【導(dǎo)讀】RadwareIDC方案建議書(shū)。Version. Radware北京代表處

　　

【正文】 強(qiáng)有力的工具，而會(huì)話(huà)管理是所有 Radware 設(shè)備不可缺少的一部分。 Scheduler Algorithm 上面已經(jīng)討論過(guò)，調(diào)度器可以按兩種模式運(yùn)行： Cyclic 和 CBQ 。它們都按相同的數(shù)據(jù)包排隊(duì)序列 (2:1)運(yùn)行，而 CBQ 算法能夠知道與每個(gè)配置的策略有關(guān)的帶寬。換言之， Cyclic 算法只與優(yōu)先級(jí)有關(guān)，它并不了解配置的任何帶寬限制。注意除非使用 CBQ ，否則不能對(duì)策略配置有關(guān)的帶寬。 Bandwidth Borrowing 如上所述，當(dāng)調(diào)度器使用 CBQ 算法時(shí)才啟用借用功能。如果啟用了借用功能，調(diào)度器可以從帶寬剩余的排隊(duì)隊(duì)列借用帶寬，以便轉(zhuǎn)發(fā)那些已經(jīng)（或者將要）超過(guò)分配帶寬的排隊(duì)隊(duì)列中的數(shù)據(jù)包。 Random Early Detection (RED) 為了防止排隊(duì)隊(duì)列溢出而導(dǎo)致嚴(yán)重的會(huì)話(huà)中斷，可以使用 RED 算法。此算法是從 TCP 本身的重發(fā)和流量控制特點(diǎn)演變而來(lái)的。 如果所有排隊(duì)隊(duì)列都是滿(mǎn)的，則會(huì)丟棄所有會(huì)話(huà)的數(shù)據(jù)包。所有 TCP 會(huì)話(huà)端點(diǎn)會(huì)被強(qiáng)制使用流量控制以減慢每個(gè)會(huì)話(huà)的傳輸速度，這會(huì)導(dǎo)致所有會(huì)話(huà)的速度降低并進(jìn)行重發(fā)。而且， UDP 數(shù)據(jù)包被取出并被丟失，因?yàn)?UDP 沒(méi)有任何內(nèi)在的數(shù)據(jù)包恢復(fù)機(jī)制。 RED 的任務(wù)就是在排隊(duì)隊(duì)列發(fā)生溢出之前防止它們。 如果配置了 RED 算法，則會(huì)監(jiān)視排隊(duì)隊(duì)列的狀態(tài)。如果排隊(duì)隊(duì)列接近了最大容量，將會(huì)隨機(jī)截取并丟棄 TCP 數(shù)據(jù)包。注意只有 TCP 數(shù)據(jù)包被丟棄，并且數(shù)據(jù)包的選擇完全是隨機(jī)的。這可以防止排隊(duì)達(dá)到最大容量，從而避免所有 TCP 會(huì)話(huà)發(fā)生中斷，并將保護(hù) UDP 數(shù)據(jù)包。 Maximum Bandwidth 如上所述，策略數(shù)據(jù)庫(kù)中的每個(gè)策略都配置了允許的最大帶寬。不考慮每個(gè)策略的帶寬配置，此設(shè)備也配置了整體的帶寬限制。這是整個(gè)設(shè)備的帶寬限制，而不需要考慮單個(gè)策略的帶寬配置。此帶寬限制實(shí)際上是每個(gè)物理端口最大帶寬配置的總和。設(shè)備的每個(gè)物理端口都可以配置其最大的分配帶寬，它們的總和就是整個(gè)設(shè)備的帶寬限制。注意如果啟用 了帶寬借用，當(dāng)超過(guò)了配置的最大帶寬時(shí)不能借用帶寬。 IDC網(wǎng)絡(luò)應(yīng)用安全 IDC 中 Web 環(huán)境面臨的危險(xiǎn) Web 服務(wù)器中的 bug 或錯(cuò)誤的配置都會(huì)使未授權(quán)的遠(yuǎn)程用戶(hù)： 竊取機(jī)密文檔 對(duì)服務(wù)器執(zhí)行命令并修改系統(tǒng) 通過(guò)獲得 Web 服務(wù)器主機(jī)的信息來(lái)入侵系統(tǒng) 啟動(dòng)拒絕服務(wù)攻擊，致使機(jī)器臨時(shí)被禁用 瀏覽器端的危險(xiǎn)包括： 激活的內(nèi)容會(huì)使瀏覽器崩潰、破壞用戶(hù)的系統(tǒng)、侵犯用戶(hù)的隱私 有意或無(wú)意間濫用終端用戶(hù)提供的個(gè)人信息 攔截從瀏覽器發(fā)送給服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)，或 者竊聽(tīng)從服務(wù)器發(fā)送給瀏覽器的網(wǎng)絡(luò)數(shù)據(jù)。竊聽(tīng)者可以在瀏覽器和服務(wù)器之間的任何位置竊聽(tīng)，這些位置包括： 1. 與瀏覽器相連的網(wǎng)絡(luò) 2. 服務(wù)器相連的網(wǎng)絡(luò)（包括內(nèi)聯(lián)網(wǎng)） 3. 終端用戶(hù)的 Inter 服務(wù)提供商 (ISP) 4. 服務(wù)器的 ISP 5. 或者 ISP 的區(qū)域訪問(wèn)提供商 IDC 中安全性受到攻擊的形式 Exploits（漏洞） : 術(shù)語(yǔ)“漏洞”指那些眾所周知的 bug，黑客可以利用它們進(jìn)入系統(tǒng)。 緩沖區(qū)溢出 / 超限 : 緩沖區(qū)溢出是 Inter 上最常見(jiàn)的攻擊方法之一。緩沖區(qū)溢出 bug 的產(chǎn)生是由于未對(duì)輸 入進(jìn)行雙重檢查的錯(cuò)誤導(dǎo)致的，它允許大容量的輸入（如包含幾千個(gè)字符的登錄姓名）“溢出”到存儲(chǔ)器的其它區(qū)域，從而導(dǎo)致系統(tǒng)崩潰 /非法進(jìn)入系統(tǒng)。 DoS 攻擊的方式： 崩潰：試圖使運(yùn)行在系統(tǒng)上的軟件崩潰，或者使整個(gè)計(jì)算機(jī)崩潰。 中斷連接：試圖使兩個(gè)系統(tǒng)之間的通信中斷，或者使系統(tǒng)與整個(gè)網(wǎng)絡(luò)的連接中斷。 減慢速度：降低系統(tǒng)或其網(wǎng)絡(luò)連接的速度 掛起：使系統(tǒng)進(jìn)入無(wú)限循環(huán)。如果系統(tǒng)崩潰，它常常會(huì)重新啟動(dòng)，但如果“掛起”，則會(huì)一直保持這種狀態(tài)直到管理員手動(dòng)停止并重新啟動(dòng)它。 分布式 DoS (DDoS) 攻擊的方式 : DDoS 是通過(guò)數(shù)量巨大的計(jì)算機(jī)來(lái)實(shí)施的攻擊。黑客為了摧毀 Inter 站點(diǎn)而控制成百上千的計(jì)算機(jī)。這些計(jì)算機(jī)都是從單個(gè)的控制臺(tái)來(lái)進(jìn)行控制的。以前認(rèn)為主要的 Inter 網(wǎng)站應(yīng)當(dāng)對(duì)這樣的攻擊具有免疫能力，因?yàn)樗鼈兊膸挶热魏慰赡馨l(fā)動(dòng)這種攻擊的單個(gè)計(jì)算機(jī)都要大很多。然而，在 2020 年年初，黑客否定了這種理論，他們進(jìn)入了 Inter 的許多網(wǎng)站，使用這些網(wǎng)站同時(shí)向主要的 Inter 站點(diǎn)發(fā)動(dòng)沖擊，因此有效地使這些站點(diǎn)當(dāng)機(jī)。 后門(mén) : 后門(mén)是計(jì)算機(jī)系統(tǒng)安全性的一個(gè)漏洞，它 是設(shè)計(jì)者或者維護(hù)者故意留下來(lái)的。通過(guò)它不需要密碼或許可就可以直接訪問(wèn)。在防止未授權(quán)訪問(wèn)這個(gè)問(wèn)題的處理過(guò)程中，有可能在一些情況下錯(cuò)誤地中斷一次正常的會(huì)話(huà)?？梢越眠@種功能，但為了防止通過(guò)后門(mén)非法闖入系統(tǒng)，最好還是取消它。 特洛伊木馬 : 特洛伊木馬是隱藏在應(yīng)用程序內(nèi)部的一段代碼，它執(zhí)行一些秘密的操作。NetBus 和 Back Oriface 是特洛伊木馬的常見(jiàn)類(lèi)型。這些程序都是遠(yuǎn)程用戶(hù)執(zhí)行的，它們?cè)试S未授權(quán)的用戶(hù)或者黑客訪問(wèn)網(wǎng)絡(luò)。一旦進(jìn)入，他們就可以利用網(wǎng)絡(luò)上的一切內(nèi)容。 默認(rèn)安裝 攻擊系統(tǒng)已知的默認(rèn)值是 最常見(jiàn)的黑客攻擊方式之一。大多數(shù)軟件都提供了默認(rèn)配置以使設(shè)置更簡(jiǎn)單，但為了確保系統(tǒng)的安全性應(yīng)當(dāng)更改這些配置。 例如： 帳號(hào) – 許多系統(tǒng)都提供一些默認(rèn)的用戶(hù)帳號(hào)和眾所周知的密碼，而管理員會(huì)忘記更改它們。 位置 – 文件的默認(rèn)位置也會(huì)常常被利用，例如 numerous Netscape Navigator 和 Microsoft Inter Explorer bugs 都允許黑客從磁盤(pán)檢索文件 樣例 – 許多軟件包都提供可以利用的“樣例”，例如 ColdFusion web 服務(wù)上的程序 樣例。 探測(cè)器 使用探測(cè)器來(lái)掃描網(wǎng)絡(luò)或主機(jī)以獲得網(wǎng)絡(luò)上的信息。然后它們使用相同的主機(jī)來(lái)攻擊網(wǎng)絡(luò)上的其它主機(jī)。有兩種常見(jiàn)類(lèi)型的探測(cè)器。 地址空間探測(cè)器 – 用來(lái)掃描網(wǎng)絡(luò)以確定主機(jī)上運(yùn)行的服務(wù) 端口空間探測(cè)器 – 用來(lái)掃描主機(jī)以確定主機(jī)上運(yùn)行的服務(wù) Radware 的解決方案 在應(yīng)用安全方面， Radware 的所有應(yīng)用交換機(jī)均采用 SynApps 體系架構(gòu)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)元素的保護(hù)。 Radware SynApps 簡(jiǎn)介 Radware 應(yīng)用交換機(jī)具有 SynApps 架構(gòu)的應(yīng)用安全模塊，此 模塊可以保護(hù)web 服務(wù)器免受 1200 多個(gè)攻擊信號(hào)的攻擊。此模塊的設(shè)計(jì)使它可以作為服務(wù)器、防火墻、 cache 服務(wù)器，或者路由器前面的另一道防線(xiàn)。它提供了基于網(wǎng)絡(luò)的安全性，并使用了網(wǎng)絡(luò)信息和基于信息的應(yīng)用。通過(guò)終止所跟蹤的可疑會(huì)話(huà)來(lái)實(shí)時(shí)檢測(cè)和阻止攻擊。 SynApps 架構(gòu)的應(yīng)用安全模塊分為 5 個(gè)部分： 檢測(cè)引擎（分類(lèi)器） : 負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量（目前為 IP 流量）進(jìn)行分類(lèi)，并將其與設(shè)備上安裝的安全策略進(jìn)行匹配。然后由 Response Engine（響應(yīng)引擎）執(zhí)行操作。 跟蹤模塊 : 不是所有的攻擊都是 由具有特定模式或者信息的數(shù)據(jù)包來(lái)啟動(dòng)的。一些攻擊是由一系列數(shù)據(jù)包產(chǎn)生的，這些共同存在的數(shù)據(jù)包才會(huì)導(dǎo)致攻擊發(fā)生。因此，我們使用基于 5 個(gè)獨(dú)立組件的歷史機(jī)制，以不同的方式來(lái)識(shí)別每一個(gè)組件： 通過(guò)源 IP 識(shí)別 通過(guò)目標(biāo) IP 識(shí)別 通過(guò)源和目標(biāo) IP 識(shí)別 通過(guò)過(guò)濾器類(lèi)型識(shí)別 TCP 檢查系統(tǒng) – 始終跟蹤每個(gè) TCP 會(huì)話(huà)（源和目標(biāo) IP 以及源和目標(biāo)端口）并被用來(lái)識(shí)別 TCP 端口掃描 響應(yīng)引擎 : 根據(jù)策略產(chǎn)生的規(guī)則結(jié)果執(zhí)行相應(yīng)的操作 操作類(lèi)型： 丟棄數(shù)據(jù)包 (Drop, Reject) 轉(zhuǎn)發(fā)數(shù)據(jù)包 (Forward) 發(fā)送重置（丟棄數(shù)據(jù)包并向發(fā)送者發(fā)送 Reset（重置）） 發(fā)送 RST/ACK 和 RST（如果檢測(cè)到端口掃描，它會(huì)向目標(biāo)發(fā)送 RST/ACK 數(shù)據(jù)包以及向源發(fā)送者發(fā)送 RST）以“愚弄”掃描器 SNMP Trap（用于 Report Module） Syslog 操作（日志機(jī)制 – 通過(guò) SNMP） 報(bào)告模塊 : 通過(guò) SNMP traps、 syslog 消息和設(shè)備的統(tǒng)計(jì)表生成報(bào)告和警報(bào)。設(shè)備發(fā)送（或者保留在其表中）的消息包含下列內(nèi)容之一： 攻擊開(kāi)始信息（開(kāi)始日期或時(shí)間、攻擊名稱(chēng)、源地址、目標(biāo)地址） 攻擊結(jié)束信息（結(jié)束日期或時(shí)間、攻擊名稱(chēng)、源地址、目標(biāo)地址） 發(fā)生的攻擊信息（攻擊發(fā)生的日期或時(shí)間、攻擊名稱(chēng)、源地址、目標(biāo)地址） 管理模塊 : 通過(guò) Configware 實(shí)用程序或者 (CLI) 命令行界面來(lái)管理 SynApps 架構(gòu)。 Radware SynApps 架構(gòu)具有幾大優(yōu)點(diǎn)： ? 基于交換架構(gòu)，而不是運(yùn)行在一般 H/W 上的 S/W。 ? 不要求在任何服務(wù)器上安裝任何網(wǎng)絡(luò)代理 – 這樣易于管理和配置。 ? 可以與任何服務(wù)器 H/W 和操作系統(tǒng)共同工作。 ? 因?yàn)闆](méi)有代理，所以不會(huì)占用服務(wù)器的資源。 ? 不要求代理報(bào)告的日常流量，因此提高了整體的網(wǎng)絡(luò)性能。 ? 高性能的應(yīng)用安全模塊。 ? 使用 SNMP 進(jìn)行安全的通信 – 通常 SNMP 是不安全的，但這種新的架構(gòu)應(yīng)用了更復(fù)雜的安全版本的 SNMP。 ? 端口多路傳輸 : 服務(wù)器通常都使用相同的端口來(lái)發(fā)送數(shù)據(jù)，因此易于受到攻擊。而使用 SynApps 架構(gòu)時(shí)，輸入端口被映射到另一個(gè)可配置的輸出端口，每次使用不同的端口來(lái)掩飾此端口的能力可以防止服務(wù)器受到攻擊。 ? 內(nèi)置的數(shù)據(jù)包過(guò)濾引擎 : 可以根據(jù)優(yōu)先權(quán)、 IP 地址、內(nèi) 容和其它用戶(hù)指定的參數(shù)轉(zhuǎn)發(fā)數(shù)據(jù)包。 SynApps 的安全防護(hù)功能 SynApps 模塊能夠處理 Web 環(huán)境中的以下攻擊： ? 拒絕服務(wù) (DOS) 攻擊 ? 分布式拒絕服務(wù) (DDOS)攻擊 l ? 緩沖區(qū)溢出 /超限 ? 利用已知的 Bugs ? 利用誤配置和默認(rèn)的安裝問(wèn)題來(lái)進(jìn)行攻擊 ? 在攻擊前探測(cè)流量 ? 未授權(quán)的網(wǎng)絡(luò)流量 ? 后門(mén) /特洛伊木馬 ? 端口掃描 (Connect amp。 Stealth) DoS Shield 模塊是 Radware 公司最新開(kāi)發(fā)出來(lái)的專(zhuān)門(mén)用來(lái)防止大流量網(wǎng)絡(luò)環(huán) 境中的 DoS 攻擊，是業(yè)界唯一的可以做到千兆級(jí) 別的 DoS 攻擊防護(hù)。它采用了先進(jìn)的智能取樣算法，可以對(duì)網(wǎng)絡(luò)中的可疑流量進(jìn)行取樣，如果發(fā)現(xiàn)攻擊，將會(huì)阻止攻擊，保證正常的用戶(hù)訪問(wèn)可以進(jìn)行。 反掃描功能 – 應(yīng)用安全模塊能夠檢測(cè)并防止 網(wǎng)絡(luò)掃描 – 例如 Stealth Scanning 或者 Connect Scanning。 Web 應(yīng)用程序掃描 可以實(shí)時(shí)檢測(cè)并防止專(zhuān)門(mén)的 TCP 連接 TCP Syn 、 TCP FIN 和 TCP reverse IDENT 掃描方法。 9 雙向檢查 – 流量受到雙向的監(jiān)視。搜索從外界流入的或者從內(nèi)部向外發(fā)出的數(shù)據(jù)包 中的攻擊信息，它在防止流入通道上出現(xiàn)新的漏洞方面非常有用，并且對(duì)輸出通道進(jìn)行檢測(cè)和保護(hù)。一些攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部，因此這種功能也被用來(lái)防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊。 靈活的拓?fù)浣Y(jié)構(gòu) – 因?yàn)榇藨?yīng)用安全模塊被內(nèi)置在 Radware 的設(shè)備中，所以它能夠支持交換的拓?fù)浣Y(jié)構(gòu)。另外，它不受網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜性的影響，無(wú)論網(wǎng)絡(luò)有2 個(gè)分段還是有 20 個(gè)分段，只需要使用單個(gè)設(shè)備來(lái)保護(hù)這些資源。 反掃描子模塊 子模塊解決了掃描器和信息收集工具的問(wèn)題。目前利用 TCP 堆棧攻擊者中的一些問(wèn)題可以獲得目標(biāo)的大量信息。 例如： 1. 通過(guò)掃描 目標(biāo)并獲得開(kāi)放端口的列表，攻擊者可以知道在目標(biāo)計(jì)算機(jī)上運(yùn)行了哪些服務(wù)，然后他就能夠使用這些信息實(shí)施攻擊。 2. 通過(guò)查看目標(biāo)計(jì)算機(jī)的 TCP 堆棧響應(yīng)，攻擊者能夠知道目標(biāo)計(jì)算機(jī)正在運(yùn)行的 OS 類(lèi)型。 在目前的市場(chǎng)上還沒(méi)有工具能夠阻止掃描。大多數(shù)工具只知道如何檢測(cè)掃描，只有非常少的工具知道如何檢測(cè)智能掃描。 Radware 的子模塊能夠檢測(cè)并阻止幾乎所有類(lèi)型的掃描，即使是智能掃描。 Vanilla TCP 連接 () 掃描檢測(cè)功能 這是 TCP 掃描最基本的形式。使用操作系統(tǒng)提供的連接 () 系統(tǒng)呼叫 來(lái)打開(kāi)與計(jì)算機(jī)上每個(gè)感興趣端口的連接。如果端口正在監(jiān)聽(tīng)，則連接 () 將會(huì)成功，否則連接此端口。此技術(shù)的一個(gè)重要的優(yōu)點(diǎn)是您不需要任何特權(quán)。大多數(shù) UNIX 機(jī)器的用戶(hù)都可以自由使用此呼叫。它的另一個(gè)優(yōu)點(diǎn)是速度。在通過(guò)一個(gè)速度較慢的連接對(duì)每個(gè)串行的目標(biāo)端口進(jìn)行單獨(dú)連接 () 呼叫會(huì)花費(fèi)較長(zhǎng)的時(shí)間，您可以通過(guò)同時(shí)使用許多套接字來(lái)加快掃描。使用無(wú)阻塞的 I/O 使您可以設(shè)置短的超時(shí)時(shí)間，并立即看到所有的套接字。這是最快的掃描方法。 TCP SYN 掃描 此技術(shù)常常被稱(chēng)作“半開(kāi)式”掃描，因?yàn)槟恍枰蜷_(kāi)整個(gè) TCP 連接。先發(fā)