SecureFlowSolution.docx
- 文档编号:3194928
- 上传时间:2022-11-20
- 格式:DOCX
- 页数:9
- 大小:345.49KB
SecureFlowSolution.docx
《SecureFlowSolution.docx》由会员分享,可在线阅读,更多相关《SecureFlowSolution.docx(9页珍藏版)》请在冰豆网上搜索。
SecureFlowSolution
SecureFlow解决方案
RadwareChina
目录
1需求分析3
1.1单一防火墙面临的局限性3
1.2单一IDS面临的局限性3
1.3单一内容安全设备面临的局限性4
2RadwareSecureFlow(SF)解决方案5
2.1方案拓扑图5
2.2防火墙负载均衡解决方案5
2.3IDS负载均衡解决方案6
2.4内容安全设备负载均衡解决方案7
2.5SSL内容检测8
2.6Qos解决方案8
2.7应用安全解决方案9
3方案的优点10
3.1.1高可用性10
3.1.2高性能10
3.1.3高扩展性11
3.1.4完全的安全性11
1需求分析
在当前的Internet环境中,每个企业和客户都必须清楚地认识到恶意软件、外部攻击者、内部个别员工、软件缺陷等所可能导致的危害。
这种危害可能造成极大损失或破坏,并且可能动摇客户对企业网络完整性的信心,因为只要有机会,黑客就会渗透进网络的IP系统并操纵或破坏它们。
为了化解这些层出不穷的风险,企业部署了包括防火墙、虚拟专用网络(VPN)、入侵检测系统(IDS)、防病毒系统和Web安全工具在内的安全性系统。
然而,尽管这样的安全性系统可能可以保护网络的安全,但却无法避免由于安全性功能造成的限制而导致的性能折衷。
因此这方面的挑战就是,对于任何网络,都必须能在轻松实现可扩展性并且不必安排停机和影响性能的情况下部署安全性举措。
此外,安全性系统还必须能应付由于资源不可用而导致的故障并且必须保证所有网络化应用的正常运行。
1.1单一防火墙面临的局限性
网络安全性是许多企业和ISP长期担心的问题,网络安全已经成为了人们关注的焦点。
网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。
尽管目前这代防火墙产品可以较有效地防止网络入侵。
但是,它本身也给企业和ISP网络带来了问题。
尤其是,目前防火墙技术限制了网络的性能和可伸缩性,并且由于防火墙经常成为单故障点,因而它降低了整体网络的可用性。
由于防火墙处于数据路径上,因此,它们可能会限制网络的性能和可伸缩性。
在内部网络和外部网络之间的所有网络流量都必须经过防火墙。
可惜的是,最适于防火墙的处理结构不适于检查高容量的数据包。
由于防火墙必须处理每一个数据包,因而造成了通信速度的下降。
扩展防火墙的性能十分困难,因为它一般要直接升级到功能更强大的硬件平台。
也是由于防火墙安放在数据路径上,因此,它们形成了降低网络资源可用性的单故障点。
尽管多数防火墙可以使用市面上已有的高可用性软件以热备份的配置部署,但是,迄今为止,没有一种解决方案可以支持一个以上的防火墙同时工作。
因此,用户必须购买和配置第二个防火墙和高可用性软件,然后无奈地看着它们闲置在一旁,等待故障将它们激活。
如何实现多台防火墙同时工作,是用户非常关心的问题。
1.2单一IDS面临的局限性
今天很多用户都配置了入侵检测系统(IDS)以检测网络的安全,典型IDS的应用如下图示,基本采用HUB或交换机端口镜像的方式把出入口数据拷贝到IDS,由IDS来判断进出口数据的安全。
显然这种网络结构是不科学的,一旦网络数据量增大,IDS就会因为性能的缺陷而导致丢包,丢包的直接后果就是引致网络安全误报或是漏报,导致IDS形同虚设。
有的用户为了避免IDS丢包,保证IDS可以检测每个进出网络的数据,只好把网络带宽减低,这相当于牺牲网络的性能来确保网络安全,对于今天海量数据传输的网络平台而言,这种“解决方案”显然是不可行的。
如何实现多台IDS分担网络的流量来同时工作保证安全,是用户非常关心的问题。
1.3单一内容安全设备面临的局限性
(1)高可用性低-内容安全设备通常是通过相关的功能软件安装在通用或专用的PC服务器上实现其内容安全检查的功能,操作系统采用通用的windows或Linux等操作系统。
此类设备无法避免PC硬件常见的内存、硬盘、电源或者操作系统等故障造成设备宕机或发生意外故障。
内容安全设备需要串接在网络中,一旦内容安全设备发生故障会造成所有网络应用和客户的中断,造成难以估计的损失。
另外,此类设备需要经常的打操作系统的补丁和重启机器,这也会造成网络的中断。
(2)性能有限-内容安全设备往往糖葫芦结构串接网络中,所有的数据流量都需要依次流经各个内容安全设备,所以这些内容安全设备处理的数据量非常大,但基于PCServer架构的内容安全设备其处理能力是非常有限的(通常只有3-10Mbps吞吐量),在将内容安全产品用于具有高速Internet连接的繁忙网络时,常常会成为瓶颈。
因为在实现对恶意或者不适当内容的检查往往会影响整理网络流量的传输速度,如何既要对公司的网络进行完全的内容检查,又要保证较高的网络吞吐量是当前内容安全设备的面对的难题。
(3)扩展性差
内容安全系统往往随着应用的增长而进行扩展,或者增加新的功能扩展多个内容安全系统,例如如果一台内容服务器无法满足业务增长的要求需要添加服务器分担相关检查工作,或者添加另外的内容安全系统,传统的串接网络无法提供良好的系统扩展性。
(4)安全性差-内容安全设备由于采用通用操作系统,本身操作系统的漏洞会成为系统致命的弱点,甚至内容安全设备本身成为攻击或病毒的牺牲品。
另外,当网络中存在大量的syn攻击,Dos攻击或其他应用级别的攻击发生时,内容安全设备也将因无法处理大量的数据包而造成网络中断。
所以,加强网络中内容安全设备本身的安全性也是不可忽视的问题。
2RadwareSecureFlow(SF)解决方案
2.1方案拓扑图
在企业网络的骨干链路上,串接Radware电信级ASIC硬件内容安全交换机SecureFlow,将防火墙、内容安全设备、IDS连接在SecureFlow上,SecureFlow提供最高3Gbps的业务资料的处理能力以及44G的二层数据转发能力。
SecureFlow按照预先设定的策略,将相关检测流量转发到相关的安全设备上进行内容检查,然后根据流程控制策略转发到下一站实现流量的灵活管理和转发。
SecureFlow可以通过对各个安全子系统的健康检查检测各系统服务器的工作状况,保证将用户流量转发到最优的设备上去,同时避免了安全设备发生故障引起的网络中断,即使所有的网络安全设备宕机,SecureFlow可以将所有业务流量BYPASS过去,保证网络畅通。
2.2防火墙负载均衡解决方案
SecureFlow防火墙负载均衡技术允许防火墙并行运行,使用户无需将防火墙升级就可以最大限度地发挥防火墙的工作效力,扩展防火墙的性能,同时使防火墙不再成为一种单点障点。
与传统包交换机不同,SecureFlow支持第四层以上的交换功能并具有维护不同TCP会话状态的能力,为实现防火墙的负载平衡提供了完美的平台。
在实施防火墙负载平衡技术时,至少需要两台SecureFlow:
一台安装在防火墙的外部,另一台安装在内部。
下图为这种配置的例子。
为保持高可用性,SecureFlow对防火墙的健康进行监控,只将数据包发向健康的防火墙。
SecureFlow通过正常地向每个防火墙另一端对应的SecureFlow发送ping数据包来监控防火墙的健康情况。
如果某个SecureFlow接口不能回应ping命令,累计达到用户定义的次数,这个SecureFlow端口(以及暗指的相关防火墙)就被置成"服务器故障"状态。
同时,对应应用交换机停止向这个接口发送数据流,而将数据流分配到其余的健康的应用交换机接口和防火墙上。
当一个应用交换机接口处于"服务器故障"状态时,其对应的SecureFlow继续以用户配置的速率向它发送ping命令。
在发回第一个成功的ping回应后,该接口(以及防火墙)开始逐渐恢复到服务状态。
防火墙健康监控技术是SecureFlow保证应用程序高可用性的一种方式。
在采用防火墙负载平衡技术的同时使用SecureFlow本身的冗余机制,可以使应用获得更高水平的可用性。
在使用防火墙负载平衡技术的情况下,可以采用SecureFlow冗余(一台处于工作状态,另一台处于热备份状态。
)来构造整个系统无单故障点的网络拓扑结构。
2.3IDS负载均衡解决方案
简单的IDS叠加,只会让所有IDS都收到同样的数据流,也即同样的数据量,因此该方法充其量只起到了IDS备份的作用,而没有达到IDS流量均分以保证网络安全的效果,原因是HUB或交换机是没有会话的能力的,简单的数据复制无法解决该问题。
SecureFlow采用独特的IDS负载均衡技术,可以把不同的网络会话提交给不同的IDS处理,达到负载均分的效果,如下图:
SecureFLow为IDS提供了高可用性负载均衡流量集中和优化。
通过有效配置以过滤经过IDS的流量包括流量来源目标IP应用或者内容,这可以将复制到IDS设备的流量减少20%到40%,从而提供IDS处理的效率。
通过创建集群IDS传感器能够提供高可用性和冗余从而保证在高吞吐量网络段中,IDS可以确保检查网络段的所有流量。
2.4内容安全设备负载均衡解决方案
SecureFlow对于内容安全系统提供了纵向和横向的灵活扩展功能,所谓纵向是指单个内容安全系统,例如AV系统中单台服务器无法满足客户大流量的病毒防范的要求,只需要在AVfarm中添加相关AVserver即可,对于用户是透明的。
所谓横向是指,当客户需要从一个内容安全系统(例如一个AV系统)扩展到两个系统(AV+URL过滤)时,SecureFlow可以流量的定义流程控制,实现多个系统的流量管理。
针对客户内容安全系统,CID可以提供以下几个方面的优化服务:
●灵活丰富的健康检查以及CID的bypass功能大大提升了系统可用性
●对内容安全设备的丰富的负载均衡算法加快了内容检查或防病毒设备的运行速度,同时对于可信流量的处理提高了整个内容安全系统的性能
●CID提供了内容安全系统单系统和多系统纵向横向的灵活扩展性
●应用安全和DosShield保证用户和内容安全设备的完全安全
特别需要强调的是,ContentInspectionDirector与所有类型的内容检查和防病毒设备完全兼容,例如McAfee、TrendMicro、Aladdin等。
配置具有预先筛选算法的CID可以将内容检查速度提高500%。
预先筛选算法能够区分可信和可疑内容,在内容检查设备(如防病毒网关)转发可疑内容进行检查的同时,可信内容可以绕过检查设备。
2.5SSL内容检测
SSL加密目的是为了保证数据安全的传输,然而因为SSL内容加密后,安全设备无法检测其内容,所以如果SSL数据包中含有攻击、蠕虫等有害能量时,安全设备将无能为力,有害数据包将会直接到达企业网络内部。
CID结合RadwareSSL优化设备AppXcel,为企业网络提供全面的SSL内容检测方案。
通过AppXcel将SSL内容解密为明文数据包交给相应的内容安全设备进行检测。
2.6Qos解决方案
带宽管理是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量,然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。
它允许网络管理者完全而有效的控制他们可用的带宽,使用这些功能可以按照一系列标准,指定应用程序的优先次序,同时还考虑了每个应用程序已使用的带宽。
在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。
我们主要可以通过以下两种方式保证关键应用的服务器质量:
●关键应用带宽保证:
通过对关机主机、应用(HTTP、HTTPS等)的带宽保证,确保在任何情况下,关键应用有足够的带宽。
●减少和控制其它应用:
对于消耗带宽的非关键应用,通过限制最高带
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SecureFlowSolution