止攻擊數(shù)據(jù)包來建立最后一道屏障。入侵特征庫羅列一系列會對網(wǎng)絡造成嚴重破壞的應用層攻擊，通常包括在Internet上近期出現(xiàn)和爆發(fā)的濫用帶寬資源的攻擊，NetSky,、Bagle、Mytob、Blackmal、Sober等蠕蟲以及它們的變種都在其中。DefensePro會對數(shù)據(jù)包進行

35、逐一檢查，并根據(jù)惡意攻擊模式執(zhí)行特征比較。它可以識別Radware安全數(shù)據(jù)庫中的1600多種攻擊特征。為了防范新的攻擊形式，數(shù)據(jù)庫會不斷被更新。對于未知形式的攻擊，可以使用協(xié)議異常檢查功能來檢測。通過檢查協(xié)議的異常性，可以檢測異常的數(shù)據(jù)包碎片，而這大多數(shù)情況下標識了惡意活動?？焖俚墓籼卣鞅容^為了支持數(shù)千兆位的特征掃描速度，DefensePro專門采用了基于ASIC的強大加速器 StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作，可對照特征數(shù)據(jù)庫進行高速的檢測和數(shù)據(jù)包比較。同使用Intel Pentium 4 CPU進行串行特征搜索相比，其字符

36、串搜索速度提高了300倍。實時抑制攻擊當檢測到惡意活動時，DefensePro可能以任何組合形式立即執(zhí)行以下的這些操作：丟棄數(shù)據(jù)包、重置連接以及向管理位置發(fā)送報告。這樣就為該設備之后的應用、操作系統(tǒng)、網(wǎng)絡設備和其它網(wǎng)絡資源提供了全面保護，以免它們遭到蠕蟲、病毒和其它形式的攻擊。入侵防范的主要優(yōu)勢：l 基于特征的入侵識別，能夠準確地識別和抑制攻擊；l 專用的硬件加速器，確保了告訴的檢測和防范以及網(wǎng)絡吞吐量。2.1.4 帶寬管理在提供強大的安全功能同時，DefensePro 的帶寬管理功能。DefensePro能夠根據(jù)網(wǎng)絡數(shù)據(jù)包的源/目的地址、應用端口和內容（IP header或IP Data）區(qū)

37、分流量，還可以限制相同用戶的并發(fā)會話和每個會話的帶寬，從而阻止和控制各種流量的帶寬應用。2.1.5 其它安全相關功能除了上述四個功能模塊外，DefensePro還提供以下功能：黑白名單（Black and White List）訪問控制列表Syn Flood防范為了提供全面的SynFlood攻擊防范能力，除了Dosshield和Behavioral Dos之外，DefensePro采用SynCookie技術基于源地址監(jiān)視來發(fā)現(xiàn)惡意攻擊源，并提供多重級別的防范措施。異常流量（Anomalies）防范為了逃避安全設備的檢查，黑客通常會采用拆包并將攻擊分成多個數(shù)據(jù)包碎片傳輸。此類攻擊被稱作Anoma

38、lies。針對此類攻擊，DefensePro提供了也體動相應的防范能力：l 異常協(xié)議類；l Buffer Overflow類；l HTTP碎片類狀態(tài)檢測（Stateful inspection）DefensePro提供針對協(xié)議濫用等攻擊，提供狀態(tài)檢測攻擊防范能力，可以防范的攻擊例如：l TCP Flooding：SYN-ACK (反射攻擊), TCP數(shù)據(jù)包風暴；l Stealth 掃描：通過發(fā)送TCP fin / rst /ack / syn-fin數(shù)據(jù)包，以圖發(fā)現(xiàn)開放的端口；l DNS reply flooding： 使用大量的DNS響應數(shù)據(jù)包攻擊服務器；l ICMP Echo reply

39、flooding： 使用大量的echo reply數(shù)據(jù)包攻擊服務器（Smurf）；l 防掃描（AntiScanning）黑客在發(fā)起攻擊之前，通常會試圖確定目標上開放的TCP/UDP端口，而一個開放的端口通常意味著某種應用，操作系統(tǒng)或者后門。DefensePro提供此類探測的防范能力。2.1.6 DefensePro的安全報告當DefensePro檢測到攻擊時，它會將該安全事件報告。在報告中包含有全面的流量信息，比如源IP地址和目標IP地址、TCP/UDP 端口號、物理接口以及攻擊的日期和時間?？梢允褂迷O備日志文件和報警表格在內部記錄安全事件信息，或者通過系統(tǒng)日志渠道、SNMP 陷阱或電子郵件將

40、安全事件信息發(fā)送到外部。 還可以根據(jù)網(wǎng)絡中的實時安全狀況，以雷達圖的方式提供當前的攻擊嚴重程度以及數(shù)量等信息。2.2 LinkProof 鏈路優(yōu)選方案LinkProof能夠同時實現(xiàn)雙向（Inbound和Outbound）流量在多條鏈路上的負載均衡的。l 鏈路健康狀況檢查：LP可以采用多種方式判斷鏈路的健康狀況，例如Ping（全鏈路健康檢查），以及通過檢查多個Internet目標來共同判斷鏈路狀況。l Inbound流量處理方面主要利用了DNS和SmartNAT技術；l Outbound流量處理主要利用了SmartNAT技術。2.2.1 鏈路健康檢測LinkProof會通過多種方式檢測兩條鏈路的

41、健康狀況，一旦發(fā)現(xiàn)其中一條鏈路故障，會立即將所有用戶流量定向至其它可用鏈路，從而實現(xiàn)Internet連接的高可用性。主要的方法有：l 全路徑健康檢查為了確保ISP鏈路的暢通，LinkProof將采用Ping的方法，不僅僅檢查和其相連的路由器的端口是否可達，還可以檢查該鏈路后續(xù)路由節(jié)點的連通性（10跳），已確保整個路徑的暢通。注：該方法要求ISP的鏈路對ICMP開放。l 高級健康檢查針對所有的網(wǎng)絡環(huán)境（包括禁止ICMP的ISP），LinkProof提供了豐富的47層檢查方式，并可以通過多種檢查結果的“與”和“或”運算結果，最終準確判斷鏈路的健康狀況。例如：通過CNC的路徑，同時檢查www.soh

42、和的80端口，并將檢查結果做“或”運算，只要一個檢查通過即可判斷CNC鏈路正常。避免了某網(wǎng)站故障導致鏈路狀態(tài)誤判的可能性。2.2.2 流入（Inbound）流量處理LinkProof需要客戶配合將域名的解析功能導向到LinkProof，由LinkProof來進行域名的解析。這樣當遠程通過域名訪問金融網(wǎng)上業(yè)務時，逐步通過遠程用戶的本地DNS服務器、根DNS服務器，最終由LinkProof來進行域名的解析。此時LinkProof就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路，然后將域名解析成相應線路的IP地址。例如：當某個網(wǎng)通的遠程用戶訪問金融網(wǎng)上業(yè)務網(wǎng)時，首先

43、向他當?shù)氐腄NS服務器發(fā)起域名解析的請求，再通過他接入運營商的根DNS服務器，最終總歸會向LinkProof請求DNS解析，此時LinkProof就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路（網(wǎng)通），然后將域名解析成網(wǎng)通線路的IP地址（218.x.x.1）。這樣遠程的網(wǎng)通用戶就會使用網(wǎng)通的目標IP地址，通過網(wǎng)通的線路進行訪問，實現(xiàn)了訪問時鏈路方面的負載均衡優(yōu)化。下面以為例，描述Inbound流量處理的過程。假設圖中的Server1是Web服務器，Internet主機名為，地址為私有IP：00/24。如圖所示，

44、在DNS服務器上主則兩筆NS記錄，指向LinkProof：NS www.R NS www.R 而在LinkProof上設置URL與內部主機地址的對應關系： 00而在LinkProof上設置靜態(tài)的地址翻譯：00 00 當有Internet用戶訪問是時，DNS服務器回應給用戶由LinkProof來完成最終地址解析。LinkProof根據(jù)具體設置來選定適當?shù)腎SP線

45、路，如果選擇ISP1，則將地址解析為。同樣，如果選擇ISP2，則將地址解析為。從而完成流入流量的負載均衡。2.2.3 流出（Outbound）流量處理LinkProof主要采用以下集中方式來處理流出流量。SmartNAT對于流出流量的智能地址管理，LinkProof使用了稱為SmartNAT的算法。當選定一個路由器（某一個ISP）傳送流出流量時，LinkProof將選擇該ISP提供的地址。在圖二中，如果LinkProof選擇ISP1作為流出流量的路徑，則它將把內部的主機地址192.168.2.A/24翻譯為100.1.1.A/24，并作為流出數(shù)據(jù)包的源地址。

46、同樣，如果LinkProof選擇ISP2作為流出流量的路徑，則它將把內部的主機地址192.168.2.A/24翻譯為200.1.1.A/24，并作為流出數(shù)據(jù)包的源地址。2.2.4 獨特優(yōu)勢-“就近性”運算LinkProof的專利技術：就近性，能夠根據(jù)用戶訪問的目的IP、各條鏈路的負載等情況來綜合考慮，計算出內部用戶訪問Internet的最佳路徑，以保證用戶能夠得到最快和最高效的服務和響應。l 靜態(tài)就近性：用戶可在LinkProof上為某個目標定義靜態(tài)的最佳鏈路。例如目標IP地址屬于ISP1的，應選擇ISP1鏈路；目標IP地址屬于ISP2的，應選擇ISP2鏈路。l 動態(tài)就近性：在選擇最佳鏈路時，

47、LinkProof會綜合考慮與目標網(wǎng)絡之間的路由節(jié)點數(shù)量、數(shù)據(jù)傳輸?shù)难舆t和鏈路的實時負載，準確計算出最佳路徑。因此用戶能充分地享受到優(yōu)化的服務和快速地響應。2.3 SecureFlow對防御系統(tǒng)進行中央管理SecureFlow 實現(xiàn)與現(xiàn)有安全體系結構的無縫集成，添加新安全工具或對現(xiàn)有安全工具進行最優(yōu)化時不要求更改網(wǎng)絡設置，沒有故障時間，并且不中斷服務交付。SecureFlow 將獨立的安全工具(包括防火墻、虛擬專用網(wǎng)絡、防病毒、防垃圾郵件和入侵檢測系統(tǒng))改造成統(tǒng)一的、基于交換的最佳體系結構，使所有安全工具具有最佳性能和使用率。SecureFlow 確保高安全工具可用性，消除安全瓶頸，并提高安全

48、處理速度，同時提供節(jié)省成本的安全擴展。使用 SecureFlow，用戶可以從任何組合防御體系結構中獲得更多價值。SecureFlow 能夠無縫地添加新的安全工具，混合并匹配安全工具以獲得完美的靈活性，而不產(chǎn)生性能或集成間接費用，從而使用戶可以容易地更換/添加新安全工具，以滿足不斷出現(xiàn)的安全需要。 2.3.1 保證各安全工具的高可用性在網(wǎng)絡的信道上配置了大量的安全網(wǎng)關設備，因此如果任一安全網(wǎng)關發(fā)生故障將導致Internet連接中斷，造成巨大的停機損失。SecureFlow 的實時的健康監(jiān)測、故障旁路和通信重導，確保組合的多廠商安全工具(包括防火墻、VPN、IDS、內容檢測和防病毒)具有高可用性，

49、從而實現(xiàn)故障容錯安全性。2.3.2 提升各安全工具的處理性能智能應用安全分級和策略實施SecureFlow根據(jù)應用和用戶進行的、基于策略的粒狀控制通信分級，以及用于安全操作排序的流量控制，能夠在任何安全設備中實現(xiàn)定制的安全操作，通過選擇性地將相關通信轉送到適當?shù)陌踩珕卧?，來最?yōu)化安全設備的性能。最佳的數(shù)千兆位安全交換機和加速響應時間SecureFlow 在不同的安全設備間動態(tài)地平均分配流量，根據(jù)預先制定的策略處理流量，同時考慮入站和出站流量，從而最優(yōu)化現(xiàn)有的安全資源。這有助于消除性能退化現(xiàn)象和等待時間，并提高安全處理速度。可信內容的預掃描SecureFlow 的預掃描功能允許區(qū)別可信通信 (.

50、gif, .jpg, .avi, .mp3, .mpeg, .tif)，不檢測就直接將其轉送，而將不可信的流量引導至防病毒設備接受掃描。預掃描降低了內容檢測設備上的通信負載，并將內容掃描速度加快 500%，從而獲得最佳性能。2.3.3 統(tǒng)一和可升級的安全體系結構SecureFlow全面的實現(xiàn)了各廠商自由混合式同類最佳安全工具部署，通過創(chuàng)建不同安全功能內容檢查設備群組，使管理員在訪問量增加時能夠很容易地添加相關的內容檢查設備，真正實現(xiàn)透明添加內容檢查設備，無需中斷服務或者停機。2.4 AppDirector-實現(xiàn)服務器負載均衡AppDirector具備先進的 4-7 層策略和粒狀控制應用能力，實

51、現(xiàn)對大范圍金融網(wǎng)上應用(包括 VoIP、流媒體、Citrix、和安全的LDAP 應用等)的訪問進行端到端的應用感知優(yōu)化。全面集成的流量分級和數(shù)據(jù)流管理、健康檢測和故障隔離、流量重定向、帶寬管理、入侵防范和 DoS 防護，讓您的網(wǎng)絡更好地適應和響應動態(tài)應用和業(yè)務需要。2.4.1 健康狀況檢查AppDirector可靠的健康狀況檢查可以保證用戶獲得最佳的服務。AppDirector可以監(jiān)視服務器在IP、TCP、UDP、應用和內容等所有協(xié)議層上的工作狀態(tài)。如果發(fā)現(xiàn)故障，用戶即被透明地重定向到正常工作的服務器上。這可以保證用戶始終能夠獲得他們所期望的信息。為了確保服務正常運行，AppDirector監(jiān)

52、控從 Web 服務器、中間件服務器到后端數(shù)據(jù)庫服務器的整個路徑上工作狀態(tài)，確保整個數(shù)據(jù)路徑上的服務器都處于正常狀態(tài)。如果存在一個故障服務器，AppDirector則不會將用戶分配到這個發(fā)生故障路徑的服務器，從而保證為用戶提供透明的數(shù)據(jù)完整性保障。2.4.2 交易完整性的可靠保證為了保證用戶在訪問具有會話連續(xù)性業(yè)務時不會被負載均衡器分配到不同的服務器上，AppDirector在提供本地負載均衡的同時，還可以具備基于cookie,session ID,SIP,SSL ID,source IP等方式將用戶的請求定位在相同的服務器上。2.4.3 完全的容錯與冗余AppDirector的配置提供設備間的

53、完全容錯，以確保網(wǎng)絡最大的可用性。兩臺AppDirector設備工作在冗余模式下，通過網(wǎng)絡相互檢查各自的工作狀態(tài)，為其所管理的應用保障完全的網(wǎng)絡可用性。它們可工作于“主用-備用”模式或“主用-主用”模式，在“主用-主用”模式下，因為兩個設備都處于工作狀態(tài)，從而最大限度地保護了投資。并且所有的信息都可在設備間進行鏡像，從而提供透明的冗余和完全的容錯，確保在任何時候用戶都可以獲得從點擊到內容的最佳服務。2.4.4 通過正常退出服務保證穩(wěn)定運行當需要進行服務器升級或系統(tǒng)維護時，AppDirector保證穩(wěn)定的服務器退出服務以避免服務中斷。當選定某臺服務器要從服務器退出服務后，AppDirector將

54、不會將任何新的用戶分配到該服務器。但是，它可以要退出服務的服務器上完成對當前用戶的服務。從而保證了無中斷的優(yōu)質服務，以及服務器組的簡易管理能力。2.4.5 智能的服務器服務恢復將重新啟動的服務器應用到服務中時，避免新服務器因突然出現(xiàn)的流量沖擊導致系統(tǒng)故障是非常重要的。所以，在將新服務器引入服務器組時，AppDirector將逐漸地增加分配到該服務器的流量，直至達到其完全的處理能力。從而不僅保證用戶在服務器退出服務時，同時還保證服務器在啟動期間以及應用程序開始時，均能獲得不間斷服務。2.4.6 通過負載均衡優(yōu)化服務器資源AppDirector執(zhí)行復雜的負載均衡算法，在多個本地和遠程服務器間動態(tài)分

55、配負載。這些算法包括循環(huán)、最少用戶數(shù)、最小流量、Native Windows NT 以及定制代理支持。除了這些算法，AppDirector還可以為每個服務器分配一個可以配置的性能加權，從而提高服務器組的性能。2.4.7 應用交換AppDirector根據(jù) IP 地址、應用類型和內容類決定流量分配。這樣，管理員就可以為不同類型的應用程序分配不同的服務器資源。應用交換支持不同協(xié)議上的各種應用，包括 TCP、UDP、IP、Telnet、Rshell、TFTP、流、被動 FTP、HTTP、e-mail、DNS、VOIP 等等。Radware 還為運行于動態(tài)端口并要求同步的應用設計了特殊支持功能。2.4.8 URL交換AppDirector完全支持 URL 交換，根據(jù) URL 和 HTTP 信息分配流量。每個 URL 都可以重定向到某服務器，或在多個服務器之間進行負載均衡，從而提供優(yōu)化的 Web 交換性能。根據(jù) URL 文本中包含的信息，AppDirector可以保持客戶持續(xù)性，從而保證內容的個性化。2.4.9 內容交換內容交換使管理員可以根據(jù)交易的內容來分配服務器資源。例如，CGI 腳本可以位于一個單獨的服務器組，當發(fā)生對該內容的請求時，會話就被重定向到其中某個服務器。AppDirector的內容交換能力可以廣泛支持 SSL ID 和 Session