CIDSolution.docx
《CIDSolution.docx》由会员分享,可在线阅读,更多相关《CIDSolution.docx(12页珍藏版)》请在冰豆网上搜索。
CIDSolution
CID解决方案
RadwareChina
目录
1需求分析3
2RadwareContentInspectionDirector(CID)解决方案4
2.1方案拓扑图5
2.2内容管理负载均衡5
2.2.1Cache服务器负载均衡6
2.2.2Spoofing6
2.3Flow管理6
2.4专有协议支持7
2.4.1RADIUS分级7
2.4.2POP3转换7
2.4.3FTP转换7
2.5SSL内容检测8
2.6Qos解决方案8
2.7应用安全解决方案9
3方案的优点9
3.1.1高可用性9
3.1.2高性能9
3.1.3高扩展性10
3.1.4完全的安全性10
1需求分析
当今互联网上通过垃圾邮件、网页链接所发散的恶意程序数量持续增加,市场分析师指出,用户对内容安全产品的需求将持续加码。
内容安全通常指称可提供反垃圾邮件、防毒、内容过滤/网页过滤、信息隐私等防护功能。
这样的市场趋势,在IDC今日发布的市场调查数据中已然成形。
该报告指出,信息安全软件市场中,现阶段由安全内容管理(SecureContentManagement)占大宗,市占率由去年的58.4%增加为63.9%;信息安全包括管理、授权和验证(Administration,AuthenticationandAuthorization)市占率,则由去年的21.3%降至17.2%,位居第二;而防火墙/VPN(Firewalls&VPNs)的市占率由去年的11.9%增为12.3%,排名第三。
网络安全不是信息安全的全部问题,内容安全是相当重要的部分,未来,内容安全的重要性要大于网络安全。
内容安全的难点在于要区别真伪。
如果不能区别真伪,信息安全就无法保障。
现在,垃圾邮件引发出的“网络钓鱼”、“信用卡欺骗”等安全威胁,都是这类问题。
但是,我们不能要求用户不上当、不受骗,因为,用户无法区别真伪。
但是,这类问题的结果往往相当严重,甚至祸及全球。
安全策略攘外必先安内。
既然外部的网络安全威胁已经不是主要矛盾,那么,信息安全的重点就应该转移到内部网络安全的建设上来,这是安全的主线。
信息安全矛盾的主要方面在于内容安全,而不再是网络安全,信息安全建设重点应该是狠抓内网的用户管理、行为管理、内容控制和应用管理。
传统的内容安全设备部署存在以下问题:
(1)高可用性低-内容安全设备通常是通过相关的功能软件安装在通用或专用的PC服务器上实现其内容安全检查的功能,操作系统采用通用的windows或Linux等操作系统。
此类设备无法避免PC硬件常见的内存、硬盘、电源或者操作系统等故障造成设备宕机或发生意外故障。
内容安全设备需要串接在网络中,一旦内容安全设备发生故障会造成所有网络应用和客户的中断,造成难以估计的损失。
另外,此类设备需要经常的打操作系统的补丁和重启机器,这也会造成网络的中断。
(2)性能有限-内容安全设备往往糖葫芦结构串接网络中,所有的数据流量都需要依次流经各个内容安全设备,所以这些内容安全设备处理的数据量非常大,但基于PCServer架构的内容安全设备其处理能力是非常有限的(通常只有3-10Mbps吞吐量),在将内容安全产品用于具有高速Internet连接的繁忙网络时,常常会成为瓶颈。
因为在实现对恶意或者不适当内容的检查往往会影响整体网络流量的传输速度,如何既要对公司的网络进行完全的内容检查,又要保证较高的网络吞吐量是当前内容安全设备的面对的难题。
(3)扩展性差
内容安全系统往往随着应用的增长而进行扩展,或者增加新的功能扩展多个内容安全系统,例如如果一台内容服务器无法满足业务增长的要求需要添加服务器分担相关检查工作,或者添加另外的内容安全系统,传统的串接网络无法提供良好的系统扩展性。
(4)安全性差-内容安全设备由于采用通用操作系统,本身操作系统的漏洞会成为系统致命的弱点,甚至内容安全设备本身成为攻击或病毒的牺牲品。
另外,当网络中存在大量的syn攻击,Dos攻击或其他应用级别的攻击发生时,内容安全设备也将因无法处理大量的数据包而造成网络中断。
所以,加强网络中内容安全设备本身的安全性也是不可忽视的问题。
2RadwareContentInspectionDirector(CID)解决方案
在网络的骨干链路上,串接Radware电信级ASIC硬件内容安全交换机CID,相关的内容安全设备连接在CID上,CID提供最高6Gbps的业务资料的处理能力以及88G的二层数据转发能力。
CID按照预先设定的策略,将相关检测流量转发到相关的内容安全设备上进行内容检查,然后根据流程控制策略转发到下一站实现流量的灵活管理和转发。
CID可以通过对各个安全系统的健康检查检测各系统服务器的工作状况,保证将用户流量转发到最优的设备上去,同时避免了内容安全设备发生故障引起的网络中断,即使所有的网络安全设备宕机,CID可以将所有业务流量BYPASS过去,保证网络畅通。
CID根据策略只将需要处理的流量转发到特定的内容安全设备检查,其它流量直接default处理,并配合例如设定信任流量等技术,大大降低了内容安全设备处理容量的负载,大大提升了系统的性能。
CID对于内容安全系统提供了纵向和横向的灵活扩展功能,所谓纵向是指单个内容安全系统,例如AV系统中单台服务器无法满足客户大流量的病毒防范的要求,只需要在AVfarm中添加相关AVserver即可,对于用户是透明的。
所谓横向是指,当客户需要从一个内容安全系统(例如一个AV系统)扩展到两个系统(AV+URL过滤)时,CID可以流量的定义流程控制,实现多个系统的流量管理。
CID本身可以通过可选的Synapps模块,提供对于2600多种常见蠕虫,后门,恶意代码等应用攻击的防范以及动态带宽管理和DOS,SYN攻击的防御。
大大保护了客户网络和内容安全系统的安全性。
2.1方案拓扑图
如上图所示,将内容安全设备星形连接到CID上,由CID智能调度网络流量到相应的内容安全设备。
2.2内容管理负载均衡
CID设计用来对内容检测设备(Cache、URL过滤、防病毒网关)流量进行负载均衡。
用户流量被分发到一组内容检测设备群中。
CID透明的截取Internet-bound用户流量然后智能的调度到相应的内容安全设备,内容安全设备可以工作在透明和非透明两种模式。
因此终端用户不需要对客户端浏览器做任何配置的改变。
除此,CID还可以为用户提供一个内容安全设备的VirtualIP地址,方便那些需要工作在非透明模式的用户的使用。
描述:
1.CID将用户请求转发到一台性能当前最优的服务器
2.被选择服务器将客户请求发送到Internet
3.CID收到返回的数据将流量发送到相关的服务器
4.服务器发送回应包到用户
2.2.1Cache服务器负载均衡
Cache服务器在某些环境也被称为“ProxyCache”或者“Proxy”,Cache可以极大的提高网络的性能,同时减少Internet带宽的使用以及后台服务器的访问量。
CID通过智能负载均衡以及透明的数据截取来优化Cache服务器的使用。
Cache-hitratio代表了Cache的有效性。
Cache-hitratio越高,表示更多请求可以由Cache自己提供,这样即可以提高用户的响应时间又可以节省网络的带宽。
2.2.2Spoofing
CID通过ServerSpoofing使得CacheServer去Internet找寻页面内容时用客户端的源IP地址而不是Cache本身的IP地址。
2.3Flow管理
CIDFlow管理功能可以将用户请求按次序分担到多个服务器群组,每个服务器群组都提供不同的服务。
描述:
1.Client发送请求到Internet,请求被CID截取
2.CID按照策略将数据包重定向到URL群组进行检查
3.URL检查完毕后送回CID
4.CID按照策略将数据包重定向到Cache服务器进行检查
5.Cache检查完毕后送回CID
6.CID按照策略将数据包重定向到Anti-Virus服务器进行检查
7.AV检查完毕后送回CID
8.CID最后将用户的请求发送到Internet
2.4专有协议支持
2.4.1RADIUS分级
Radius提供运营商可以认证拨号用户和存储用户流量计费信息。
RadiusMessage中用户优先级别定义了用户不同的使用权限。
CID针对Radius的支持使得运营商和大型网络识别用户权限不只是简单的通过源IP地址。
CID可以监测RadiusMessage中用户优先级别,通过这些信息,CID可以动态的根据用户的权限设置相应的策略将用户定向到不同的内容安全检测群组以及相应的带宽管理限制等等。
一旦CID收到NAS发送的RADIUS停止计费信息,CID马上将此用户从策略中排除。
Client初始拨号会话在NAS终结,NAS将Client用户名和密码发送到RADIUS服务器,RADIUS返回分配给用户的IP地址以及相应的属性。
CID可以截取RADIUS握手信息,根据RADIUS属性,CID将RADIUS指派的地址动态加入到设备NetworkTable中。
2.4.2POP3转换
CID支持重定向POP3流量到POP3Proxy服务器。
为了提供对POP3的支持,CID可以透明的将用户标准的POP3会话转换成Proxy模式的POP3会话。
CID转换客户”User”命令,从“USER(username)”转换到“USER(user_name#destination_IP)”。
因此允许POP3Proxy服务器可以提取目标POP3服务器的地址然后模拟客户端口开启POP3会话到POP3服务器。
这些操作对于用户来讲都是完全透明的。
2.4.3FTP转换
CID支持重定向FTP流量到FTPProxy服务器。
为了提供对FTP的支持,CID可以透明的将用户标准的FTP会话转换成Proxy模式的FTP会话。
CID转换客户”Username:
password”命令,从“username:
password”转换到“username:
password@domain”。
因此允许POP3Proxy服务器可以提取目标POP3服务器的地址然后模拟客户端口开启POP3会话到POP3服务器。
这些操作对于用户来讲都是完全透明的。
2.5SSL内容检测
SSL加密目的是为了保证数据安全的传输,然而因为SSL内容加密后,安全设备无法检测其内容,所以如果SSL数据包中含有攻击、蠕虫等有害能量时,安全设备将无能为力,有害数据包将会直接到达企业网络内部。
CID结合RadwareSSL优化设备AppXcel,为企业网络提供全面的SSL内容检测方案。
通过AppXcel将SSL内容解密为明文数据包交给相应的内容安全设备进行检测。
2.6Qos解决方案
带宽管理是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量,然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。
它允许网络管理者完全而有效的控制他们可用的带宽,使用这些功能可以按照一系列标准,指定应用程序的优先次序,同时还考虑了每个应用程序已使用的带宽。
在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。
我们主要可以通过以下两种方式保证关键应用的服务器质量:
●关键应用带宽保证:
通过对关机主机、应用(HTTP、HTTPS等)的带宽保证,确保在任何情况下,关键应用有足够的带宽。
●减少和控制其它应用:
对于消耗带宽的非关键应用,通过限制最高带宽甚至禁止的方式来较少和避免对关键应用的影响。
2.7应用安全解决方案
应用安全模块包含的一组功能集使Radware的产品能够保护敏感的网络资源不受到各种安全问题的影响。
此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的Internet资源中隐藏起来。
同时还能够为使用SynApps流量管理的敏感资源提供高级的安全性,这包括检测并预防2600多个恶意攻击信息,包括特洛伊木马、后门、DoS和DdoS攻击。
此模块能够处理以下攻击:
⏹拒绝服务(DOS/DDOS)攻击
⏹缓冲区溢出/超限
⏹利用已知的Bugs,误配置和默认的安装问题来进行攻击
⏹在攻击前探测流量
⏹未授权的网络流量
⏹后门/特洛伊木马
⏹端口扫描(Connect&Stealth)
3方案的优点
3.1.1高可用性
高可用性的内容检查功能提供了容错防病毒扫描和对恶意内容的不间断防范。
CID可监视防病毒网关和URL设备的健康状况,检测实时故障并将流量复位向到性能最佳的资源,从而确保了内容安全性服务的完全可用性和不停机操作。
在网络的通道上配置了防病毒网关,因此如果防病毒网关发生故障将导致Internet连接中断,造成巨大的停机损失。
ContentInspectionDirector的先进的健康检查系统能够保证将内容定向到最合适的资源,从而确保所有内容检查设备的高可用性,预防Internet连通性损失和减少停机时间。
3.1.2高性能
千兆位元速度的防病毒服务提供了最佳性能的内容过滤。
CID借助19个端口级别的交换ASIC实现了线速转发,同时借助最高容量88GB的ASIC背板矩阵(AS5平台)实现了无阻塞应用交换和最先进的RISC处理,功能强大的四片NP处理器,提供了高流量和更高性能的防病毒和URL过滤功能。
将几个内容检查设备集中为一个服务器群,并在它们之间进行负载均衡。
因此与单个设备相比可以处理更多的容量,例如配置5个防病毒网关可以将内容检查容量至少提高5倍。
并提供完全透明的扩展能力,保护内容安全系统的原有投资。
配置具有预先筛选算法的CID可以将内容检查速度提高500%。
预先筛选算法能够区分可信和可疑内容,在内容检查设备(如防病毒网关)转发可疑内容进行检查的同时,可信内容可以绕过检查设备。
因为80%的Internet内容都为可信内容,所以从防病毒设备卸载可信内容,将使检查速度提高5倍。
而在邮件系统应用中,防病毒网关只需检测SMTP,POP3等流量,单独的防病毒网关的工作效率大幅度提高,可以有效的节约此类设备的开销和用量。
3.1.3高扩展性
高度可扩展的防病毒服务允许无限制地而且经济地扩充内容检查能力。
防病毒服务器之间的负载平衡优化了内容检查服务,并使得用户可以按照自己的需要进行性能扩充,从而充分利用现有的基础设施,并削减部署新的防病毒服务器的成本(幅度可达40%)。
组合式的防病毒服务支持提供了可无缝部署和透明集成的最佳增殖网络过滤功能。
CID可优化任何防病毒过滤工具或URL过滤工具的性能,从而提供了灵活和可自定义的安全架构,用户可以完全自由地选择供货商,同时不花费任何集成费用。
创建内容检查设备群组,使用户在容量增加时能够很容易地添加内容检查设备,可以透明添加内容检查设备,无需中断服务或者停机。
CID提供独一无二的多个内容安全系统之间的灵活流程控制,提供了方便快捷的用户流程管理和控制。
3.1.4完全的安全性
基于策略的流量管理提供了量身定做的内容安全性。
基于策略的管理允许用户定义最适于处理每种流量、用户和内容的特定安全工具,由此可使安全工具获得最大化的性能和更高的效率。
千兆位速度的入侵检测和DoS防范千兆位速度的入侵检测和DoS防范可不间断地保护应用程序和网络资源的完整性。
实时的应用安全性检测和对BOFserviceoverflows、特洛伊木马、尼姆达、红色代码、Goner以及2600多种攻击特征的防范可有效阻止网络入侵。
此外,DoS防护功能还可通过阻止使服务性能衰竭的拒绝服务攻击来保护整个网络资源的安全。
全方位监视防病毒服务APSoluteInsite提供了对防病毒性能的统一管理、查看和控制,可以按用户、应用程序和文件类型分类来查看实时的或过去的内容过滤操作。
升级会员 