【正文】 在過(guò)去的12個(gè)月中，拒絕服務(wù)攻擊所導(dǎo)致的損失有顯著的上升勢(shì)頭。如果端口不是用戶特意打開(kāi)的，則可能導(dǎo)致嚴(yán)重的安全問(wèn)題。防掃描功能黑客在發(fā)起攻擊之前，通常都會(huì)設(shè)法確定打開(kāi)的TCP 和UDP 端口。這樣就為該設(shè)備之后的應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和其它網(wǎng)絡(luò)資源提供了全面保護(hù)，以免它們?cè)獾饺湎x(chóng)、病毒和其它形式的攻擊。同使用Intel Pentium 4 CPU 進(jìn)行串行特征搜索相比，其字符串搜索速度提高了300倍。3千兆位速度的攻擊特征比較為了支持?jǐn)?shù)千兆位的特征掃描速度，DefensePro 專門采用了基于ASIC 的強(qiáng)大加速器StringMatch EngineTM 。對(duì)于未知形式的攻擊，可以使用協(xié)議異常檢查功能來(lái)檢測(cè)。它可以識(shí)別Radware 安全數(shù)據(jù)庫(kù)中的1200多種攻擊特征。圖1：不同應(yīng)用級(jí)別攻擊的分布圖DefensePro 入侵防范功能可以用3千兆位的速度檢測(cè)和攔截1200多種病毒、蠕蟲(chóng)和特洛伊木馬，從而快速而全面地清除所有惡意入侵：對(duì)各個(gè)網(wǎng)絡(luò)段的流量進(jìn)行雙向掃描DefensePro 是為嵌入式部署而設(shè)計(jì)的，它可以在具有多個(gè)網(wǎng)絡(luò)段的網(wǎng)絡(luò)中對(duì)所有流量進(jìn)行實(shí)時(shí)掃描。這些攻擊會(huì)使用80端口和其它打開(kāi)的應(yīng)用端口（如13445等）穿越防火墻而進(jìn)入公司網(wǎng)絡(luò)中。這樣就最大限度減少了感染機(jī)會(huì)，并且可以控制攻擊帶來(lái)的影響和危害。借助DefensePro 的高端口密度，用戶可以同時(shí)保護(hù)多個(gè)網(wǎng)絡(luò)段。通過(guò)控制DoS 攻擊所可能占用的最大帶寬并且限制該攻擊的影響，可以確保其它的關(guān)鍵業(yè)務(wù)應(yīng)用不會(huì)受到影響，并且可以繼續(xù)獲得為保證業(yè)務(wù)的平穩(wěn)運(yùn)行而所需的帶寬和服務(wù)水平。一旦檢測(cè)到攻擊，DefensePro 就會(huì)實(shí)施積極的攻擊隔離措施。攻擊監(jiān)測(cè)和隔離網(wǎng)絡(luò)管理人員在同攻擊作斗爭(zhēng)時(shí)面臨的主要難題之一是，他們無(wú)法掃描和檢查應(yīng)用層的流量。5. 安全更新服務(wù)。3. 拒絕服務(wù)攻擊防范。本節(jié)著重介紹了DefensePro 的以下性能：1. 攻擊監(jiān)測(cè)和隔離。該交換機(jī)可以實(shí)時(shí)地隔離、攔截和阻止各種應(yīng)用攻擊，從而為所有網(wǎng)絡(luò)化應(yīng)用、用戶和資源提供了直接保護(hù)。針對(duì)以上結(jié)構(gòu)特點(diǎn)，Radware建議用戶使用多臺(tái)DefensePro來(lái)保護(hù)企業(yè)的網(wǎng)絡(luò)：針對(duì)Internet出口部分使用一臺(tái)ASII DefensePro，保護(hù)企業(yè)網(wǎng)絡(luò)免受外部病毒和攻擊；在各個(gè)匯聚點(diǎn)之間使用兩臺(tái)ASIII DefensePro，通過(guò)使用MutiSegment技術(shù)實(shí)現(xiàn)分布式應(yīng)用，虛擬多臺(tái)安全設(shè)備，防止病毒和攻擊在各個(gè)工作區(qū)之間擴(kuò)散。 系統(tǒng)總體結(jié)構(gòu)圖公司原有網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下所示：Cisco 7500Cisco GSRCisco GSRCisco GSRCisco 6509BackBoneCisco 6509UserUserUserUser由三臺(tái)Cisco GSR組成骨干核心網(wǎng)，7500連接到Internet出口，各個(gè)工作區(qū)由Cisco Catalyst 6509實(shí)現(xiàn)匯聚。如何實(shí)時(shí)防止蠕蟲(chóng)病毒和惡意代碼的攻擊，變得尤其迫切。因此，一種能用數(shù)千兆位的速度對(duì)所有流量進(jìn)行雙向掃描并且可以實(shí)時(shí)防范各種應(yīng)用層攻擊（比如蠕蟲(chóng)、病毒、木馬和Dos 攻擊）的內(nèi)置安全解決方案，無(wú)疑已成為當(dāng)務(wù)之急。在該月，僅Sobig 病毒就在全球造成了297億美元的經(jīng)濟(jì)損失。相應(yīng)地，這些攻擊造成的損失也呈直線上升趨勢(shì)。為保護(hù)網(wǎng)絡(luò)化應(yīng)用的安全，需要對(duì)所有流量進(jìn)行深入的數(shù)據(jù)包檢測(cè)，以實(shí)時(shí)攔截攻擊，并且防止安全性侵害進(jìn)入網(wǎng)絡(luò)并威脅各個(gè)應(yīng)用。分支機(jī)構(gòu)和生產(chǎn)部門也會(huì)通過(guò)廣域網(wǎng)從遠(yuǎn)程訪問(wèn)CRM 和ERP 等關(guān)鍵應(yīng)用。對(duì)于一個(gè)行之有效的安全解決方案，它必須考慮當(dāng)前在應(yīng)用和安全上的挑戰(zhàn)。根據(jù)CSI/FBI 對(duì)《財(cái)富》雜志評(píng)出的前1000位公司的調(diào)查，在2002年，因?yàn)槿湎x(chóng)、病毒和DoS 攻擊，每個(gè)機(jī)構(gòu)的平均損失高達(dá)170萬(wàn)美元。SynApps Architecture 是唯一能夠無(wú)縫和動(dòng)態(tài)分配網(wǎng)絡(luò)資源的產(chǎn)品,從而確保所有網(wǎng)絡(luò)應(yīng)用的可用性,、流量重定向、帶寬管理、應(yīng)用安全和DOS shield組合在功能強(qiáng)大的ASIC交換平臺(tái)中，為綜合性的應(yīng)用服務(wù)管理提供了強(qiáng)大的、靈活的和可擴(kuò)展的解決方案。同時(shí)管理員可以更好的對(duì)連接鏈路進(jìn)行控制。因此它可以減低管理成本和Internet連接成本。 Peer Director是專為控制、管理和優(yōu)化Internet路由而設(shè)計(jì)的。隨著網(wǎng)絡(luò)需求的增長(zhǎng)，該解決方案也能隨之成長(zhǎng)。在今天，越來(lái)越多的電子商務(wù)公司、二級(jí)ISP和企業(yè)都開(kāi)始求助于“multi－h(huán)oming”設(shè)計(jì)來(lái)確保百分之百的Internet訪問(wèn)連續(xù)性。它使用一系列先進(jìn)的內(nèi)建式負(fù)載均衡算法，該算法能夠監(jiān)視客戶的數(shù)量和每個(gè)防火墻上的負(fù)載，而FireProof則可以在各單元之間動(dòng)態(tài)地平均分配流量，同時(shí)還可以進(jìn)行雙向的流量管理。該系統(tǒng)是專門為在網(wǎng)絡(luò)中使用高速緩存服務(wù)器陣列的企業(yè)而設(shè)計(jì)的，CSD可以提供優(yōu)化的Internet訪問(wèn)和存儲(chǔ)資源使用率，同時(shí)，也使整個(gè)服務(wù)器群的性能得以最大程度的發(fā)揮。Content Inspection Director (CID )提供了容錯(cuò)和充分優(yōu)化的防病毒掃描和內(nèi)容過(guò)濾功能，從而實(shí)現(xiàn)了高性能、高性價(jià)比和高度可擴(kuò)展的內(nèi)容安全。 DefensePro 是3GBps位速度的安全交換平臺(tái)，它為保護(hù)網(wǎng)絡(luò)化應(yīng)用免遭攻擊威脅提供了高速的入侵防范能力和拒絕服務(wù)攻擊防范能力。 Radware主要產(chǎn)品Radware主要提供八大產(chǎn)品系列，其中：Web Server Director （WSD）可以有效地均衡IP負(fù)載，優(yōu)化網(wǎng)絡(luò)性能。 s Editor39。s Net Best、 Spring Internet World39。s Choice、 Network magazine39。隨著電子商務(wù)的繼續(xù)發(fā)展和 IP 流量的增加，Radware 將繼續(xù)開(kāi)發(fā)創(chuàng)新的解決方案來(lái)提高生產(chǎn)力、消除您網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中的不確定性，并提供從點(diǎn)擊到內(nèi)容的最完美的服務(wù)。Radware的負(fù)載均衡設(shè)備可與cuttingedge技術(shù)及大多數(shù)可知的重要算法協(xié)同運(yùn)作，優(yōu)秀的容錯(cuò)及備援性能帶來(lái)了最佳的可用性，并且避免網(wǎng)絡(luò)中單點(diǎn)故障的發(fā)生。Radware IAS 設(shè)備優(yōu)化了所有公司、電子商務(wù)企業(yè)和全球主要 ISP 的網(wǎng)絡(luò)性能。通過(guò)使用 Radware 獲獎(jiǎng)的 Web Server Director 系列和 Cache Server Director，網(wǎng)絡(luò)在保持 100% 正常運(yùn)行時(shí)間的同時(shí)，可獲得高可用性、容錯(cuò)和冗余性能，并使用 FireProof 和 LinkProof 來(lái)管理防火墻群集和多歸路網(wǎng)絡(luò)的流量。Radware 產(chǎn)品系列中包括為滿足IP應(yīng)用服務(wù)器、防火墻、cache 服務(wù)器和 WAN 鏈接而開(kāi)發(fā)和設(shè)計(jì)的產(chǎn)品。無(wú)論網(wǎng)絡(luò)大小，我們的全線 IAS 設(shè)備都能夠提供完整的、端到端的流量管理解決方案。該類方案能確保動(dòng)態(tài)網(wǎng)絡(luò)的穩(wěn)定性，包括提供最優(yōu)的連續(xù)性、個(gè)性化的安全服務(wù)。 隨著Internet及Intranet市場(chǎng)快速持續(xù)增長(zhǎng)，有關(guān)網(wǎng)絡(luò)流量及IP服務(wù)品質(zhì)的相關(guān)問(wèn)題日趨嚴(yán)重。DefensePro安全解決方案Radware 廣州代表處目 錄1. Radware公司介紹 32. 需求分析 6 網(wǎng)絡(luò)安全面臨的問(wèn)題 63. DefensePro安全解決方案建議 7 系統(tǒng)總體結(jié)構(gòu)圖 7 Radware DefensePro介紹 8 網(wǎng)絡(luò)應(yīng)用安全解決方案 18 攻擊的形式 18 Radware SynApps的安全解決方案 194. 產(chǎn)品說(shuō)明 29 SynApps 29 Radware DefensPro硬件平臺(tái) 33 Application Switch II 交換機(jī) 33 Application Switch III交換機(jī) 36 Radware設(shè)備管理 44 SNMP網(wǎng)絡(luò)管理系統(tǒng) 44 Configware Insite 45設(shè)備管理 45站點(diǎn)配置和管理 45模板和向?qū)?47跨多臺(tái)設(shè)備的智能化管理 47統(tǒng)計(jì)信息的查看和性能監(jiān)視 48報(bào)警 51總結(jié) 51 標(biāo)準(zhǔn)的網(wǎng)絡(luò)瀏覽器 51 利用Telnet或CLI方式： 52 SSH管理手段 521. Radware公司介紹 Radware公司是RAD集團(tuán)的成員之一，RAD集團(tuán)目前擁有14個(gè)各自獨(dú)立的公司，在網(wǎng)絡(luò)及通訊產(chǎn)業(yè)領(lǐng)域提供不同的技術(shù)，服務(wù)不同的市場(chǎng)。1999年在NASDAQ上市(RDWR)，用戶遍及40多個(gè)國(guó)家,。Radware公司作為全球領(lǐng)先的網(wǎng)絡(luò)智能應(yīng)用交換解決方案提供商，其任務(wù)就是通過(guò)最優(yōu)化的資源的使用率，在Internet、Intranet或Extranet應(yīng)用中提供既經(jīng)濟(jì)、功能又強(qiáng)大的網(wǎng)絡(luò)應(yīng)用環(huán)境。Internet 智能應(yīng)用交換(Intelligent Application Switch IAS) 解決方案提供全局和本地網(wǎng)絡(luò)資源之間的智能 IP 負(fù)載均衡，使我們能夠確保網(wǎng)絡(luò)的確定性。Radware IAS 技術(shù)在優(yōu)化服務(wù)資源和控制成本的同時(shí)消除了創(chuàng)建安全網(wǎng)絡(luò)環(huán)境的不確定性。我們的產(chǎn)品結(jié)合市場(chǎng)上豐富的功能設(shè)置，提供了完全可擴(kuò)展的解決方案。它們都可以舒緩服務(wù)器、快取服務(wù)器及防火墻服務(wù)器的擁塞狀況，提高可存取性及可管理性。并與主要的企業(yè)解決方案提供商合作，為客戶提供最先進(jìn)的技術(shù)和服務(wù)。 Radware 擁有最強(qiáng)大的市場(chǎng)分銷渠道，產(chǎn)品目前應(yīng)用于許多財(cái)富500強(qiáng)企業(yè)中，同時(shí)還提供給了全球各大主要的互聯(lián)網(wǎng)絡(luò)服務(wù)供應(yīng)商(ISP)上。Radware在負(fù)載均衡系統(tǒng)上的技術(shù)領(lǐng)先地位可由在Web Server Director產(chǎn)品線上所獲得的眾多獎(jiǎng)項(xiàng)證明，這些獎(jiǎng)項(xiàng)包含PC Magazine Editor39。s Product of the Year、 ZD Internet Lab39。9Los Angeles, Best of Show 及Network Computing magazine39。s Choice。 WSD在Internet和服務(wù)器集群(Server Farms)之間具有戰(zhàn)略性的地位，它可以監(jiān)視所有的用戶請(qǐng)求并在可用的應(yīng)用資源之間進(jìn)行智能化的負(fù)載分配，從而可以提供極好的容錯(cuò)、冗余、優(yōu)化和可擴(kuò)展性能。DefensePro 提供以下功能： 攻擊監(jiān)測(cè)和隔離；入侵防范；拒絕服務(wù)攻擊防范；流量控制；安全更新服務(wù)；安全性報(bào)告。Cache Server Director(CSD) 是一種智能化的 Internet高速緩存服務(wù)器管理和負(fù)載均衡系統(tǒng)。 FireProof 是一種動(dòng)態(tài)負(fù)載均衡系統(tǒng)，可有效地管理多個(gè)防火墻和其它安全設(shè)備上的流量。 LinkProof是一種全面的、易于使用的內(nèi)容交通管理解決方案，適用于具有多個(gè)鏈接的網(wǎng)絡(luò)。LinkProof可以確保完全的網(wǎng)絡(luò)可用性并提供完全可擴(kuò)展的解決方案。LinkProof可以向那些需要“永遠(yuǎn)在線“的multi－h(huán)oming網(wǎng)絡(luò)提供一種創(chuàng)新的完全內(nèi)容流管理解決方案。Peer Director可以使服務(wù)提供商和大型企業(yè)通過(guò)在不同Internet鏈路中實(shí)施流量重定向策略、來(lái)控制他們的Internet路由。提高Internet性能。CertainT100能夠在不降低網(wǎng)絡(luò)性能的情況下為用戶提供快速的SSL交易. CertainT100 SSL加密/解密功能與Radware的流量管理解決方案相結(jié)合,在動(dòng)態(tài)增強(qiáng)網(wǎng)絡(luò)性能的同時(shí)能夠確保高效、連續(xù)和安全的完成電子商務(wù)交易。詳情查詢，請(qǐng)垂訊：瑞得韋爾中國(guó)公司大中國(guó)區(qū)廣州代表處： Tel: 862085118612 Fax: 862038781852Mobile: EMail:2. 需求分析 網(wǎng)絡(luò)安全面臨的問(wèn)題各個(gè)機(jī)構(gòu)所倚重的網(wǎng)絡(luò)化業(yè)務(wù)應(yīng)用正面臨越來(lái)越多的攻擊威脅，因而可能導(dǎo)致重大的財(cái)務(wù)損失。為了成功應(yīng)對(duì)呈爆炸性增長(zhǎng)而且后果日趨嚴(yán)重的應(yīng)用級(jí)別攻擊，各個(gè)機(jī)構(gòu)必須重新審視自己的安全策略。這些挑戰(zhàn)包括：1. 對(duì)分布式應(yīng)用的依賴性不斷增強(qiáng)– 各個(gè)機(jī)構(gòu)日益依賴基于Web 的應(yīng)用和業(yè)務(wù)級(jí)的分布式應(yīng)用來(lái)開(kāi)展業(yè)務(wù)。2. 網(wǎng)絡(luò)化應(yīng)用容易受到攻擊– 由于80、139等端口通常是打開(kāi)的，因此如果不對(duì)借助這些端口穿越防火墻進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行檢測(cè)，網(wǎng)絡(luò)化應(yīng)用將非常容易遭到病毒、入侵、蠕蟲(chóng)和DoS 等形式的攻擊。3. 呈爆炸性增長(zhǎng)的攻擊– 應(yīng)用攻擊的數(shù)量和嚴(yán)重性都在飛快地增長(zhǎng)，僅2003年就出現(xiàn)了4200多種攻擊形式，而且這一數(shù)字每年都會(huì)翻一番。據(jù)報(bào)道，2003年8月成為IT歷史上最糟的一個(gè)月。4. 當(dāng)前的安全工具無(wú)法攔截這些攻擊– 在應(yīng)用層的攻擊面前，防火墻、IDS 以及防病毒網(wǎng)關(guān)等現(xiàn)有的安全工具缺乏相應(yīng)的處理能力、性能和應(yīng)用安全智能，從而使各個(gè)機(jī)構(gòu)暴露無(wú)遺。3. DefensePro安全解決方案建議公司分支機(jī)構(gòu)眾多，各個(gè)機(jī)構(gòu)之間通過(guò)網(wǎng)絡(luò)連接，傳送電子郵件，辦公應(yīng)用和企業(yè)的業(yè)務(wù)應(yīng)用，然而，由于Internet的連接，以及人員的流動(dòng)，為企業(yè)網(wǎng)絡(luò)安全帶來(lái)了不確定性，如果一臺(tái)電腦受到攻擊或感染病毒，當(dāng)安全補(bǔ)丁還未發(fā)布，安全防范措施來(lái)不及實(shí)施時(shí)，很快攻擊就會(huì)波及到整個(gè)企業(yè)網(wǎng)，一旦發(fā)生這種情況，因業(yè)務(wù)停頓帶來(lái)的損失非常巨大。因此，根據(jù)以上用戶的需求分析，我們提出以下Radware DefensePro安全解決方案。根據(jù)以上結(jié)構(gòu)分析，網(wǎng)絡(luò)內(nèi)部可能存在攻擊擴(kuò)散的位置主要分為兩部分：第一是Internet出口部分，直接面臨外部網(wǎng)絡(luò)的威脅，如果這部分受到攻擊，則有可能對(duì)整個(gè)企業(yè)內(nèi)部網(wǎng)造成威脅；第二部分是各個(gè)工作區(qū)的匯聚點(diǎn)之間，如果一個(gè)工作區(qū)內(nèi)部受到病毒感染或攻擊，也會(huì)蔓延到整個(gè)企業(yè)網(wǎng)。如下圖：Cisco 7500Cisco GSRCisco GSRCisco GSRCisco 6509BackBoneCisco 6509UserUserUserUserDefenseProDefenseProMutiSegment