【正文】 技術實現示意圖：UsersRouterServersL2/3 Switch子網1 子網2子網3DefensePro單臺DefensePro設備真實的物理連接如下圖所示： Radware DefensePro介紹Radware DefensePro 在業(yè)內首先提供了以3千兆位的速度防范入侵和拒絕服務攻擊的安全交換機。DefensePro 的功能和優(yōu)點DefensePro 是3千兆位速度的安全交換平臺，它為保護網絡化應用免遭攻擊威脅提供了高速的入侵防范能力和拒絕服務攻擊防范能力。2. 入侵防范。4. 流量控制。6. 安全性報告。DefensePro 不僅為管理員提供了對網絡流量的全面監(jiān)視能力，而且還使得他們可以實時識別蠕蟲、病毒和異常的流量模式，從而實現對所有活動威脅的完全監(jiān)視。它會通過帶寬管理對所有受影響的應用、用戶或網段進行動態(tài)的帶寬分配限制，從而即時地控制攻擊的影響和危害?；陬愃品绞?，通訊運營商也可以保證用戶的SLA 不會因為對其它用戶發(fā)動的DOS 攻擊而受到影響。通過掃描和保護各個網絡段，DefensePro 可以防止攻擊在機構的網絡段和各個層級之間傳播。入侵防范 應用級別的保護對網絡化應用的依賴性不斷增強也使得公司網絡要面臨病毒、入侵、特洛伊木馬和其它攻擊的威脅。據2003年8月刊的Network World 報道，77% 的應用級別攻擊都是通過80端口發(fā)動的。在掃描過程中，DefensePro 會對數據包進行逐一檢查，并根據惡意攻擊模式執(zhí)行特征比較。為了防范新的攻擊形式，該數據庫會不斷被更新。通過檢查協議的異常性，可以檢測異常的數據包碎片，而這大多數情況下標識了惡意活動。StringMatch Engine 支持并行的特征搜索操作，可對照特征數據庫進行高速的檢測和數據包比較。實時抑制攻擊當檢測到惡意活動時，DefensePro 可能以任何組合形式立即執(zhí)行以下的這些操作：丟棄數據包、重置連接以及向管理位置發(fā)送報告。DefensePro 具有針對不同網絡或網絡段實施不同安全策略的靈活性，從而可以適應為保護不同應用和服務而所需的各種用戶安全要求（對通訊商而言）和網絡段安全要求（對公司而言）。一個打開的端口可能意味著一種服務、應用或者一個后門。De fensePro 的應用安全模塊提供了旨在阻止黑客獲取該信息的全面機制，方法是攔截并修改發(fā)送給黑客的服務器應答。最近的調查1表明，拒絕服務攻擊（DoS ）在2003年導致每個機構平均損失了1427028美元，這個數字比2002年高了5倍。該機制會對照DefensePro 攻擊數據庫中的DoS 攻擊特征列表（潛在攻擊）來比較流量樣本。如果發(fā)現匹配的特征，相應的數據包就會被丟棄。借助高級的取樣機制檢測DoS 攻擊，不僅可實現完全的DoS 和DDoS 防范能力，而且還保持了大型網絡的高吞吐量。這種被稱為SYN Cookie 防范的機制可執(zhí)行延遲綁定（終止TCP 會話）并且在TCP 確認數據包中插入一個ID號來鑒別SYN請求。這種機制可以保證會被只有合法的請求才發(fā)送到服務器，而任何SYN flood 攻擊都將在DefensePro 處被終止，因而不會蔓延到服務器以DefensePro 自身。在消費者實驗室中執(zhí)行的測試表明，Def ensePro每秒最多可攔截100萬個SYN 請求（相當于500Mbps 的速度），同時可保持合法流量的轉發(fā)。在報告中包含有全面的流量信息，比如源IP地址和目標IP地址、TCP/UDP 端口號、物理接口以及攻擊的日期和時間。Configware Insite 的安全報告功能提供了全面的安全報警、報告和統(tǒng)計信息，借此可以查看安全性攻擊摘要，包括前10位攻擊、總的攻擊流量、按I P地址分類的攻擊，等等。借助插件，它還可以在HPOV、Unicenter 和Tivoli 管理應用系統(tǒng)上運行。通過控制資源和區(qū)分流量的重要程度，DefensePro 流量控制功能可以限制處于攻擊之下的各個應用所占用的帶寬，同時保證所有安全流量能獲得充足的資源。Radware 在Web 上的安全更新服務Radware 安全更新服務提供了即時的和經常性的安全過濾器更新，這為防范包括病毒、蠕蟲和惡意攻擊特征在內的最新應用安全危害提供了可能，從而可實現對應用、網絡和用戶的完全保護。Configware Insite 的用戶可以享受到自動更新帶來的便利。如果有這樣的更新，ConfigwareInsite 會自動下載它們，然后通知管理員它已下載了新的攻擊特征。本節(jié)將介紹DefensePro 硬件平臺的四個主要組件，它們分別是：? 交換結構和交換ASIC? 網絡處理器? StringMatch Engine? 高端的Power PC RISC 處理器44 Gbps 的交換結構amp。借助業(yè)內最高的端口密度和最高的交換性能，一臺DefensePro 設備就可以執(zhí)行對多個網絡段的雙向掃描。這為公司和通訊商的內部網絡提供了完全的安全性（在所有網絡段中避免蠕蟲、病毒和DoS 攻擊蔓延）以及可保護任何網絡配置的靈活性。尤其是，它們可以用每秒100萬個SY N 請求的空前速率來防范拒絕服務攻擊和任何已知或未知的SYN flood攻擊。如果需要執(zhí)行更深入的數據包檢查（第7層掃描），則會將數據包轉發(fā)給StringMatch Engine（專用的硬件卡，是專為提供更快速的特征和模式比較以識別攻擊特征而設計的）。與此結果相對應，網絡處理器會轉發(fā)數據包或丟棄數據包然后重置有關會話。Radware StringMatch Engine 基于ASIC的專用安全硬件加速器Radware StringMatch Engine是一種專用的硬件卡，旨在提供更快速的數據包檢查和特征比較。StringMatch engine 提供了9千兆位速度的自由范圍搜索和16千兆位速度的固定偏移搜索，其性能無與倫比。StringMatch Engine 比800Mhz 的Pentium III CPU 快1000倍，比Pentium 4 CPU 快300倍。這是業(yè)內最快的處理器，它負責管理所有安全性會話并且區(qū)分它們的優(yōu)先級。借助2個高端的RISC 處理器（每個都相當于一個G4工作站）、2個網絡處理器以及端口級別負責流量轉發(fā)的44 Gbps 交換ASIC ，DefensePro 安全交換架構提供了無與倫比的性能和計算能力，可以滿足將來在應用安全方面的任何需求。這種在網絡的網關位置進行的嵌入式安裝允許DefensePro 以數千兆位的速度執(zhí)行實時而深入的數據包檢查和雙向掃描，從而保護所有企業(yè)流量免遭1200多種應用級別的攻擊（包括蠕蟲、病毒和DoS 攻擊）。通過實施帶寬管理策略，可以即時隔離攻擊、蠕蟲和病毒，防止它們傳播到各個樓層/網段，從而限制了它們的危害程度，并且確保了保持業(yè)務運行所需的可用性和性能。另外還有一種流行的配置。在這樣的配置中，DefensePro 同時連接了多個網絡段。借助該配置，用戶通過一臺設備就可以實現對所有網絡段的雙向掃描，因而改進了隔離效力，并且增強了對源自機構網絡內外的攻擊、蠕蟲和病毒的防范能力。應用級層的攻擊在當今的網絡攻擊中占了絕大多數，為了抑制這些攻擊，Gartner2建議企業(yè)在作出安全方面的決策時除了考慮簡單的靜態(tài)協議過濾外，還要考慮對應用內容進行深入的數據包檢查。DefensePro 獨具的多層安全架構組合了數種攻擊檢測機制（針對1,200多種攻擊特征和協議異常），它們聯同高級的防范工具（如DoS Shield、SYN cookie和應用安全模塊）一起，提供了對惡意攻擊和DoS攻擊的完全防范能力。這使得DefensePro 成為高速/高性能環(huán)境中的應用安全性能的基準。簡單的嵌入式安裝 借助DefensePro 的透明本性，可將它無縫地集成到任何網絡環(huán)境中，從而不必對網絡元素的設置進行任何更改即可實現實時保護。攻擊隔離 通過集成的流量控制功能，可以預先定義策略，從而防止蠕蟲、病毒和DoS 攻擊傳播到其他用戶和網絡段中。總結一種能用數千兆位的速度對所有網絡流量進行雙向掃描并且可以實時防范應用級別攻擊（比如蠕蟲、病毒、木馬和Dos 攻擊）的內置安全解決方案，無疑已成為當務之急。作為首個可針對實時隔離、攔截和防范各種攻擊提供數千兆位的數據包深入檢查速度和特征比較速度的安全交換機，DefensePro 滿足了這種需求。這個獨立的平臺管理系統(tǒng)使您可以非常方便地遠程連接和管理設備。ConfigWare Instie還提供統(tǒng)計資料，幫助您更好地了解網絡的流量需求，并有效地管理服務器資源。Radware 的配置可以安裝成為網橋，保證簡單快速的安裝。有了 SYNFlood 防護，您可以給每個服務器分配一個最大連接閾值，保護其不會受到惡意攻擊、耗費資源的 SYN 攻擊。 網絡應用安全解決方案 攻擊的形式Exploits（漏洞）術語“漏洞”指那些眾所周知的 bug，黑客可以利用它們進入系統(tǒng)。緩沖區(qū)溢出 bug 的產生是由于未對輸入進行雙重檢查的錯誤導致的，它允許大容量的輸入（如包含幾千個字符的登錄姓名）“溢出”到存儲器的其它區(qū)域，從而導致系統(tǒng)崩潰/非法進入系統(tǒng)。 崩潰：試圖使運行在系統(tǒng)上的軟件崩潰，或者使整個計算機崩潰。 中斷連接：試圖使兩個系統(tǒng)之間的通信中斷，或者使系統(tǒng)與整個網絡的連接中斷。 減慢速度：降低系統(tǒng)或其網絡連接的速度如果系統(tǒng)崩潰，它常常會重新啟動，但如果“掛起”，則會一直保持這種狀態(tài)直到管理員手動停止并重新啟動它。黑客為了摧毀 Internet 站點而控制成百上千的計算機。以前認為主要的 Internet 網站應當對這樣的攻擊具有免疫能力，因為它們的帶寬比任何可能發(fā)動這種攻擊的單個計算機都要大很多。后門 后門是計算機系統(tǒng)安全性的一個漏洞，它是設計者或者維護者故意留下來的。在防止未授權訪問這個問題的處理過程中，有可能在一些情況下錯誤地中斷一次正常的會話。特洛伊木馬特洛伊木馬是隱藏在應用程序內部的一段代碼，它執(zhí)行一些秘密的操作。這些程序都是遠程用戶執(zhí)行的，它們允許未授權的用戶或者黑客訪問網絡。默認安裝攻擊系統(tǒng)已知的默認值是最常見的黑客攻擊方式之一。例如： Netscape Navigator 和 Microsoft Internet Explorer bugs 都允許黑客從磁盤檢索文件探測器使用探測器來掃描網絡或主機以獲得網絡上的信息。有兩種常見類型的探測器。Radware應用交換機具有SynApps 架構的應用安全模塊，此模塊可以保護web 服務器免受1200 多個攻擊信號的攻擊。它提供了基于網絡的安全性，并使用了網絡信息和基于信息的應用。SynApps 架構的應用安全模塊分為 5 個部分：l 檢測引擎（分類器）負責對網絡流量（目前為 IP 流量）進行分類，并將其與設備上安裝的安全策略進行匹配。l 跟蹤模塊不是所有的攻擊都是由具有特定模式或者信息的數據包來啟動的。因此，我們使用基于5個獨立組件的歷史機制，以不同的方式來識別每一個組件： 通過目標 IP 識別 通過過濾器類型識別 丟棄數據包 (Drop, Reject) 發(fā)送重置（丟棄數據包并向發(fā)送者發(fā)送 Reset（重置）） SNMP Trap（用于 Report Module）設備發(fā)送（或者保留在其表中）的消息包含下列內容之一： 攻擊結束信息（結束日期或時間、攻擊名稱、源地址、目標地址）Radware SynApps 架構具有幾大優(yōu)點：基于交換架構，而不是運行在一般H/W 上的S/W?？梢耘c任何服務器H/W 和操作系統(tǒng)共同工作。不要求代理報告的日常流量，因此提高了整體的網絡性能。使用SNMP 進行安全的通信– 通常SNMP 是不安全的，但這種新的架構應用了更復雜的安全版本的SNMP。而使用SynApps 架構時，輸入端口被映射到另一個可配置的輸出端口，每次使用不同的端口來掩飾此端口的能力可以防止服務器受到攻擊。SynApps 模塊能夠處理Web 環(huán)境中的以下攻擊：拒絕服務(DOS) 攻擊分布式拒絕服務(DDOS)攻擊l 緩沖區(qū)溢出/超限利用已知的Bugs利用誤配置和默認的安裝問題來進行攻擊在攻擊前探測流量未授權的網絡流量后門/特洛伊木馬端口掃描(Connect amp。它采用了先進的智能取樣算法，可以對網絡中的可疑流量進行取樣，如果發(fā)現攻擊，將會阻止攻擊，保證正常的用戶訪問可以進行。在按休眠攻擊檢查數據包之前用戶可以設置通過設備的數據包數目，以便控制采樣率（數據包采樣率）。每當流量與攻擊過濾器相匹配時，計數器的記數就會增加。由于 DoS 攻擊的性質，攻擊過濾器可能會與合法的流量模式相匹配。達到警告閾值時，將向用戶發(fā)送一個警告信息，通知有關攻擊的信息。檢測到攻擊時，可能會執(zhí)行以下幾個操作：l 與當前活動的攻擊匹配的數據包將被阻塞。在一個攻擊的老化周期持續(xù)時間內，當匹配攻擊過濾器的流量少于攻擊終止閾值時，攻擊的狀態(tài)由“當前活動的”還原為“休眠”。在這些周期內，如果該攻擊的計數器不超過終止閾值，則認為此攻擊已結束，并且其狀態(tài)將還原為“休眠”。用戶也可以將攻擊預配置為“當前活動的”。最多可以定義 2048 個休眠攻擊。 Web 應用程序掃描 可以實時檢測并防止專門的TCP 連接TCP Syn 、TCP FIN 和TCP reverse IDENT 掃描方法。搜索從外界流入的或者從內部向外發(fā)出的數據包中的攻擊信息，它在防止流入通道上出現新的漏洞方面非常有用，并且對輸出通道進行檢測和保護。 靈活的拓撲結構– 因為此應用安全模塊被內置在Radware 的設備中，所以它能夠支持交換的拓撲結構。反掃描子模塊子模塊解決了掃描器和信息收集工具的問題。例如： 1. 通過掃描目標并獲得開放端口的列表，攻擊者可以知道在目標計算機上運行了哪些服務，然后他就能夠使用這些信息實施攻擊。在目前的市場上還沒有工具能夠阻止掃描。