RADWARE针对企业用户的.docx

《RADWARE针对企业用户的.docx》由会员分享，可在线阅读，更多相关《RADWARE针对企业用户的.docx（36页珍藏版）》请在优知文库上搜索。

1、RADWARE针对企业用户的整体解决方案:radware以色列Radware有限公司北京代表处2007年1月目录一、 行业背景4二、 企业用户网络应用现状52 企业网络应用现状简述52.1 1广域网链路现状62.2 网络平安防护现状72.3 网络应用现状83 企业网络中存在的缺陷83.1 广域网链路存在的缺陷83.2 网络平安防护存在的缺陷93.3 网络应用存在的缺陷10三、 企业网络应用需求分析111广域网链路需求分析112网络平安防护需求分析123网络应用需求分析13四、 RadWare解决方案141 .RadWare公司简介142 RadWare解决方案介绍152.1RadWare解决方

2、案拓扑图152.2RadWare解决方案简介162. 2.1RadWare连接解决方案局部简介173. 2.2RadWare平安解决方案局部简介12.2.3RadWare应用解决方案局部简介193RadWare技术介绍204. 1DefenSePro一实现入侵和DoS攻击的实时防范203. 1.1DOSShie1.d实现攻击工具防范204. 1.2BehaViOra1.DoS基于网络行为模式实现自动攻击防范215. 1.3入侵防范防范各类应用攻击236. 1.4带宽管理247. 1.5其它平安相关功能248. 1.6DefensePro的平安报告253.2 1.inkProof链路优选方案25

3、3. 2.1链路健康捡测264. 2.2流入(InbOUnd)流量经理265. 2.3流出(Outbound)流量处理286. 2.4独特优势-“就近性”运算283.3 SeCUreFIOW对防御系统进行中央管理293. 3.1保证各平安工具的高可用性304. 3.2提升各平安工具的处理性能305. 3.3统一和可升级的平安体系结构303.4 APPDireCtor-实现效劳器负载均衡303.4.1 4.1健康状况检查313.4.2 交易完整性的可靠保证313.4.3 完全的容错与冗余313.4.4 4.4通过正常退出效劳保证稳定运行313.4.5 智能的效劳器效劳恢复313.4.6通过负载均

4、衡优化效劳器资源323.4.7应用交换323.4.8UR1.交换323.4.9内容交换323.5AppXce1.智能应用加速323.5.1SS1.加速323.5.2集中处理多设备应用程序和SS1.协议管理333.5.3TCP优化333.5.4多路HTTP/s协议343.5.5高速缓存343.5.6h1.1.p压缩343.5.7数据压缩34五、RadWare整体解决方案的优势35RADWARE针对企业用户的整体解决方案一、行业背景人类社会在迸入80年代以来，以现代通信技术与计算机、网络技术引导的技术革命取得了巨大的成功.基于Internet及Intranet技术得到了夸追的应用。大大地推动了全球

5、信息化的进程,改变了人类传统的生产和生活方式。促进了知识经济的成长，加快了世界经济一体化进程.对信息的学筌、利用与传播成为影响生产力开展水平和缘合国力增强的关键因素，信息化程度已成为国家开展潜力和开展水平的重妻标志.然而一个国家信息化的程度如何最终表达在企业信息化的程度.因为企业才是跋富最终的创造者。也就是说，企业信息化的程度是衢量一个国宓信息化水平上下的一个最史要的标志。所谓企业信息化是指“企业利用现代信息技术手段，在生产、经管.管理过程中，有效地开发、利用信息姿源的过程.实现金业信息化，曳是企业充分运用通讯.计算机和网络技木等现代信息技术与装备，果集.如工、处理、传递和贮存信息，对信息资源

6、进行有效龙开发与利用.企业能否有效地开发利用信息、优化信息费源的配置,决定者企业管理效军上下.整张米质优劣和竞争优势那羯。开展企业信息化有利于企业实现馆息资源的共享、有利于加国企业的管理、决策、运营的现代化与信息化.近年来，很多企业都建立了与互联网相违的企业内部网（专网），大大促进了我国的企业信息化进程.旗着中国市场逐步开放，许多国内企业走出国门谋求更大的市爆空间,在回络信息技术高速开茨的今天，企业信息网塔是否高效.畅通、平安在恒大程度上影响企业的生产、销修、管理等各个环节。对于现代企业来说,及时了解客户的需求和市场动态非常IE要.就立一个务效、可隼的企业信息何络就显得尤为迫切。企业网内的应用

7、大致包括如下内容：会业不同部门之间的文件资溉共享.打印共享：收发电子邮件、区珞传真,召开视阿络电话会议最大限度降低办公本钱：企业臼有的办公OA系统、ERP、CRiI等信息管理系统：企业速立自己的门户网站，通过网烙宣传企业或开展电子商务.然而,就在我们得益于现代网络通信技术拾我们将来便利的同时,我们也体会到了阿络拾我们带来的灾雉.东囱外部的蓄意攻击、计算机病毒的侵袭.和来自商业间谍对信息数据的窃取.破坏使我们防不胜防：何端平安问题得到了普遏的重视.如何为企业用户提供一个平安、杭定的网络应用平台巳成为一个日益突出的同题.Radware公司针对日益突出的怅络平安问我推出了一系列网络平安产品,旨在推动

8、我国同络平安事业的开展,为我国的信息网络杂驾护航。为广网的网络用户提供一个平安.稳定的网络应用平台。本方案就是针对我国企业用户提供的一套婺体解决方案。二、企业用户网络应用现状2企业网络应用现状简述一个典型的企业的网络拓扑结构图如以下图所示:可以看出上述典型的企业同络大致由3局部组成: 网塔连接局部 网塔平安局部 网络应用局部下面我们就这三局部做例要搂述：2.1 广域网倭路现状网塔连接局航还可以分为Internet连接局部和勺网赛接局部：Internet爰接局部IntCrnC1.连接局部是指企业何络数据中心通过ISP运苕商的铁路连接到IntCrnc1.用于企业对外的网上公共信息发布.为Intem

9、e1.用户提俣企业网上应用，同时企业内部用户也可以访何Internet上的资源；专网爰接局部专网连接局部用于企业网络送接各地分支机灼.分支机构的内部用户遗过专网连接访问数据中心的应用效劳器，例如：WEB效劳赛，E-Mai1.效劳器等，同时也可以通过数据中心的Internet链路访问Internet上的链源。2.2 网络平安防护现状网给平安局部通常由防火墙、入侵检测系统（11）S）和防病毒网关等没备构成，用于制定内部信息夷渡的不同访问策略.保护数据中心的应用免受来自Internet的网络攻击。网培应用由企业对外WUW信息发布系统，业务应用系统和后台数据库系统姐成3企业网络中存在的缺陷从上图中可以

10、看出，在企业网络中存在很多网络设计上的缺陷,总结是来可以分为以下三个局部的问题： 网络连接局部存在的问题 网络平安局部存在的问刖 网络应用局部存在的问题下面我们就这三局部存在的问题做详维描述：3.1 广域网倭路存在的缺陷企业网塔连接局新存在的问题可以分为以下两局部：企业中央机构Internet辑珞存在的问J:各分支机构到中央机构之间广域网钺路存在的同底：企业中央机构Internet路存在的向题： 链路的单点失效性：果用单一Internet连接钱路存在单点失效性,一旦该钱路出现故停得造成整个回络的瘫痪： 钱路性能的板颈：单一Internet连接链路的带宽资源是有限的，无法满足企业内部金体用户对网

11、络访问Internet时带宽不断增长的需求,同时也无法大量的Internet上的用户对企业的访问； 访问快慢不一内部用户访问internet资源时，或外部用户访问企业发布的内部资源时，会受到ISP提供商的不同,而产生访间快慢不一的现像.例如：如果企业采用的ISP是通过网通接入的,在访问处于电信的资源时.会由于不同ISP之间互连互通的问题遗成访问变慢.而访间网通资源时，就不会存在同1. 两络平安防护能力弱：目前Interne1.上的各种各样的网焙攻击层出不穷，路由器自身对网塔攻击的防护能力非常有娘，1.)OSDDOS网珞攻击会对广域网络由器产生产重的影响:各分文机构到中央机构之网广域网心存在的同

12、用t 链路的单点失效性：各省级机关到中央机构之间采用单一广域网检路.存在单点失效性,一旦该钱路出现故障将送戌该否班机关无法访司中央机构和Internet； 链路性能的根预：各省级机关到中央机构之间采用低速的广域网销路(FrameRe1.ay,DDN),而各分支机的用户访问中心的应用效劳卷的网络流量，以及各分支机的用户访问InteEet的回络流量都荽经过这条单一的广域同链路.因比无法满足用户对网络带宽不断沿长的需求： 网塔平安防护能力弱：各省鳏机关中收病毒感染的机器会向中央机构发送攻击数据包,造成各省级机关到中夬机沟之间的链路拥塞.从而影响网络中的关缝应用的正常运行3.2网络平安防护存在的缺陷

13、两络平安谀备的单点失效性：单一的眄络平安设备存在单点失效性，例如：图中的昉火嫣和防病毒设备一旦出现问题，格造成整个网格的; 两络平安设各柢能的瓶预：网烙平安说各由于要对迸出阿络的败据包进行平安性检衣，与网络路由器和网烙交换机相比.性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有3-10Mbps.因此网络中的平安设备通常都是制约网络传输速度的瓶弥点。 平安体系架构存在漏洞：防火墙可以基于网络中的TCP、UDP埔口对网络流量迸行访问控制，并且可以对基于状态的协仪进行帙议状态检登,因此防火堆通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于国络七层中的网络攻击进行防护例如：馍虫入侵

14、病寻入侵.,后门攻击。IDS可以对网络中的数据包进行濠入的分析，可以检查到资科包中第7箧的信息，它具备演时对可疑谎置进行检证和识别的能力。但是IDS最大的问题是IDS并不能阻止攻击的入侵,仅仅能发出告警.而此时何络攻击巴始进入到网焙内部.目前我们面临着手段各异形式多样的迎合式攻击威胁,这些攻击中应用圾层的攻击占了绝大多数，为了非制这些攻击，GartnCr咫议“在作出平安方密的决策既除了考虑简单的静态协议过港外.还要手定时应用内容（网络七层中的攻击特征）迸行深入的数挣包检查，并阻挡该攻击”.因此.企业在面临多种多样的攻击鼠肺时,急需找到更产率的平安1.护手段。3.3网络应用存在的缺陷 网烙应用的

15、可享性较爰：应用效劳器由于效劳器硬件的稳定性.流量压力超截、网络攻击等情况廷常会出现意外宕机的情况，从而无法保迂网珞应用的7x24小时的持块性效劳. 网焙应用的仕能瓶软：在网络应用系统中，通常会采用多台效劳器同时提供效劳的方式.但是由于网络中的流量并不均衡，因比垃常会出现某台效劳器由于访同量过大而宕机,造成网络应用性能的不错定，从而影响到整个网络应用系统的性能. 网烙应用的平安性较爰：从上图中可以看出现有网络中的平安性防妒机制的特点是： 现有的平安性防护机制通常是针对来自外网的攻击： 缺乏针对来自内网的攻击防护机制： 现有的平安性防护机制通常是针对整体网络层面的攻击防护，即针对网络IP层、TCPZtDP层的网格4层以下的攻击防护： 缺乏针对具体的、特定的企业网络应用的特点而专门制定的符合企业网络应用的基于何络7层防护的平安仕防护机制；三、企业网络应用需求分析1广域网链路需求分析网