RADWARE针对企业用户的
整体解决方案
以色列Radware有限公司北京代表处
2007年1月
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
目录
一、 行业背景................................................................................................................... 4 二、 企业用户网络应用现状........................................................................................... 5 2 企业网络应用现状简述.................................................................................................. 5
2.1 广域网链路现状................................................................................................ 6 2.2 网络安全防护现状............................................................................................ 7 2.3 网络应用现状.................................................................................................... 8 3 企业网络中存在的缺陷.................................................................................................. 8
3.1 广域网链路存在的缺陷.................................................................................... 9 3.2 网络安全防护存在的缺陷.............................................................................. 10 3.3 网络应用存在的缺陷...................................................................................... 11 三、 企业网络应用需求分析......................................................................................... 12 1 广域网链路需求分析.................................................................................................... 12 2 网络安全防护需求分析................................................................................................ 13 3 网络应用需求分析........................................................................................................ 14 四、 Radware解决方案................................................................................................ 16 1. Radware公司简介....................................................................................................... 16 2 Radware解决方案介绍............................................................................................... 18
2.1 Radware解决方案拓扑图 .................................................................................. 18 2.2 Radware解决方案简介 ...................................................................................... 19
2.2.1 Radware连接解决方案部分简介............................................................ 20 2.2.2 Radware安全解决方案部分简介............................................................ 21 2.2.3 Radware应用解决方案部分简介............................................................ 23
3 Radware技术介绍....................................................................................................... 24
3.1 DefensePro -实现入侵和DOS攻击的实时防范 ........................................... 24
3.1.1 Dosshield实现已知攻击工具防范 ........................................................ 24 3.1.2 Behavioral DoS基于网络行为模式实现自动攻击防范 ...................... 25 3.1.3 入侵防范防范各类应用攻击................................................................... 27 3.1.4 带宽管理................................................................................................... 28 3.1.5 其它安全相关功能................................................................................... 28 3.1.6 DefensePro的安全报告 ........................................................................ 29 3.2 LinkProof 链路优选方案 ................................................................................. 30
3.2.1 链路健康检测........................................................................................... 30 3.2.2 流入(Inbound)流量处理 .................................................................... 31 3.2.3 流出(Outbound)流量处理 ................................................................. 32 3.2.4 独特优势-“就近性”运算........................................................................... 33 3.3 SecureFlow对防御系统进行中央管理 ............................................................ 34
3.3.1 保证各安全工具的高可用性................................................................... 34 3.3.2 提升各安全工具的处理性能................................................................... 35 3.3.3 统一和可升级的安全体系结构............................................................... 35 3.4 AppDirector-实现服务器负载均衡 ................................................................. 35
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3.4.1 健康状况检查........................................................................................... 36 3.4.2 交易完整性的可靠保证........................................................................... 36 3.4.3 完全的容错与冗余................................................................................... 36 3.4.4 通过正常退出服务保证稳定运行........................................................... 36 3.4.5 智能的服务器服务恢复........................................................................... 37 3.4.6 通过负载均衡优化服务器资源............................................................... 37 3.4.7 应用交换................................................................................................... 37 3.4.8 URL交换.................................................................................................. 37 3.4.9 内容交换................................................................................................... 37 3.5 AppXcel 智能应用加速 ..................................................................................... 37
3.5.1 SSL加速 .................................................................................................. 38 3.5.2 集中处理多设备应用程序和SSL协议管理 ......................................... 38 3.5.3 TCP 优化................................................................................................. 39 3.5.4 多路HTTP/s协议 ................................................................................... 39 3.5.5 高速缓存................................................................................................... 39 3.5.6 http压缩 ................................................................................................... 39 3.5.7 数据压缩................................................................................................... 40
五、 Radware整体解决方案的优势............................................................................ 41
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
RADWARE针对企业用户的
整体解决方案
一、 行业背景
人类社会在进入80年代以来,以现代通信技术与计算机、网络技术引导的技术革命取得了巨大的成功。基于Internet及Intranet技术得到了普遍的应用。大大地推动了全球信息化的进程,改变了人类传统的生产和生活方式。促进了知识经济的成长,加快了世界经济一体化进程。对信息的掌握、利用与传播成为影响生产力发展水平和综合国力增强的关键因素,信息化程度已成为国家发展潜力和发展水平的重要标志。然而一个国家信息化的程度如何最终体现在企业信息化的程度。因为企业才是财富最终的创造者。也就是说,企业信息化的程度是衡量一个国家信息化水平高低的一个最重要的标志。
所谓企业信息化是指“企业利用现代信息技术手段,在生产、经营、管理过程中,有效地开发、利用信息资源的过程”。实现企业信息化,就是企业充分运用通讯、计算机和网络技术等现代信息技术与装备,采集、加工、处理、传递和贮存信息,对信息资源进行有效地开发与利用。企业能否有效地开发利用信息、优化信息资源的配置,决定着企业管理效率高低、整体素质优劣和竞争优势强弱。开展企业信息化有利于企业实现信息资源的共享、有利于加强企业的管理、决策、运营的现代化与信息化。
近年来,很多企业都建立了与互联网相连的企业内部网(专网),大大促进了我国的企业信息化进程。随着中国市场逐步开放,许多国内企业走出国门谋求更大的市场空间。在网络信息技术高速发展的今天,企业信息网络是否高效、畅通、安全在很大程度上影响企业的生产、销售、管理等各个环节。对于现代企业来说,及时了解客户的需求和市场动态非常重要,建立一个高效、可靠的企业信息网络就显得尤为迫切。 企业网内的应用大致包括如下内容:
企业不同部门之间的文件资源共享、打印共享;
收发电子邮件、网络传真,召开视频、网络电话会议最大限度降低办公成本; 企业自有的办公OA 系统、ERP、CRM 等信息管理系统;
企业建立自己的门户网站,通过网络宣传企业或开展电子商务。
然而,就在我们得益于现代网络通信技术给我们带来便利的同时,我们也体会到了网络给我们带来的灾难。来自外部的蓄意攻击、计算机病毒的侵袭、和来自商业间谍对信息数据的窃取、破坏使我们防不胜防;网络安全问题得到了普遍的重视。如何为企业用户提供一个安全、稳定的网络应用平台已成为一个日益突出的问题。
Radware公司针对日益突出的网络安全问题推出了一系列网络安全产品。 旨在推动我国网络安全事业的发展,为我国的信息网络保驾护航。为广大的网络用户提供一个安全、稳定的网络应用平台。本方案就是针对我国企业用户提供的一套整体解决方案。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
二、 企业用户网络应用现状
2 企业网络应用现状简述
一个典型的企业的网络拓扑结构图如下图所示:
典型网络拓扑结构Internet路由器防火墙分支机构1防病毒路由器WANFR/DDN分支机构2核心交换机交换机交换机防火墙防病毒入侵检测服务器(IDS)分支机构3内部用户WEB服务器应用服务器DB服务器
可以看出上述典型的企业网络大致由3 部分组成: 网络连接部分 网络安全部分 网络应用部分
下面我们就这三部分做简要描述:
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
2.1 广域网链路现状
典型网络拓扑结构-网络连接部分Internet网络连接路由器防火墙分支机构1防病毒路由器WANFR/DDN分支机构2核心交换机交换机交换机防火墙防病毒入侵检测服务器(IDS)分支机构3内部用户WEB服务器应用服务器DB服务器
网络连接部分还可以分为Internet连接部分和专网连接部分:
Internet连接部分
Internet连接部分是指企业网络数据中心通过ISP运营商的链路连接到Internet,用于企业对外的网上公共信息发布、为Internet用户提供企业网上应用,同时企业内部用户也可以访问Internet上的资源;
专网连接部分
专网连接部分用于企业网络连接各地分支机构。
分支机构的内部用户通过专网连接访问数据中心的应用服务器,例如:WEB服务器,E-Mail服务器等,同时也可以通过数据中心的Internet链路访问Internet上的资源。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
2.2 网络安全防护现状
典型网络拓扑结构-网络安全部分Internet路由器防火墙分支机构1网络安全防病毒路由器WANFR/DDN防火墙防病毒入侵检测服务器(IDS)核心交换机交换机交换机分支机构2分支机构3内部用户WEB服务器应用服务器DB服务器
网络安全部分通常由防火墙、入侵检测系统(IDS)和防病毒网关等设备构成,用于制定内部信息资源的不同访问策略,保护数据中心的应用免受来自Internet的网络攻击。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
2.3 网络应用现状
典型网络拓扑结构-网络应用部分Internet路由器防火墙分支机构1防病毒路由器WANFR/DDN分支机构2核心交换机防火墙防病毒入侵检测服务器(IDS)网络应用交换机交换机分支机构3内部用户WEB服务器应用服务器DB服务器
网络应用由企业对外WWW信息发布系统,业务应用系统和后台数据库系统组成
3 企业网络中存在的缺陷
从上图中可以看出,在企业网络中存在很多网络设计上的缺陷,总结起来可以分为以下三个部分的问题: 网络连接部分存在的问题 网络安全部分存在的问题 网络应用部分存在的问题
下面我们就这三部分存在的问题做详细描述:
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3.1 广域网链路存在的缺陷
企业网络连接部分存在的问题可以分为以下两部分: 企业中央机构Internet链路存在的问题:
各分支机构到中央机构之间广域网链路存在的问题: 企业中央机构Internet链路存在的问题: 链路的单点失效性:
采用单一Internet连接链路存在单点失效性,一旦该链路出现故障将造成整个网络的瘫痪;
链路性能的瓶颈:
单一Internet连接链路的带宽资源是有限的,无法满足企业内部全体用户对网络访问Internet时带宽不断增长的需求,同时也无法大量的Internet上的用户对企业的访问; 访问快慢不一
内部用户访问internet资源时,或外部用户访问企业发布的内部资源时,会受到ISP提供商的不同,而产生访问快慢不一的现像。例如:如果企业采用的ISP是通过网通接入的,在访问处于电信的资源时,会由于不同ISP之间互连互通的问题造成访问变慢,而访问网通资源时,就不会存在问题。 网络安全防护能力弱:
目前Internet上的各种各样的网络攻击层出不穷,路由器自身对网络攻击的防护能力非常有限,DOS/DDOS 网络攻击会对广域网络由器产生严重的影响;
各分支机构到中央机构之间广域网链路存在的问题: 链路的单点失效性:
各省级机关到中央机构之间采用单一广域网链路,存在单点失效性,一旦该链路出现故障将造成该省级机关无法访问中央机构和Internet; 链路性能的瓶颈:
各省级机关到中央机构之间采用低速的广域网链路(Frame Relay,DDN),而各分支机的用户访问中心的应用服务器的网络流量,以及各分支机的用户访问Internet的网络流量都要经过这条单一的广域网链路,因此无法满足用户对网络带宽不断增长的需求;
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
网络安全防护能力弱:
各省级机关中收病毒感染的机器会向中央机构发送攻击数据包,造成各省级机关到中央机构之间的链路拥塞,从而影响网络中的关键应用的正常运行 3.2 网络安全防护存在的缺陷 网络安全设备的单点失效性:
单一的网络安全设备存在单点失效性,例如:图中的防火墙和防病毒设备一旦出现问题,将造成整个网络的瘫痪;
网络安全设备性能的瓶颈:
网络安全设备由于要对进出网络的数据包进行安全性检查,与网络路由器和网络交换机相比,性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有3-10Mbps。因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。
安全体系架构存在漏洞:
防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制,并且可以对基于状态的协议进行协议状态检查,因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如: · 蠕虫入侵 · 病毒入侵。 · 后门攻击。
IDS可以对网络中的数据包进行深入的分析,可以检查到资料包中第7层的信息,它具备随时对可疑流量进行检查和识别的能力。但是IDS最大的问题是IDS并不能阻止攻击的入侵,仅仅能发出告警,而此时网络攻击已经进入到网络内部。
目前我们面临着手段各异形式多样的混合式攻击威胁,这些攻击中应用级层的攻击占了绝大多数,为了抑制这些攻击,Gartner建议“在作出安全方面的决策时除了考虑简单的静态协议过滤外,还要考虑对应用内容(网络七层中的攻击特征)进行深入的数据包检查,并阻挡该攻击”。
因此,企业在面临多种多样的攻击威胁时,急需找到更严密的安全防护手段。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3.3 网络应用存在的缺陷 网络应用的可靠性较差:
应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7x24 小时的持续性服务。
网络应用的性能瓶颈:
在网络应用系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。
网络应用的安全性较差:
从上图中可以看出现有网络中的安全性防护机制的特点是: 现有的安全性防护机制通常是针对来自外网的攻击; 缺乏针对来自内网的攻击防护机制;
现有的安全性防护机制通常是针对整体网络层面的攻击防护,即针对网络IP
层、TCP/UDP层的网络4层以下的攻击防护;
缺乏针对具体的、特定的企业网络应用的特点而专门制定的符合企业网络应用
的基于网络7层防护的安全性防护机制;
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
三、 企业网络应用需求分析
1 广域网链路需求分析
网络连接方面的需求-多链路负载均衡技术
企业在网络连接方面的需求可以分为以下两部分: 中央机构Internet网络连接方面的需求
各省级机关到中央机构之间网络连接方面的需求
中央机构Internet网络连接方面的需求
目前在国内由于多家ISP的竞争,Internet 接入链路的成本大幅降低,多链路Internet的接入已成为许多用户在的选择网络连接方面的需求。因此在中央机构Internet网络连接方面,企业网络将存在如下要求: 提高Internet网络链路的可用性:
建议企业采用接入多个ISP的方式提高可用性,而当企业网络中心具有多条Internet链路后,应提高Internet网络链路可用性的智慧检查能力,防止出现由于某一条Internet链路的失效造成整体网络的不可访问。
提高Internet链路的网络吞吐量:
提高网络中心的Internet网络链路的吞吐量,申请多条Internet链路
提高Internet网络链路的抗网络攻击的能力:
Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路,因此应加强在Internet链路上的攻击防护。
各省级机关到中央机构之间网络连接方面的需求
目前各省级机关到中央机构之间通常采用Frame Relay或DDN等昂贵的专线广
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
域网链路,而目前国内运营商可以提供相对高速同时价格便宜的Internet 接入链路,例如: ADSL,因此企业网络存在入下要求:
提高省级机关到中央机构的广域网链路的可用性:
如果各地省级机关与中央机构之间存在多条链路,应注意提高省级机关到中央机构的广域网链路可用性的智慧检查,防止出现由于某一条链路的失效造成整个省级机关无法访问到中央机构。
增加省级机关到中央机构的链路,增加带宽,同时降低省级机关与中央机构之间
广域网链路的成本:
利用运营商提供的低价、高速链路,在各地省级机关与中央机构之间增加链路带宽,设法降低减轻各地省级机关与中央机构之间专线的流量压力,降低广域网链路的成本
提高各个省级机关的网络安全防护能力:
在各个省级机关的广域网出口和Internet出口的位置增加网络安全防护的能力,以保证各省级机关的网络安全,同时可以保证一旦某个省级机关内部的用户受到网络攻击的侵袭,那么该网络攻击不会扩散到中央机构,以及其它省级机关。
2 网络安全防护需求分析
网络安全方面的需求-防火墙、IDS、防病毒设备负载均衡技术的需求
为了保证企业的网络在网络安全防护方面的高可用性、高性能和安全性,企业在网络安全方面的需求可以分为以下几部分: 提高网络安全设备的可用性:
网络中应具备安全设备的的可用性检查,避免单一的网络安全设备的单点失效性。 提高网络安全设备性能:
在网络中采用多台网络安全设备,避免网络安全设备带来的瓶颈,提高网络传输速度。 完善网络安全体系架构:
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
现今,各种各样的网络攻击层出不穷,导致防火墙的负荷在不断提高,再相对于网络物理带宽的大幅度提高,防火墙逐渐成为了网络的瓶颈,本案希望使用一组(2个以上)防火墙采用负载均衡技术提供安全服务,以提升性能。 网络安全方面的需求-具备深层检测、高性能的安全防护设备需求
当前的黑客攻击,具备层出不穷,隐蔽性强,攻量大,影响广等特点,对安全网
关设备提出了更高的要求,因此需要企业的网络中的安全产品提出了新的需求,要求应用安全产品具备防范一系列攻击的智能和性能:
第一,需要集成的实时安全性,发现攻击和入侵立即拦截
第二,能够深入检查数据包,防范各种应用层攻击,例如蠕虫、病毒、木马和Dos
攻击
第三,能够即使拦截大流量,爆发性的DoS/DDos攻击,与此同时,要求网络访
问正常进行,网络的性能不能有太大降低
第四,要求安全产品具备数千兆位速度双向扫描的安全检测性能
第五,能够对链路的带宽使用进行有效管理,如对消耗带宽资源非常严重的P2P
流量进行有效控制,保证关键应用的带宽使用
3 网络应用需求分析
网络应用方面的需求-应用服务器负载均衡技术的需求
为了保证企业的网络应用的高可用性、高性能和安全性,企业的网络应用存在下列需求:
提高网络应用的可靠性:
自动的网络应用可用性检查,保证网络应用的7x24 小时的持续性服务。
提高网络应用的性能:
如果网络中仅有单台服务器提供网络应用的服务,很难保证网络应用的性能,可以考虑增加相应的服务器数量,配合负载均衡技术来提高网络网络应用的性能。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
网络应用的安全性较差:
制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制;
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
四、 Radware解决方案
1. Radware公司简介
Radware公司是RAD集团的成员之一,RAD集团目前拥有14个各自独立的公司,在网络及通讯产业领域提供不同的技术,服务不同的市场。Radware 公司于1999年在NASDAQ上市(RDWR),目前,Radware公司的网络产品行销40多个国家,在全球拥有130家经销商,为广大用户提供了全面的产品和解决方案。
Radware 一直致力于提供智能应用交换(IAS)技术,以保证IP网络应用在
Internet/Intranet上的最佳运行和服务。Radware 将应用需求和网络设施紧密结合在一起,可无缝分配资源、优化应用系统的运行以及提高网络安全性,最终为用户提供高可靠性的、高性能的、高安全性的网络智能应用解决方案。
作为网络智能应用交换(IAS)领域的佼佼者,Radware通过在4-7层网络交
换领域和网络入侵防护(IPS)领域专注的技术研发,不断为市场提供功能强大、稳定高效的网络智能应用解决方案。Radware目前提供3大类网络智能应用解决方案:
Radware网络连接解决方案; Radware网络安全解决方案; Radware网络应用解决方案;
通过最优化的网络资源利用以及完善的安全防护体系架构为广大用户打造全
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
方位、高效率的网络安全空间。
Radware 解决方案借助屡获殊荣的产品来构架Radware网络智能应用解决方
案用于满足企业、服务提供商以及电子商务机构的网络需求。这些产品包括:LinkProof(LP)、Linkproof-Branch(LPB)、Defense-pro(DP)、AppDirector 、SecureFlow(SF)、AppXcel 、FireProof(FP)、Content Inspection Director (CID)。Radware公司全面的产品组合可服务于端到端的应用业务,同时提供可靠和可扩展的网络流量保证。Radware 可让您对网络环境中从点击到内容的方方面面做到万无一失。
Radware在智能应用交换(IAS)技术上一直处于领先地位,Radware的产品获得过众多的业界大奖,这些奖项包扩: PC Magazine Editor's Choice
Network magazine's Product of the Year ZD Internet Lab's Net Best Spring Internet World'98 Los Angeles, Best of Show
Network Computing magazine's Editor's Choice
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
2 Radware解决方案介绍
2.1 Radware解决方案拓扑图
根据上述网络应用现状分析和用户的需求分析,结合Radware产品的技术实现和特点,我们建议的企业方案设计包括两大部分,中央机构方案设计和省级机关方案设计,如下图所示:
图一:中央机构网络拓扑
服务器 WAN 企业专网 LinkProof Branch 防火墙 交换机 客户端 总部 分支机构 以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
图二、中央机构与各分支机构的连接拓扑
2.2 Radware解决方案简介
建议在中央机构网络各层面上共采用了如下Radware的设备,其中包括: DefensePRO(DP)-专用的透明安全设备 LinkProof(LP)-链路负载均衡设备 SecureFlow(SF)-安全网关负载均衡设备 AppDirector-服务器负载均衡 AppXcel-服务器优化设备
在各分支机构的internet出口处部署一台 LinkProof Branch(分支机构链路负载均衡器),并在其上部署应用安全模块(具备DP所有功能)。
该解决方案从功能上分为3个部分: 连接解决方案部分 安全解决方案部分 应用的解决方案部分
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
2.2.1 Radware连接解决方案部分简介
LinkProof实现多链路的负载均衡和防火墙的负载均衡
如上图所示,我们建议在网络接入处,部署LinkProof,实现对多条internet接入链路(最多100条)的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问内部服务器)双向的负载均衡。
同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择,大大提高用户访问的服务质量和访问效率。
LinkProof可以配合SecureFlow实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
各分支机构的LinkProof Branch实现多链路的负载均衡
服务器 WAN 企业专网 LinkProof Branch 防火墙 交换机 客户端 总部 分支机构 如上图所示,我们建议在各分支机构的网络接入处,部署LinkProof Branch,实现对internet接入和企业广域网接入这两条链路的负载均衡,根据分支机构办公用的访问的目的地址或者应用,智能的选择链路,实现两条链路的冗余备份和透明容错,保证了分支机构访问中央机构关键应用的100%的高可用性。 2.2.2 Radware安全解决方案部分简介
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
我们建议的安全解决方案部分,包括2款产品,DefensePro(DP),SecureFlow(SF),每台设备简要功能描述如下:
DefensePro实现实时的攻击防御
如上图所示,我们建议在网络接入处,部署DefensePro,可以识别并实时抵御1600多种蠕虫、病毒、DOS攻击和异常的流量模式,保护内部用户和服务器的安全。
同时,通过把端口两两静态绑定,虚拟成多台逻辑设备,分别部署在核心交换机和企业广域网之间保护入侵和攻击不致互相扩散。
使用一台逻辑设备部署在核心交换机和AppDirector之间,保护服务器群免受内部办公用户的非法攻击。
使用多台逻辑设备部署在内部办公用户的不同网段(或者楼层)之间,保证非法入侵和攻击不致扩散到其它办公网段或者楼层。
SecureFlow(SF)实现各安全网关的负载均衡
如上图所示,我们建议在多台防火墙和核心交换机之间,部署SecureFlow,实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
通过旁路部署各安全网关设备,SecureFlow可以实现多台IDS(最多100台)、cache服务器、防病毒网关,URL过滤网关的负载均衡,这些安全网关设备可以是不同厂家,不同型号,不同性能,大大提供安全网关的扩展性和可用性。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
2.2.3 Radware应用解决方案部分简介
我们建议的应用解决方案部分,包括2款产品,AppDirector,AppXcel,每台设备简要功能描述如下:
AppDirector实现服务器的负载均衡
AppDirector位于核心交换机和各种IP应用服务器之间,主要实现所有基于IP协议的各种服务器的负载均衡功能,通过部署AppDirector,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量,从而实现了服务器所承载的业务的100%的高可用性和高性能。
AppXcel实现SSL加速和HTTP(HTTPS)页面的加速 SSL加速功能:
AppXcel与AppDirector配合,为用户提供SSL加密加速服务。利用AppDirector的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源,并且使服务器的投资发挥最大效益。
HTTP(HTTPS)页面的加速
AppXcel通过WEB压缩和HTTP连接复用技术,大大提升internet用户对服务器的访问速度。较大地节省了internet的接入带宽,大大地降低了WEB服务器的处理资源消耗。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3 Radware技术介绍
3.1 DefensePro -实现入侵和DOS攻击的实时防范
DefensePro 采用了多层安全架构,分别检测和抵抗不同类型的攻击,确保只有“清洁”流量进入收保护的区域。
3.1.1 Dosshield实现已知攻击工具防范
DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度 的DoS防范。
该机制会对照DefensePro 攻击数据库中的DoS攻击特征列表(潜在攻击)来比较流量样本。一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态就会变为Currently Active (当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征,相应的数据包就会被丢弃。如果没有匹配的特征,则会将数据包转发给网络。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
借助高级的取样机制检测DoS 攻击,DoSShield只在出现了严重带宽滥用的情况下,才会判断攻击的存在,它会外科手术般地采用逐包过滤除去攻击流量。而当攻击不再活跃时,DoS Shield也能检测到相应状态并停止逐包过滤的操。这样不仅可实现完全的DoS和DDos 防范能力,而且还保持了大型网络的高吞吐量。
Dosshield的主要优势:
监听和采样机制,只有在出现严重攻击时才采取防范措施,保证了大型网络的高性能和高吞吐量;
基于特征码的防范策略,对正常应用无影响,保持了极低的误判率。
DoS Shield作为第一道防范体系,负责在抵御已知Flood攻击的同时传输其他流量,而这些其他流量中还可能包含未知的新型攻击,它们将由第二道防范体系-Behavioral DoS 模块来实现防护。
3.1.2 Behavioral DoS基于网络行为模式实现自动攻击防范
借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术,Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒,避免危害的发生。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
Radware's 自适应Behavioral DoS防范模块自动学习网络上的行为模式,建立正常基准,并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。 通过概率分析,该模块使用一系列提取自数据包包头和负荷的参数,例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum值等共17 个参数,来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量,该模块还会采用“与”“或”逻辑运算来尽量精确攻击的防范策略。
所有上述流程都由DefensePro自动完成,无需人为干预,能够在数千兆位的网络环境中精确防范已知攻击、Zero-day Dos/DDos攻击和自我繁殖网络蠕虫。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
Behavioral DoS 防护模块的攻击检索机制即不使用特征码,也不依赖于用户定义的行为策略和阀值。它还可以自动适应网络中的正常流量变化,因此它不会影响网络中的正常应用行为。
B-DoS 能够非常有效的抑制以下已知和未知的攻击:
Behavioral DoS的主要优势:
Zero-day Dos/DDos的未知攻击防范,无需认为手工干涉; 对DoS攻击的完全防范,较低的CPU资源消耗; 自适应的行为判别模式,将误判率降至最低; 完全自适应功能,无需策略配置,无需维护成本。 SYN Flood
TCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods) UDP Floods
DNS floods (基于UDP 53端口)
UDP Flood 和 ICMP反向散射(unreachable 信息) ICMP Floods IGMP Floods
Zero-Day 高速自我繁殖蠕虫(SQL Slammer, Blaster, Welchia, 等)
3.1.3 入侵防范防范各类应用攻击
为了确保DoSShield和Behavioral DoS模块不会遗漏任何攻击并危害运用户网络应用的关键应用系统,Radware还提供另一道防护屏障-入侵防范。 通过对比入侵特征库,DefensePro阻止攻击数据包来建立最后一道屏障。
入侵特征库罗列一系列会对网络造成严重破坏的应用层攻击,通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击,NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。DefensePro会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1600多种攻击特征。为了防范新的攻击形式,数据库会不断被更新。对于未知形式的攻击,可以使用协议异常检查功能来检测。通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。
快速的攻击特征比较
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
为了支持数千兆位的特征扫描速度,DefensePro专门采用了基于ASIC的强大加速器 – StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作,可对照特征数据库进行高速的检测和数据包比较。同使用Intel Pentium 4 CPU进行串行特征搜索相比,其字符串搜索速度提高了300倍。
实时抑制攻击
当检测到恶意活动时,DefensePro可能以任何组合形式立即执行以下的这些操作:丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫、病毒和其它形式的攻击。
入侵防范的主要优势:
基于特征的入侵识别,能够准确地识别和抑制攻击;
专用的硬件加速器,确保了告诉的检测和防范以及网络吞吐量。
3.1.4 带宽管理
在提供强大的安全功能同时,DefensePro 的带宽管理功能。DefensePro能够根据网络数据包的源/目的地址、应用端口和内容(IP header或IP Data)区分流量,还可以限制相同用户的并发会话和每个会话的带宽,从而阻止和控制各种流量的带宽应用。
3.1.5 其它安全相关功能
除了上述四个功能模块外,DefensePro还提供以下功能: 黑白名单(Black and White List)-访问控制列表
Syn Flood防范-为了提供全面的SynFlood攻击防范能力,除了Dosshield和Behavioral Dos之外,DefensePro采用SynCookie技术基于源地址监视来发现恶意攻击源,并提供多重级别的防范措施。
异常流量(Anomalies)防范-为了逃避安全设备的检查,黑客通常会采用拆包并将攻击分成多个数据包碎片传输。此类攻击被称作Anomalies。
针对此类攻击,DefensePro提供了也体动相应的防范能力:
异常协议类; Buffer Overflow类;
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
HTTP碎片类
状态检测(Stateful inspection)-DefensePro提供针对协议滥用等攻击,提供状态检测攻击防范能力,可以防范的攻击例如:
TCP Flooding:SYN-ACK (反射攻击), TCP数据包风暴;
Stealth 扫描:通过发送TCP fin / rst /ack / syn-fin数据包,以图发现开放的端口; DNS reply flooding: 使用大量的DNS响应数据包攻击服务器;
ICMP Echo reply flooding: 使用大量的echo reply数据包攻击服务器(Smurf); 防扫描(Anti-Scanning)黑客在发起攻击之前,通常会试图确定目标上开放的TCP/UDP端口,而一个开放的端口通常意味着某种应用,操作系统或者后门。DefensePro提供此类探测的防范能力。
3.1.6 DefensePro的安全报告
当DefensePro检测到攻击时,它会将该安全事件报告。在报告中包含有全面的流量信息,比如源IP地址和目标IP地址、TCP/UDP 端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息,或者通过系统日志渠道、SNMP 陷阱或电子邮件将安全事件信息发送到外部。
息。
还可以根据网络中的实时安全状况,以雷达图的方式提供当前的攻击严重程度以及数量等信
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3.2 LinkProof 链路优选方案
LinkProof能够同时实现双向(Inbound和Outbound)流量在多条链路上的负载均衡的。
链路健康状况检查:LP可以采用多种方式判断链路的健康状况,例如Ping(全链路健康检查),以及通过检查多个Internet目标来共同判断链路状况。
Inbound流量处理方面主要利用了DNS和SmartNAT技术; Outbound流量处理主要利用了SmartNAT技术。
3.2.1 链路健康检测
LinkProof会通过多种方式检测两条链路的健康状况,一旦发现其中一条链路故障,会立即将所有用户流量定向至其它可用链路,从而实现Internet连接的高可用性。主要的方法有:
全路径健康检查
为了确保ISP链路的畅通,LinkProof将采用Ping的方法,不仅仅检查和其相连的路由器的端口是否可达,还可以检查该链路后续路由节点的连通性(10跳),已确保整个路径的畅通。
注:该方法要求ISP的链路对ICMP开放。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
高级健康检查
针对所有的网络环境(包括禁止ICMP的ISP),LinkProof提供了丰富的4~7层检查方式,并可以通过多种检查结果的“与”和“或”运算结果,最终准确判断链路的健康状况。例如:通过CNC的路径,同时检查www.sohu.com和www.sina.com的80端口,并将检查结果做“或”运算,只要一个检查通过即可判断CNC链路正常。避免了某网站故障导致链路状态误判的可能性。
3.2.2 流入(Inbound)流量处理
LinkProof需要客户配合将域名的解析功能导向到LinkProof,由LinkProof来进行域名的解析。这样当远程通过域名访问企业网时,逐步通过远程用户的本地DNS服务器、根DNS服务器,最终由LinkProof来进行域名的解析。此时LinkProof就会通过静态列表或者动态判断算法,选择最优的线路,然后将域名解析成相应线路的IP地址。
例如:当某个网通的远程用户访问企业网时,首先向他当地的DNS服务器发起域名解析的请求,再通过他接入运营商的根DNS服务器,最终总归会向LinkProof请求DNS解析,此时LinkProof就会通过静态列表或者动态判断算法,选择最优的线路(网通),然后将域名解析成网通线路的IP地址(218.x.x.1)。这样远程的网通用户就会使用网通的目标IP地址,通过网通的线路进行访问,实现了访问时链路方面的负载均衡优化。
下面以www.radware.com为例,描述Inbound流量处理的过程。
假设图中的Server1是Web服务器,Internet主机名为www.radware.com,地址为私有IP:192.168.1.100/24。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
如图所示,在DNS服务器上主则两笔NS记录,指向LinkProof:
NS www.Radware.com 100.1.1.2 NS www.Radware.com 200.1.1.2
而在LinkProof上设置URL与内部主机地址的对应关系:
www.radware.com 192.168.1.100
而在LinkProof上设置静态的地址翻译:
192.168.1.100 100.1.1.3 192.168.2.100 200.1.1.3
当有Internet用户访问www.radware.com是时,DNS服务器回应给用户由LinkProof来完成最终地址解析。LinkProof根据具体设置来选定适当的ISP线路,如果选择ISP1,则将地址解析为100.1.1.3。同样,如果选择ISP2,则将地址解析为200.1.1.3。从而完成流入流量的负载均衡。
3.2.3 流出(Outbound)流量处理
LinkProof主要采用以下集中方式来处理流出流量。 SmartNAT
对于流出流量的智能地址管理,LinkProof使用了称为SmartNAT的算法。当选定一个路由器(某一个ISP)传送流出流量时,LinkProof将选择该ISP提供的地址。在图二中,如果LinkProof
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
选择ISP1作为流出流量的路径,则它将把内部的主机地址192.168.2.A/24翻译为100.1.1.A/24,并作为流出数据包的源地址。同样,如果LinkProof选择ISP2作为流出流量的路径,则它将把内部的主机地址192.168.2.A/24翻译为200.1.1.A/24,并作为流出数据包的源地址。
3.2.4 独特优势-“就近性”运算
LinkProof的专利技术:就近性,能够根据用户访问的目的IP、各条链路的负载等情况来综合考虑,计算出内部用户访问Internet的最佳路径,以保证用户能够得到最快和最高效的服务和响应。
静态就近性:
用户可在LinkProof上为某个目标定义静态的最佳链路。例如目标IP地址属于ISP1的,应选择ISP1链路;目标IP地址属于ISP2的,应选择ISP2链路。
动态就近性:
在选择最佳链路时,LinkProof会综合考虑与目标网络之间的路由节点数量、数据传输的延迟和链路的实时负载,准确计算出最佳路径。因此用户能充分地享受到优化的服务和快速地响应。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3.3 SecureFlow对防御系统进行中央管理
SecureFlow 实现与现有安全体系结构的无缝集成,添加新安全工具或对现有安全工具进行最优化时不要求更改网络设置,没有故障时间,并且不中断服务交付。
SecureFlow 将独立的安全工具(包括防火墙、虚拟专用网络、防病毒、防垃圾邮件和入侵检测系统)改造成统一的、基于交换的最佳体系结构,使所有安全工具具有最佳性能和使用率。
SecureFlow 确保高安全工具可用性,消除安全瓶颈,并提高安全处理速度,同时提供节省成本的安全扩展。使用 SecureFlow,用户可以从任何组合防御体系结构中获得更多价值。
SecureFlow 能够无缝地添加新的安全工具,混合并匹配安全工具以获得完美的灵活性,而不产生性能或集成间接费用,从而使用户可以容易地更换/添加新安全工具,以满足不断出现的安全需要。
3.3.1 保证各安全工具的高可用性
在网络的信道上配置了大量的安全网关设备,因此如果任一安全网关发生故障将导致Internet连接中断,造成巨大的停机损失。SecureFlow 的实时的健康监测、故障旁路和通信重导,确保组合的多厂商安全工具(包括防火墙、VPN、IDS、内容检测和防病毒)具有高可用性,从而实现故障容错安全性。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3.3.2 提升各安全工具的处理性能
智能应用安全分级和策略实施
SecureFlow根据应用和用户进行的、基于策略的粒状控制通信分级,以及用于安全操作排序的流量控制,能够在任何安全设备中实现定制的安全操作,通过选择性地将相关通信转送到适当的安全单元,来最优化安全设备的性能。
最佳的数千兆位安全交换机和加速响应时间
SecureFlow 在不同的安全设备间动态地平均分配流量,根据预先制定的策略处理流量,同时考虑入站和出站流量,从而最优化现有的安全资源。这有助于消除性能退化现象和等待时间,并提高安全处理速度。
可信内容的预扫描
SecureFlow 的预扫描功能允许区别可信通信 (.gif, .jpg, .avi, .mp3, .mpeg, .tif),不检测就直接将其转送,而将不可信的流量引导至防病毒设备接受扫描。预扫描降低了内容检测设备上的通信负载,并将内容扫描速度加快 500%,从而获得最佳性能。
3.3.3 统一和可升级的安全体系结构
SecureFlow全面的实现了各厂商自由混合式同类最佳安全工具部署,通过创建不同安全功能内容检查设备群组,使管理员在访问量增加时能够很容易地添加相关的内容检查设备,真正实现透明添加内容检查设备,无需中断服务或者停机。
3.4 AppDirector-实现服务器负载均衡
AppDirector具备先进的 4-7 层策略和粒状控制应用能力,实现对大范围企业应用(包括 VoIP、流媒体、Citrix、和安全的LDAP 应用等)的访问进行端到端的应用感知优化。
全面集成的流量分级和数据流管理、健康检测和故障隔离、流量重定向、带宽管理、入侵防范和 DoS 防护,让您的网络更好地适应和响应动态应用和业务需要。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3.4.1 健康状况检查
AppDirector可靠的健康状况检查可以保证用户获得最佳的服务。AppDirector可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障,用户即被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息。
为了确保服务正常运行,AppDirector监控从 Web 服务器、中间件服务器到后端数据库服务器的整个路径上工作状态,确保整个数据路径上的服务器都处于正常状态。如果存在一个故障服务器,AppDirector则不会将用户分配到这个发生故障路径的服务器,从而保证为用户提供透明的数据完整性保障。
3.4.2 交易完整性的可靠保证
为了保证用户在访问具有会话连续性业务时不会被负载均衡器分配到不同的服务器上,AppDirector在提供本地负载均衡的同时,还可以具备基于cookie,session ID,SIP,SSL ID,source IP等方式将用户的请求定位在相同的服务器上。
3.4.3 完全的容错与冗余
AppDirector的配置提供设备间的完全容错,以确保网络最大的可用性。两台AppDirector设备工作在冗余模式下,通过网络相互检查各自的工作状态,为其所管理的应用保障完全的网络可用性。它们可工作于“主用-备用”模式或“主用-主用”模式,在“主用-主用”模式下,因为两个设备都处于工作状态,从而最大限度地保护了投资。并且所有的信息都可在设备间进行镜像,从而提供透明的冗余和完全的容错,确保在任何时候用户都可以获得从点击到内容的最佳服务。
3.4.4 通过正常退出服务保证稳定运行
当需要进行服务器升级或系统维护时,AppDirector保证稳定的服务器退出服务以避免服务中断。当选定某台服务器要从服务器退出服务后,AppDirector将不会将任何新的用户分配到该服务器。但是,它可以要退出服务的服务器上完成对当前用户的服务。从而保证了无中断的优质服务,以及服务器组的简易管理能力。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3.4.5 智能的服务器服务恢复
将重新启动的服务器应用到服务中时,避免新服务器因突然出现的流量冲击导致系统故障是非常重要的。所以,在将新服务器引入服务器组时,AppDirector将逐渐地增加分配到该服务器的流量,直至达到其完全的处理能力。从而不仅保证用户在服务器退出服务时,同时还保证服务器在启动期间以及应用程序开始时,均能获得不间断服务。
3.4.6 通过负载均衡优化服务器资源
AppDirector执行复杂的负载均衡算法,在多个本地和远程服务器间动态分配负载。这些算法包括循环、最少用户数、最小流量、Native Windows NT 以及定制代理支持。除了这些算法,AppDirector还可以为每个服务器分配一个可以配置的性能加权,从而提高服务器组的性能。
3.4.7 应用交换
AppDirector根据 IP 地址、应用类型和内容类决定流量分配。这样,管理员就可以为不同类型的应用程序分配不同的服务器资源。应用交换支持不同协议上的各种应用,包括 TCP、UDP、IP、Telnet、Rshell、TFTP、流、被动 FTP、HTTP、e-mail、DNS、VOIP 等等。Radware 还为运行于动态端口并要求同步的应用设计了特殊支持功能。
3.4.8 URL交换
AppDirector完全支持 URL 交换,根据 URL 和 HTTP 信息分配流量。每个 URL 都可以重定向到某服务器,或在多个服务器之间进行负载均衡,从而提供优化的 Web 交换性能。根据 URL 文本中包含的信息,AppDirector可以保持客户持续性,从而保证内容的个性化。
3.4.9 内容交换
内容交换使管理员可以根据交易的内容来分配服务器资源。例如,CGI 脚本可以位于一个单独的服务器组,当发生对该内容的请求时,会话就被重定向到其中某个服务器。AppDirector的内容交换能力可以广泛支持 SSL ID 和 Session ID, 保持客户持续性,保证最佳流量管理和应用内容个性化。
3.5 AppXcel 智能应用加速
AppXcel的智能应用加速技术包括压缩、缓存、TCP 优化、SSL 卸载和无线 TCP 加速,实现对服务器资源进行经济、明晰的测量以及提供最快的应用和处理响应次数。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
SSL 卸载功能为启用了网络和基于 SSL 的应用的所有类型的客户端(如桌上电脑、PDA 和智能电话等)提供端到端的应用感知性能调节。
通过AppDirector 与 AppXcel 的结合,使我们用一个综合解决方案就能解决应用可用性和连续性、加速应用性能、保障服务水平、应用安全、IT 服务器基础架构的整合和扩展性。
3.5.1 SSL加速
Radware的AppXcel能够在不降低网络性能的情况下为用户提供快速的SSL交易。AppXcel SSL加密/解密功能与Radware的流量管理解决方案相结合,在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。
通常情况下,AppXcel同AppDirector配合使用,AppDirector进行服务器以及AppXcel的负载均衡,AppXcel进行SSL的加速等优化操作。
HTTP的流量通过AppDirector负载均衡到后端的HTTP服务器,HTTPS的流量通过AppDirector负载均衡到AppXcel群,AppXcel把HTTPS流量解密成HTTP流量后,再由AppDirector负载均衡到后端的HTTP服务器。
我们采用了AppDirector加AppXcel的解决方案,即将SSL加速设备AppXcel部属在网络的旁路,与AppDirector配合来实现实现SSL的加速。如下图所示:
3.5.2 集中处理多设备应用程序和SSL协议管理
SSL是把双刃剑。SSL加密技术既可保护合法数据流免受蓄意的窥探,也可使网络安全设备无法找出和屏蔽恶意内容。AppXcel可以将加密过程从出/入站的SSL数据流中剥离出来,为网络安全设备提供一个清晰的副本,以便它们在实时追踪的过程能发现并阻止其中的黑客或泄密程序。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
3.5.3 TCP 优化
AppXcel提供的 TCP 优化技术执行TCP协议的 RFCs: - 1323(性能扩展)
- 2018,2883(选择性ACK) - 2414, 3390 (WTCP) - 2581,2582(防堵塞) - 2861(拥塞窗口检验) - RFC 3042 (限速传送)
- 还包括:提前确认技术(FACK), 可设置最大传输单位(MTU)和TCP 记录器
等技术,以充分利用可用带宽。这样,AppXcel能够实时适应广域网链路的延迟、数据包丢失及阻塞特征,并从根本上加速所有应用流量,加速用户的访问速度。
3.5.4 多路HTTP/s协议
“HTTP/S 多路HTTP协议”是一种提高 Web 服务器性能的技术。它可以将入站的 HTTP/S 请求汇总,从而减少服务器的连接次数,以达到提高整体系统的性能的目的。
3.5.5 高速缓存
AppXcel基于内存方式的快速缓存功能,可以从后台基础设施中卸载对内容的重复请求,从而提高应用和服务器的性能,这种性能改善是以逐个应用为基础,智能进行的。快速缓存提供出色的灵活性和控制能力,确保组织机构实现更大的卸载量,为他们的客户基群提供更快捷的服务。
3.5.6 http压缩
支持 Gzip、deflate方式的压缩功能。当含有“Accept-Encoding: gzip”或
“Accept-Encoding: deflate”HTTP 报头(表明浏览器支持压缩功能)的 GET 请求抵达 AppXcel
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
时,AppXcel 对作出该请求的客户端的所有响应都将使用数据压缩。从而可以在不增加额外的网络带宽的情况下加快用户的响应速度,提高整体系统的性能。
3.5.7 数据压缩
AppXcel的数据压缩功能,可以自动发现并使用客户浏览器压缩,支持:Xml、 HTML、Java、XLS、DCO、PDF等,图片压缩比率1000%。
支持可选的硬件压缩卡。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
五、 Radware整体解决方案的优势
Radware公司的智能应用网络解决方案,是以智能应用技术为基础,将先进的负载均衡、应用交换和包括业界领先的防Dos攻击技术在内的应用安全解决方案进行整合,是一个使网络能够尽快的满足动态的应用和业务需要而设计的集成的解决方案。该解决方案包括的所有产品系列都建立在相同的软硬体系结构上,彻底解决了大范围的网络可用性、网络性能和安全问题,使数据中心应用灵敏并具有自适应性。
以色列瑞得韦尔有限公司北京代表处 北京市东城区东长安街1号东方广场C2-901 100738
电话:+86 10 8518 3790 传真:+86 10 8518 3786
http://www.radware.com.cn support@radware.com
因篇幅问题不能全部显示,请点此查看更多更全内容