乐虎国际【官方平台网站】

SecureFlow解决方案

1 需求分析

在当前的 Internet 环境中,每个企业和客户都必须清楚地认识到恶意软件、外部攻击者、内部个别员工、软件缺陷等所可能导致的危害。这种危害可能造成极大损失或破坏,并且可能动摇客户对企业网络完整性的信心,因为只要有机会,黑客就会渗透进网络的 IP 系统并操纵或破坏它们。为了化解这些层出不穷的风险,企业部署了包括防火墙、虚拟专用网络(VPN)、入侵检测系统(IDS)、防病毒系统和 Web 安全工具在内的安全性系统。

然而,尽管这样的安全性系统可能可以保护网络的安全,但却无法避免由于安全性功能造成的限制而导致的性能折衷。因此这方面的挑战就是,对于任何网络,都必须能在轻松实现可扩展性并且不必安排停机和影响性能的情况下部署安全性举措。此外,安全性系统还必须能应付由于资源不可用而导致的故障并且必须保证所有网络化应用的正常运行。

1.1 单一防火墙面临的局限性

网络安全性是许多企业和ISP长期担心的问题,网络安全已经成为了人们关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。

尽管目前这代防火墙产品可以较有效地防止网络入侵。但是,它本身也给企业和ISP网络带来了问题。尤其是,目前防火墙技术限制了网络的性能和可伸缩性,并且由于防火墙经常成为单故障点,因而它降低了整体网络的可用性。

由于防火墙处于数据路径上,因此,它们可能会限制网络的性能和可伸缩性。在内部网络和外部网络之间的所有网络流量都必须经过防火墙。可惜的是,最适于防火墙的处理结构不适于检查高容量的数据包。由于防火墙必须处理每一个数据包,因而造成了通信速度的下降。扩展防火墙的性能十分困难,因为它一般要直接升级到功能更强大的硬件平台。

也是由于防火墙安放在数据路径上,因此,它们形成了降低网络资源可用性的单故障点。尽管多数防火墙可以使用市面上已有的高可用性软件以热备份的配置部署,但是,迄今为止,没有一种解决方案可以支持一个以上的防火墙同时工作。因此,用户必须购买和配置第二个防火墙和高可用性软件,然后无奈地看着它们闲置在一旁,等待故障将它们激活。如何实现多台防火墙同时工作,是用户非常关心的问题。

1.2 单一IDS面临的局限性

今天很多用户都配置了入侵检测系统(IDS)以检测网络的安全,典型IDS 的应用如下图示,基本采用HUB或交换机端口镜像的方式把出入口数据拷贝到IDS,由IDS来判断进出口数据的安全。

显然这种网络结构是不科学的,一旦网络数据量增大,IDS就会因为性能的缺陷而导致丢包,丢包的直接后果就是引致网络安全误报或是漏报,导致IDS形同虚设。有的用户为了避免IDS丢包,保证IDS可以检测每个进出网络的数据,只好把网络带宽减低,这相当于牺牲网络的性能来确保网络安全,对于今天海量数据传输的网络平台而言,这种“解决方案”显然是不可行的。如何实现多台IDS分担网络的流量来同时工作保证安全,是用户非常关心的问题。

1.3 单一内容安全设备面临的局限性

(1)高可用性低 -内容安全设备通常是通过相关的功能软件安装在通用或专用的PC服务器上实现其内容安全检查的功能,操作系统采用通用的windows或Linux等操作系统。此类设备无法避免PC硬件常见的内存、硬盘、电源或者操作系统等故障造成设备宕机或发生意外故障。内容安全设备需要串接在网络中,一旦内容安全设备发生故障会造成所有网络应用和客户的中断,造成难以估计的损失。另外,此类设备需要经常的打操作系统的补丁和重启机器,这也会造成网络的中断。

(2)性能有限-内容安全设备往往糖葫芦结构串接网络中,所有的数据流量都需要依次流经各个内容安全设备,所以这些内容安全设备处理的数据量非常大,但基于PC Server架构的内容安全设备其处理能力是非常有限的(通常只有3-10 Mbps 吞吐量),在将内容安全产品用于具有高速Internet 连接的繁忙网络时,常常会成为瓶颈。因为在实现对恶意或者不适当内容的检查往往会影响整理网络流量的传输速度,如何既要对公司的网络进行完全的内容检查,又要保证较高的网络吞吐量是当前内容安全设备的面对的难题。

(3)扩展性差

内容安全系统往往随着应用的增长而进行扩展,或者增加新的功能扩展多个内容安全系统,例如如果一台内容服务器无法满足业务增长的要求需要添加服务器分担相关检查工作,或者添加另外的内容安全系统,传统的串接网络无法提供良好的系统扩展性。

(3)安全性差-内容安全设备由于采用通用操作系统,本身操作系统的漏洞会成为系统致命的弱点,甚至内容安全设备本身成为攻击或病毒的牺牲品。另外,当网络中存在大量的syn攻击,Dos攻击或其他应用级别的攻击发生时,内容安全设备也将因无法处理大量的数据包而造成网络中断。所以,加强网络中内容安全设备本身的安全性也是不可忽视的问题。

2 Radware SecureFlow(SF)解决方案

2.1 方案拓扑图

在企业网络的骨干链路上,串接Radware电信级ASIC硬件内容安全交换机SecureFlow,将防火墙、内容安全设备、IDS连接在SecureFlow上,SecureFlow提供最高3G bps的业务资料的处理能力以及44G的二层数据转发能力。SecureFlow按照预先设定的策略,将相关检测流量转发到相关的安全设备上进行内容检查,然后根据流程控制策略转发到下一站实现流量的灵活管理和转发。SecureFlow可以通过对各个安全子系统的健康检查检测各系统服务器的工作状况,保证将用户流量转发到最优的设备上去,同时避免了安全设备发生故障引起的网络中断,即使所有的网络安全设备宕机,SecureFlow可以将所有业务流量BYPASS过去,保证网络畅通。

2.2 防火墙负载均衡解决方案

SecureFlow防火墙负载均衡技术允许防火墙并行运行,使用户无需将防火墙升级就可以最大限度地发挥防火墙的工作效力,扩展防火墙的性能,同时使防火墙不再成为一种单点障点。

与传统包交换机不同,SecureFlow支持第四层以上的交换功能并具有维护不同TCP会话状态的能力,为实现防火墙的负载平衡提供了完美的平台。

在实施防火墙负载平衡技术时,至少需要两台SecureFlow:一台安装在防火墙的外部,另一台安装在内部。下图为这种配置的例子。

为保持高可用性,SecureFlow对防火墙的健康进行监控,只将数据包发向健康的防火墙。SecureFlow通过正常地向每个防火墙另一端对应的SecureFlow发送ping数据包来监控防火墙的健康情况。如果某个SecureFlow接口不能回应ping命令,累计达到用户定义的次数,这个SecureFlow端口(以及暗指的相关防火墙)就被置成"服务器故障"状态。同时,对应应用交换机停止向这个接口发送数据流,而将数据流分配到其余的健康的应用交换机接口和防火墙上。

当一个应用交换机接口处于"服务器故障"状态时,其对应的SecureFlow继续以用户配置的速率向它发送ping命令。在发回第一个成功的ping回应后,该接口(以及防火墙)开始逐渐恢复到服务状态。

防火墙健康监控技术是SecureFlow保证应用程序高可用性的一种方式。在采用防火墙负载平衡技术的同时使用SecureFlow本身的冗余机制,可以使应用获得更高水平的可用性。在使用防火墙负载平衡技术的情况下,可以采用SecureFlow冗余(一台处于工作状态,另一台处于热备份状态。)来构造整个系统无单故障点的网络拓扑结构。

2.3 IDS负载均衡解决方案

简单的IDS叠加,只会让所有IDS都收到同样的数据流,也即同样的数据量,因此该方法充其量只起到了IDS备份的作用,而没有达到IDS流量均分以保证网络安全的效果,原因是HUB或交换机是没有会话的能力的,简单的数据复制无法解决该问题。

SecureFlow采用独特的IDS负载均衡技术,可以把不同的网络会话提交给不同的IDS处理,达到负载均分的效果,如下图:

SecureFLow为 IDS提供了高可用性负载均衡流量集中和优化。通过有效配置以过滤经过 IDS 的流量包括流量来源目标 IP 应用或者内容,这可以将复制到 IDS 设备的流量减少 20% 到 40%,从而提供IDS处理的效率。通过创建集群IDS 传感器能够提供高可用性和冗余从而保证在高吞吐量网络段中,IDS可以确保检查网络段的所有流量。

2.4 内容安全设备负载均衡解决方案

SecureFlow对于内容安全系统提供了纵向和横向的灵活扩展功能,所谓纵向是指单个内容安全系统,例如AV系统中单台服务器无法满足客户大流量的病毒防范的要求,只需要在AVfarm中添加相关AVserver即可,对于用户是透明的。所谓横向是指,当客户需要从一个内容安全系统(例如一个AV系统)扩展到两个系统(AV+URL过滤)时,SecureFlow可以流量的定义流程控制,实现多个系统的流量管理

针对客户内容安全系统,CID可以提供以下几个方面的优化服务:

  •  灵活丰富的健康检查以及CID的bypass功能大大提升了系统可用性
  •  对内容安全设备的丰富的负载均衡算法加快了内容检查或防病毒设备的运行速度,同时对于可信流量的处理提高了整个内容安全系统的性能
  •  CID提供了内容安全系统单系统和多系统纵向横向的灵活扩展性
  •  应用安全和Dos Shield保证用户和内容安全设备的完全安全

特别需要强调的是,Content Inspection Director 与所有类型的内容检查和防病毒设备完全兼容,例如McAfee、Trend Micro、Aladdin 等。

配置具有预先筛选算法的CID 可以将内容检查速度提高500%。 预先筛选算法能够区分可信和可疑内容,在内容检查设备(如防病毒网关)转发可疑内容进行检查的同时,可信内容可以绕过检查设备。

2.5 SSL内容检测

SSL加密目的是为了保证数据安全的传输,然而因为SSL内容加密后,安全设备无法检测其内容,所以如果SSL数据包中含有攻击、蠕虫等有害能量时,安全设备将无能为力,有害数据包将会直接到达企业网络内部。

CID结合Radware SSL优化设备AppXcel,为企业网络提供全面的SSL内容检测方案。通过AppXcel将SSL内容解密为明文数据包交给相应的内容安全设备进行检测。

2.6 Qos解决方案

带宽管理是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量,然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。它允许网络管理者完全而有效的控制他们可用的带宽,使用这些功能可以按照一系列标准,指定应用程序的优先次序,同时还考虑了每个应用程序已使用的带宽。在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。

我们主要可以通过以下两种方式保证关键应用的服务器质量:

  •  关键应用带宽保证:通过对关机主机、应用(HTTP、HTTPS等)的带宽保证,确保在任何情况下,关键应用有足够的带宽。
  •  减少和控制其它应用:对于消耗带宽的非关键应用,通过限制最高带宽甚至禁止的方式来较少和避免对关键应用的影响。

2.7 应用安全解决方案

应用安全模块包含的一组功能集使Radware 的产品能够保护敏感的网络资源不受到各种安全问题的影响。此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的Internet 资源中隐藏起来。同时还能够为使用SynApps 流量管理的敏感资源提供高级的安全性,这包括检测并预防2600多个恶意攻击信息,包括特洛伊木马、后门、DoS 和DdoS 攻击。

此模块能够处理以下攻击:

  • 拒绝服务 (DOS/DDOS) 攻击
  • 缓冲区溢出/超限
  • 利用已知的 Bugs,误配置和默认的安装问题来进行攻击
  • 在攻击前探测流量
  • 未授权的网络流量
  • 后门/特洛伊木马
  • 端口扫描 (Connect & Stealth)

3 方案的优点

3.1 高可用性

高可用性的内容检查功能提供了容错防病毒扫描和对恶意内容的不间断防范。SECUREFLOW 可监视防火墙、内容安全设备、IDS的健康状况,检测实时故障并将流量复位向到性能最佳的资源,从而确保了内容安全性服务的完全可用性和不停机操作。

在网络的通道上配置了防火墙和防病毒网关,因此如果防火墙和防病毒网关发生故障将导致Internet连接中断,造成巨大的停机损失。SecureFlow 的先进的健康检查系统能够保证将内容定向到最合适的资源,从而确保所有内容检查设备的高可用性,预防Internet 连通性损失和减少停机时间。

3.2 高性能

千兆位元速度的防病毒服务提供了最佳性能的内容过滤。SECUREFLOW 借助20个端口级别的交换ASIC 实现了线速转发,同时借助最高容量44 GB 的ASIC 背板矩阵(AS4平台)实现了无阻塞应用交换和最先进的RISC处理,功能强大的NP处理器,提供了高流量和更高性能的流量调度功能。

配置具有预先筛选算法的SECUREFLOW 可以将内容检查速度提高500%。 预先筛选算法能够区分可信和可疑内容,在内容检查设备(如防病毒网关)转发可疑内容进行检查的同时,可信内容可以绕过检查设备。因为80% 的Internet 内容都为可信内容,所以从防病毒设备卸载可信内容,将使检查速度提高5 倍。而在邮件系统应用中,防病都网关只需检测SMTP,POP3等流量,单独的防病毒网关的工作效率大幅度提高,可以有效的节约此类设备的开销和用量。

SecureFLow为 IDS提供了高可用性负载均衡流量集中和优化。通过有效配置以过滤经过 IDS 的流量包括流量来源目标 IP 应用或者内容,这可以将复制到 IDS 设备的流量减少 20% 到 40%,从而提供IDS处理的效率。通过创建集群IDS 传感器能够提供高可用性和冗余从而保证在高吞吐量网络段中,IDS可以确保检查网络段的所有流量。

3.3 高扩展性

创建内容检查设备群组,使用户在容量增加时能够很容易地添加内容检查设备,可以透明添加内容检查设备,无需中断服务或者停机。SECUREFLOW提供独一无二的多个内容安全系统之间的灵活流程控制,提供了方便快捷的用户流程管理和控制。

高度可扩展的安全服务允许无限制地而且经济地扩充安全设备的检查能力。安全设备之间的负载平衡优化了内容检查服务,并使得用户可以按照自己的需要进行性能扩充,从而充分利用现有的基础设施,并削减部署新的安全设备的成本(幅度可达40%)。SECUREFLOW 可优化任何防病毒过滤工具或URL 过滤工具的性能,从而提供了灵活和可自定义的安全架构,用户可以完全自由地选择供货商,同时不花费任何集成费用。

3.4 完全的安全性

基于策略的流量管理提供了量身定做的内容安全性。基于策略的管理允许用户定义最适于处理每种流量、用户和内容的特定安全工具,由此可使安全工具获得最大化的性能和更高的效率。

千兆位速度的入侵检测和DoS 防范千兆位速度的入侵检测和DoS 防范可不间断地保护应用程序和网络资源的完整性。实时的应用安全性检测和对BOF service overflows 、特洛伊木马、尼姆达、红色代码、Goner 以及2600 多种攻击特征的防范可有效阻止网络入侵。此外,DoS 防护功能还可通过阻止使服务性能衰竭的拒绝服务攻击来保护整个网络资源的安全。

全方位监视防病毒服务APSolute Insite提供了对防病毒性能的统一管理、查看和控制,可以按用户、应用程序和文件类型分类来查看实时的或过去的内容过滤操作。

页面主体部分底边框