VR虚拟现实RADWARE针对企业用户的.docx
《VR虚拟现实RADWARE针对企业用户的.docx》由会员分享,可在线阅读,更多相关《VR虚拟现实RADWARE针对企业用户的.docx(32页珍藏版)》请在冰点文库上搜索。
VR虚拟现实RADWARE针对企业用户的
(VR虚拟现实)RADWARE针对企业用户的
RADWARE针对企业用户的
整体解决方案
以色列Radware有限公司北京代表处
2007年1月
一、行业背景4
二、企业用户网络应用现状5
2企业网络应用现状简述5
2.1广域网链路现状6
2.2网络安全防护现状7
2.3网络应用现状8
3企业网络中存在的缺陷8
3.1广域网链路存在的缺陷9
3.2网络安全防护存在的缺陷10
3.3网络应用存在的缺陷11
三、企业网络应用需求分析12
1广域网链路需求分析12
2网络安全防护需求分析13
3网络应用需求分析14
四、Radware解决方案16
1.Radware公司简介16
2Radware解决方案介绍18
2.1Radware解决方案拓扑图18
2.2Radware解决方案简介19
2.2.1Radware连接解决方案部分简介20
2.2.2Radware安全解决方案部分简介21
2.2.3Radware应用解决方案部分简介23
3Radware技术介绍24
3.1DefensePro-实现入侵和DOS攻击的实时防范24
3.1.1Dosshield实现已知攻击工具防范24
3.1.2BehavioralDoS基于网络行为模式实现自动攻击防范25
3.1.3入侵防范防范各类应用攻击27
3.1.4带宽管理28
3.1.5其它安全相关功能28
3.1.6DefensePro的安全报告29
3.2LinkProof链路优选方案30
3.2.1链路健康检测30
3.2.2流入(Inbound)流量处理31
3.2.3流出(Outbound)流量处理32
3.2.4独特优势-“就近性”运算33
3.3SecureFlow对防御系统进行中央管理34
3.3.1保证各安全工具的高可用性34
3.3.2提升各安全工具的处理性能35
3.3.3统一和可升级的安全体系结构35
3.4AppDirector-实现服务器负载均衡35
3.4.1健康状况检查36
3.4.2交易完整性的可靠保证36
3.4.3完全的容错与冗余36
3.4.4通过正常退出服务保证稳定运行36
3.4.5智能的服务器服务恢复37
3.4.6通过负载均衡优化服务器资源37
3.4.7应用交换37
3.4.8URL交换37
3.4.9内容交换37
3.5AppXcel智能应用加速37
3.5.1SSL加速38
3.5.2集中处理多设备应用程序和SSL协议管理38
3.5.3TCP优化39
3.5.4多路HTTP/s协议39
3.5.5高速缓存39
3.5.6http压缩39
3.5.7数据压缩40
五、Radware整体解决方案的优势41
RADWARE针对企业用户的
整体解决方案
一、行业背景
人类社会在进入80年代以来,以现代通信技术与计算机、网络技术引导的技术革命取得了巨大的成功。
基于Internet及Intranet技术得到了普遍的应用。
大大地推动了全球信息化的进程,改变了人类传统的生产和生活方式。
促进了知识经济的成长,加快了世界经济一体化进程。
对信息的掌握、利用与传播成为影响生产力发展水平和综合国力增强的关键因素,信息化程度已成为国家发展潜力和发展水平的重要标志。
然而一个国家信息化的程度如何最终体现在企业信息化的程度。
因为企业才是财富最终的创造者。
也就是说,企业信息化的程度是衡量一个国家信息化水平高低的一个最重要的标志。
所谓企业信息化是指“企业利用现代信息技术手段,在生产、经营、管理过程中,有效地开发、利用信息资源的过程”。
实现企业信息化,就是企业充分运用通讯、计算机和网络技术等现代信息技术与装备,采集、加工、处理、传递和贮存信息,对信息资源进行有效地开发与利用。
企业能否有效地开发利用信息、优化信息资源的配置,决定着企业管理效率高低、整体素质优劣和竞争优势强弱。
开展企业信息化有利于企业实现信息资源的共享、有利于加强企业的管理、决策、运营的现代化与信息化。
近年来,很多企业都建立了与互联网相连的企业内部网(专网),大大促进了我国的企业信息化进程。
随着中国市场逐步开放,许多国内企业走出国门谋求更大的市场空间。
在网络信息技术高速发展的今天,企业信息网络是否高效、畅通、安全在很大程度上影响企业的生产、销售、管理等各个环节。
对于现代企业来说,及时了解客户的需求和市场动态非常重要,建立一个高效、可靠的企业信息网络就显得尤为迫切。
企业网内的应用大致包括如下内容:
企业不同部门之间的文件资源共享、打印共享;
收发电子邮件、网络传真,召开视频、网络电话会议最大限度降低办公成本;
企业自有的办公OA系统、ERP、CRM等信息管理系统;
企业建立自己的门户网站,通过网络宣传企业或开展电子商务。
然而,就在我们得益于现代网络通信技术给我们带来便利的同时,我们也体会到了网络给我们带来的灾难。
来自外部的蓄意攻击、计算机病毒的侵袭、和来自商业间谍对信息数据的窃取、破坏使我们防不胜防;网络安全问题得到了普遍的重视。
如何为企业用户提供一个安全、稳定的网络应用平台已成为一个日益突出的问题。
Radware公司针对日益突出的网络安全问题推出了一系列网络安全产品。
旨在推动我国网络安全事业的发展,为我国的信息网络保驾护航。
为广大的网络用户提供一个安全、稳定的网络应用平台。
本方案就是针对我国企业用户提供的一套整体解决方案。
二、企业用户网络应用现状
2企业网络应用现状简述
一个典型的企业的网络拓扑结构图如下图所示:
可以看出上述典型的企业网络大致由3部分组成:
●网络连接部分
●网络安全部分
●网络应用部分
下面我们就这三部分做简要描述:
2.1广域网链路现状
网络连接部分还可以分为Internet连接部分和专网连接部分:
Internet连接部分
Internet连接部分是指企业网络数据中心通过ISP运营商的链路连接到Internet,用于企业对外的网上公共信息发布、为Internet用户提供企业网上应用,同时企业内部用户也可以访问Internet上的资源;
专网连接部分
专网连接部分用于企业网络连接各地分支机构。
分支机构的内部用户通过专网连接访问数据中心的应用服务器,例如:
WEB服务器,E-Mail服务器等,同时也可以通过数据中心的Internet链路访问Internet上的资源。
2.2网络安全防护现状
网络安全部分通常由防火墙、入侵检测系统(IDS)和防病毒网关等设备构成,用于制定内部信息资源的不同访问策略,保护数据中心的应用免受来自Internet的网络攻击。
2.3网络应用现状
网络应用由企业对外WWW信息发布系统,业务应用系统和后台数据库系统组成
3企业网络中存在的缺陷
从上图中可以看出,在企业网络中存在很多网络设计上的缺陷,总结起来可以分为以下三个部分的问题:
∙网络连接部分存在的问题
∙网络安全部分存在的问题
∙网络应用部分存在的问题
下面我们就这三部分存在的问题做详细描述:
3.1广域网链路存在的缺陷
企业网络连接部分存在的问题可以分为以下两部分:
∙企业中央机构Internet链路存在的问题:
∙各分支机构到中央机构之间广域网链路存在的问题:
企业中央机构Internet链路存在的问题:
●链路的单点失效性:
采用单一Internet连接链路存在单点失效性,一旦该链路出现故障将造成整个网络的瘫痪;
●链路性能的瓶颈:
单一Internet连接链路的带宽资源是有限的,无法满足企业内部全体用户对网络访问Internet时带宽不断增长的需求,同时也无法大量的Internet上的用户对企业的访问;
●访问快慢不一
内部用户访问internet资源时,或外部用户访问企业发布的内部资源时,会受到ISP提供商的不同,而产生访问快慢不一的现像。
例如:
如果企业采用的ISP是通过网通接入的,在访问处于电信的资源时,会由于不同ISP之间互连互通的问题造成访问变慢,而访问网通资源时,就不会存在问题。
●网络安全防护能力弱:
目前Internet上的各种各样的网络攻击层出不穷,路由器自身对网络攻击的防护能力非常有限,DOS/DDOS网络攻击会对广域网络由器产生严重的影响;
各分支机构到中央机构之间广域网链路存在的问题:
●链路的单点失效性:
各省级机关到中央机构之间采用单一广域网链路,存在单点失效性,一旦该链路出现故障将造成该省级机关无法访问中央机构和Internet;
●链路性能的瓶颈:
各省级机关到中央机构之间采用低速的广域网链路(FrameRelay,DDN),而各分支机的用户访问中心的应用服务器的网络流量,以及各分支机的用户访问Internet的网络流量都要经过这条单一的广域网链路,因此无法满足用户对网络带宽不断增长的需求;
●网络安全防护能力弱:
各省级机关中收病毒感染的机器会向中央机构发送攻击数据包,造成各省级机关到中央机构之间的链路拥塞,从而影响网络中的关键应用的正常运行
3.2网络安全防护存在的缺陷
●网络安全设备的单点失效性:
单一的网络安全设备存在单点失效性,例如:
图中的防火墙和防病毒设备一旦出现问题,将造成整个网络的瘫痪;
●网络安全设备性能的瓶颈:
网络安全设备由于要对进出网络的数据包进行安全性检查,与网络路由器和网络交换机相比,性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有3-10Mbps。
因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。
●安全体系架构存在漏洞:
防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制,并且可以对基于状态的协议进行协议状态检查,因此防火墙通常是在网络第四层上对用户的网络进行保护。
但是防火墙无法对基于网络七层中的网络攻击进行防护例如:
·蠕虫入侵
·病毒入侵。
·后门攻击。
IDS可以对网络中的数据包进行深入的分析,可以检查到资料包中第7层的信息,它具备随时对可疑流量进行检查和识别的能力。
但是IDS最大的问题是IDS并不能阻止攻击的入侵,仅仅能发出告警,而此时网络攻击已经进入到网络内部。
目前我们面临着手段各异形式多样的混合式攻击威胁,这些攻击中应用级层的攻击占了绝大多数,为了抑制这些攻击,Gartner建议“在作出安全方面的决策时除了考虑简单的静态协议过滤外,还要考虑对应用内容(网络七层中的攻击特征)进行深入的数据包检查,并阻挡该攻击”。
因此,企业在面临多种多样的攻击威胁时,急需找到更严密的安全防护手段。
3.3网络应用存在的缺陷
●网络应用的可靠性较差:
应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7x24小时的持续性服务。
●网络应用的性能瓶颈:
在网络应用系统中,通常会采用多台服务器同时提供服务的方式。
但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。
●网络应用的安全性较差:
从上图中可以看出现有网络中的安全性防护机制的特点是:
∙现有的安全性防护机制通常是针对来自外网的攻击;
∙缺乏针对来自内网的攻击防护机制;
∙现有的安全性防护机制通常是针对整体网络层面的攻击防护,即针对网络IP层、TCP/UDP层的网络4层以下的攻击防护;
∙缺乏针对具体的、特定的企业网络应用的特点而专门制定的符合企业网络应用的基于网络7层防护的安全性防护机制;
三、企业网络应用需求分析
4广域网链路需求分析
网络连接方面的需求-多链路负载均衡技术
企业在网络连接方面的需求可以分为以下两部分:
∙中央机构Internet网络连接方面的需求
∙各省级机关到中央机构之间网络连接方面的需求
中央机构Internet网络连接方面的需求
目前在国内由于多家ISP的竞争,Internet接入链路的成本大幅降低,多链路Internet的接入已成为许多用户在的选择网络连接方面的需求。
因此在中央机构Internet网络连接方面,企业网络将存在如下要求:
●提高Internet网络链路的可用性:
建议企业采用接入多个ISP的方式提高可用性,而当企业网络中心具有多条Internet链路后,应提高Internet网络链路可用性的智慧检查能力,防止出现由于某一条Internet链路的失效造成整体网络的不可访问。
●提高Internet链路的网络吞吐量:
提高网络中心的Internet网络链路的吞吐量,申请多条Internet链路
●提高Internet网络链路的抗网络攻击的能力:
Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路,因此应加强在Internet链路上的攻击防护。
各省级机关到中央机构之间网络连接方面的需求
目前各省级机关到中央机构之间通常采用FrameRelay或DDN等昂贵的专线广域网链路,而目前国内运营商可以提供相对高速同时价格便宜的Internet接入链路,例如:
ADSL,因此企业网络存在入下要求:
●提高省级机关到中央机构的广域网链路的可用性:
如果各地省级机关与中央机构之间存在多条链路,应注意提高省级机关到中央机构的广域网链路可用性的智慧检查,防止出现由于某一条链路的失效造成整个省级机关无法访问到中央机构。
●增加省级机关到中央机构的链路,增加带宽,同时降低省级机关与中央机构之间广域网链路的成本:
利用运营商提供的低价、高速链路,在各地省级机关与中央机构之间增加链路带宽,设法降低减轻各地省级机关与中央机构之间专线的流量压力,降低广域网链路的成本
●提高各个省级机关的网络安全防护能力:
在各个省级机关的广域网出口和Internet出口的位置增加网络安全防护的能力,以保证各省级机关的网络安全,同时可以保证一旦某个省级机关内部的用户受到网络攻击的侵袭,那么该网络攻击不会扩散到中央机构,以及其它省级机关。
5网络安全防护需求分析
网络安全方面的需求-防火墙、IDS、防病毒设备负载均衡技术的需求
为了保证企业的网络在网络安全防护方面的高可用性、高性能和安全性,企业在网络安全方面的需求可以分为以下几部分:
●提高网络安全设备的可用性:
网络中应具备安全设备的的可用性检查,避免单一的网络安全设备的单点失效性。
●提高网络安全设备性能:
在网络中采用多台网络安全设备,避免网络安全设备带来的瓶颈,提高网络传输速度。
●完善网络安全体系架构:
现今,各种各样的网络攻击层出不穷,导致防火墙的负荷在不断提高,再相对于网络物理带宽的大幅度提高,防火墙逐渐成为了网络的瓶颈,本案希望使用一组(2个以上)防火墙采用负载均衡技术提供安全服务,以提升性能。
网络安全方面的需求-具备深层检测、高性能的安全防护设备需求
当前的黑客攻击,具备层出不穷,隐蔽性强,攻量大,影响广等特点,对安全网关设备提出了更高的要求,因此需要企业的网络中的安全产品提出了新的需求,要求应用安全产品具备防范一系列攻击的智能和性能:
第一,需要集成的实时安全性,发现攻击和入侵立即拦截
第二,能够深入检查数据包,防范各种应用层攻击,例如蠕虫、病毒、木马和Dos攻击
第三,能够即使拦截大流量,爆发性的DoS/DDos攻击,与此同时,要求网络访问正常进行,网络的性能不能有太大降低
第四,要求安全产品具备数千兆位速度双向扫描的安全检测性能
第五,能够对链路的带宽使用进行有效管理,如对消耗带宽资源非常严重的P2P流量进行有效控制,保证关键应用的带宽使用
6网络应用需求分析
网络应用方面的需求-应用服务器负载均衡技术的需求
为了保证企业的网络应用的高可用性、高性能和安全性,企业的网络应用存在下列需求:
●提高网络应用的可靠性:
自动的网络应用可用性检查,保证网络应用的7x24小时的持续性服务。
●提高网络应用的性能:
如果网络中仅有单台服务器提供网络应用的服务,很难保证网络应用的性能,可以考虑增加相应的服务器数量,配合负载均衡技术来提高网络网络应用的性能。
●网络应用的安全性较差:
制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制;
四、Radware解决方案
1.Radware公司简介
Radware公司是RAD集团的成员之一,RAD集团目前拥有14个各自独立的公司,在网络及通讯产业领域提供不同的技术,服务不同的市场。
Radware公司于1999年在NASDAQ上市(RDWR),目前,Radware公司的网络产品行销40多个国家,在全球拥有130家经销商,为广大用户提供了全面的产品和解决方案。
Radware一直致力于提供智能应用交换(IAS)技术,以保证IP网络应用在Internet/Intranet上的最佳运行和服务。
Radware将应用需求和网络设施紧密结合在一起,可无缝分配资源、优化应用系统的运行以及提高网络安全性,最终为用户提供高可靠性的、高性能的、高安全性的网络智能应用解决方案。
作为网络智能应用交换(IAS)领域的佼佼者,Radware通过在4-7层网络交换领域和网络入侵防护(IPS)领域专注的技术研发,不断为市场提供功能强大、稳定高效的网络智能应用解决方案。
Radware目前提供3大类网络智能应用解决方案:
Radware网络连接解决方案;
Radware网络安全解决方案;
Radware网络应用解决方案;
通过最优化的网络资源利用以及完善的安全防护体系架构为广大用户打造全方位、高效率的网络安全空间。
Radware解决方案借助屡获殊荣的产品来构架Radware网络智能应用解决方案用于满足企业、服务提供商以及电子商务机构的网络需求。
这些产品包括:
LinkProof(LP)、Linkproof-Branch(LPB)、Defense-pro(DP)、AppDirector、SecureFlow(SF)、AppXcel、FireProof(FP)、ContentInspectionDirector(CID)。
Radware公司全面的产品组合可服务于端到端的应用业务,同时提供可靠和可扩展的网络流量保证。
Radware可让您对网络环境中从点击到内容的方方面面做到万无一失。
Radware在智能应用交换(IAS)技术上一直处于领先地位,Radware的产品获得过众多的业界大奖,这些奖项包扩:
PCMagazineEditor'sChoice
Networkmagazine'sProductoftheYear
ZDInternetLab'sNetBest
SpringInternetWorld'98
LosAngeles,BestofShow
NetworkComputingmagazine'sEditor'sChoice
7Radware解决方案介绍
7.1Radware解决方案拓扑图
根据上述网络应用现状分析和用户的需求分析,结合Radware产品的技术实现和特点,我们建议的企业方案设计包括两大部分,中央机构方案设计和省级机关方案设计,如下图所示:
图一:
中央机构网络拓扑
图二、中央机构与各分支机构的连接拓扑
7.2Radware解决方案简介
建议在中央机构网络各层面上共采用了如下Radware的设备,其中包括:
DefensePRO(DP)-专用的透明安全设备
LinkProof(LP)-链路负载均衡设备
SecureFlow(SF)-安全网关负载均衡设备
AppDirector-服务器负载均衡
AppXcel-服务器优化设备
在各分支机构的internet出口处部署一台LinkProofBranch(分支机构链路负载均衡器),并在其上部署应用安全模块(具备DP所有功能)。
该解决方案从功能上分为3个部分:
●连接解决方案部分
●安全解决方案部分
●应用的解决方案部分
7.2.1Radware连接解决方案部分简介
●LinkProof实现多链路的负载均衡和防火墙的负载均衡
如上图所示,我们建议在网络接入处,部署LinkProof,实现对多条internet接入链路(最多100条)的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问内部服务器)双向的负载均衡。
同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择,大大提高用户访问的服务质量和访问效率。
LinkProof可以配合SecureFlow实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
●各分支机构的LinkProofBranch实现多链路的负载均衡
如上图所示,我们建议在各分支机构的网络接入处,部署LinkProofBranch,实现对internet接入和企业广域网接入这两条链路的负载均衡,根据分支机构办公用的访问的目的地址或者应用,智能的选择链路,实现两条链路的冗余备份和透明容错,保证了分支机构访问中央机构关键应用的100%的高可用性。
7.2.2Radware安全解决方案部分简介
我们建议的安全解决方案部分,包括2款产品,DefensePro(DP),SecureFlow(SF),每台设备简要功能描述如下:
●DefensePro实现实时的攻击防御
如上图所示,我们建议在网络接入处,部署DefensePro,可以识别并实时抵御1600多种蠕虫、病毒、DOS攻击和异常的流量模式,保护内部用户和服务器的安全。
同时,通过把端口两两静态绑定,虚拟成多台逻辑设备,分别部署在核心交换机和企业广域网之间保护入侵和攻击不致互相扩散。
使用一台逻辑设备部署在核心交换机和AppDirector之间,保护服务器群免受内部办公用户的非法攻击。
使用多台逻辑设备部署在内部办公用户的不同网段(或者楼层)之间,保证非法入侵和攻击不致扩散到其它办公网段或者楼层。
●SecureFlow(SF)实现各安全网关的负载均衡
如上图所示,我们建议在多台防火墙和核心交换机之间,部署SecureFlow,实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
通过旁路部署各安全网关设备,SecureFlow可以实现多台IDS(最多100台)、cache服务器、防病毒网关,URL过滤网关的负载均衡,这些安全网关设备可以是不同厂家,不同型号,不同性能,大大提供安全网关的扩展性和可用性。
7.2.3Radware应用解决方案部分简介
我们建议的应用解决方案部分,包括2款产品,AppDirector,AppXcel,每台设备简要功能描述如下:
●AppDirector实现服务器的负载均衡
AppDirector位于核心交换机和各种IP应用服务器之间,主要实现所有基于IP协议的各种服务器的负载均衡功能,通过部署AppDirector,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量,从而实现了服务器所承载的业务的100%的高可用性和高性能。
●AppXcel实现SSL加速和HTTP(HTTPS)页面的加速
SSL加速功能:
AppXcel与AppDirector配合,为用户提供SSL加密加速服务。
利用AppDirector的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。
为应用处理释放了服务器资源,并且使服务器的投资发挥最大效益。
HTTP(HTTPS)页面的加速
AppXcel通过WEB压