Radware_整體解決方案

1、RADWARE整體解決方案概述Radware China目錄1應(yīng)用交換及應(yīng)用安全背景剖析31.1應(yīng)用交換背景剖析31.2應(yīng)用安全背景剖析42Radware 整體解決方案概述52.1應(yīng)用交換解決方案52.2應(yīng)用安全解決方案103RADWARE整體解決方案的優(yōu)勢111 應(yīng)用交換及應(yīng)用安全背景剖析在介紹RADWARE整體解決方案以前，我們首先分析應(yīng)用交換技術(shù)及應(yīng)用安全技術(shù)的市場背景及技術(shù)背景。1.1 應(yīng)用交換背景剖析為什么會出現(xiàn)應(yīng)用交換技術(shù)？它的出現(xiàn)到底為今天的網(wǎng)絡(luò)應(yīng)用帶來了什么好處？解決了什么樣的問題呢？在回答這些問題以前，我們首先探討以下這個傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)，用戶在訪問應(yīng)用的時候，首先經(jīng)過接入運營

2、商（Access ISP），這些接入運營商又通過網(wǎng)絡(luò)提供商（Network SP），最后經(jīng)過主機/應(yīng)用托管服務(wù)提供商（Hosting SP/IDC）到達應(yīng)用服務(wù)器。不容置疑的是，這些運營商，包括接入運營商（Access ISP），網(wǎng)絡(luò)提供商（Network SP），主機/應(yīng)用托管服務(wù)提供商（Hosting SP/IDC），他們?yōu)榱藫屨歼@個利潤豐厚的市場，運營商內(nèi)部的網(wǎng)絡(luò)帶寬都足夠充分，幾乎不存在網(wǎng)絡(luò)瓶頸。但是，可悲的是運營商之間的網(wǎng)絡(luò)帶寬卻是小得可憐（可能是物理帶寬不足，更多的因素是由于競爭關(guān)系相互限制），直接導(dǎo)致運營商之間的帶寬限制成為用戶訪問的瓶頸，這是用戶訪問速度緩慢的其中一個重要的因素

3、，這方面的瓶頸我們稱之為Peering Delay.除了前面所闡述的Peering Delay以外，還有什么因素導(dǎo)致用戶訪問緩慢呢？這個因素也許大多數(shù)朋友都未意識到，這個瓶頸來自應(yīng)用的前端，為什么這樣講呢？我們都知道服務(wù)器的發(fā)展速度受到摩爾定律的限制，即主機的性能每十八個月才翻一倍，而今天對網(wǎng)絡(luò)流量的調(diào)查，我們發(fā)現(xiàn)網(wǎng)絡(luò)的流量每隔三個月就翻一倍，可見網(wǎng)絡(luò)流量的發(fā)展速度遠遠快于主機的發(fā)展速度，如果主機只是簡單地通過一張網(wǎng)絡(luò)接口卡就連接到網(wǎng)絡(luò)上面去的話，必定受到網(wǎng)絡(luò)數(shù)據(jù)流嚴(yán)重的沖擊，應(yīng)用服務(wù)與網(wǎng)絡(luò)的接口成為了應(yīng)用訪問的瓶頸，這個瓶頸我們稱之為Server delay(見上圖)。在這個關(guān)鍵的時候，L4

4、/L7應(yīng)用交換技術(shù)脫穎而出，它承擔(dān)了應(yīng)用服務(wù)與網(wǎng)絡(luò)傳輸之間的接口，去解決應(yīng)用與網(wǎng)絡(luò)之間的瓶頸（SLB）。這就是應(yīng)用交換機走向市場的歷史背景，應(yīng)用交換機的出現(xiàn)，使得應(yīng)用的智能性逐漸地從應(yīng)用端延伸到網(wǎng)絡(luò)的邊緣，使得應(yīng)用可以通過這個接口無縫的接合到網(wǎng)絡(luò)當(dāng)中，這種最早期的應(yīng)用交換技術(shù)，我們又稱之為應(yīng)用負載均分技術(shù)。這種早期的應(yīng)用交換（SLB負載均分）技術(shù)，解決了應(yīng)用前端的瓶頸問題（Server Delay）,而前面所提到的Peering Delay的問題應(yīng)該如何解決呢？在無法控制運營商之間的瓶頸的情況下，我們把應(yīng)用逐漸推向用戶的邊緣，讓用戶可以從最近的應(yīng)用點獲取數(shù)據(jù)，從而避免了運營商之間的瓶頸，我們以

5、YAHOO 作為案例：YAHOO在INTERNET上并非只有一個站點，而是把站點鏡像到世界不同的角落，各站點間運行著洲際負載均衡技術(shù)（GSLB），這些站點都同享一個域名： ,當(dāng)用戶訪問 的時候，通過GSLB技術(shù)，把用戶定向到距離自身最近，響應(yīng)速度最快的站點，從而有效解決了運營商之間的Peering Delay瓶頸問題。SLB技術(shù)與GSLB技術(shù)是最早的應(yīng)用交換技術(shù)，經(jīng)過多年來的發(fā)展，應(yīng)用交換派生出更多更豐富的技術(shù)，我們會在第二章和大家介紹RADWARE的全面應(yīng)用交換技術(shù)及解決方案?？傊瑧?yīng)用交換技術(shù)的誕生，讓網(wǎng)絡(luò)的邊緣具備了應(yīng)用的智能性，作為應(yīng)用與網(wǎng)絡(luò)間的接口，消除了網(wǎng)絡(luò)與應(yīng)用間的瓶頸，使得應(yīng)用

6、可以通過這個接口，無縫地接入到網(wǎng)絡(luò)當(dāng)中去，應(yīng)用的性能得到了極大的提高。1.2 應(yīng)用安全背景剖析防火墻一直是網(wǎng)絡(luò)及應(yīng)用安全的代名詞，在瞬息萬變的信息時代，這個曾經(jīng)叱咤風(fēng)云的一代宗師，今天卻成為了信息安全的誤區(qū)，防火墻仍然安全嗎？眾所周知，今天的應(yīng)用逐漸向Web轉(zhuǎn)換，這意味著什么呢？參見下圖：傳統(tǒng)的應(yīng)用，不同應(yīng)用具有不同的端口，防火墻為不同應(yīng)用開放不同的端口，見左圖，今天的應(yīng)用向WEB轉(zhuǎn)換，不同的應(yīng)用全都承載在WWW端口上，防火墻只需開放一個端口，即WWW（80）端口，見右圖。左邊的防火墻開放了多個端口，而右邊的防火墻只開放了一個端口（80），因此右邊的防火墻比左邊的更安全嗎？當(dāng)然不是，我們試想從

7、另一個角度出發(fā)，應(yīng)用向WWW轉(zhuǎn)換后，原來每一個應(yīng)用的報頭信息，今天全部成為WWW 應(yīng)用的凈負荷（PAYLOAD），防火墻若不具備深度包檢測的機制，應(yīng)用向WEB轉(zhuǎn)變將導(dǎo)致防火墻形同虛設(shè)，根據(jù)GARTNER 的預(yù)測，如果防火墻還只局限于狀態(tài)檢測而不具備深度包檢測的機制，將很快面臨淘汰的厄運。防火墻不再可以依賴，那么我們需要什么技術(shù)來維護應(yīng)用的安全呢？我們首先分析黑客可能會對我們做什么，今天網(wǎng)絡(luò)黑客的攻擊手段多種多樣，總結(jié)起來分為兩類，一類是INTRUSION（入侵），另一類為DDOS（拒絕服務(wù)）。這就是為什么今天市場上流行著兩大類型的安全產(chǎn)品：IPS（入侵防護系統(tǒng)）及ANTI-DDOS（拒絕服務(wù)防

8、護系統(tǒng)），而今的IPS 及ANTI-DDOS 大都是通過攻擊特征庫查詢來防御攻擊，不幸的是攻擊特征碼只有在攻擊發(fā)生以后才能被分析出來，因此這種防御手段雖然有效，但是缺少足夠的主動性，這也是為什么基于行為的DDOS防御手段（BDOS）成為了網(wǎng)絡(luò)安全領(lǐng)域非常熱門的話題及技術(shù)，談到這里，相信已經(jīng)有答案了，我們需要什么？我們需要IPS + ANTI-DDOS + BDOS ！2 Radware 整體解決方案概述2.1 應(yīng)用交換解決方案前面介紹了應(yīng)用交換技術(shù)的市場背景，在這一章節(jié)里我們介紹RADWARE應(yīng)用交換的整體解決方案及產(chǎn)品系列，其中每一款產(chǎn)品的市場定位都是不一樣的，有應(yīng)用存在的地方，就會有應(yīng)用交

9、換技術(shù)及應(yīng)用安全的市場機會，我們先看一看傳統(tǒng)應(yīng)用的數(shù)據(jù)流程：用戶接入INTERNET，訪問數(shù)據(jù)從數(shù)據(jù)中心的INTERNET接入點進入數(shù)據(jù)中心，然后進過數(shù)據(jù)中心的防火墻，經(jīng)過局域網(wǎng)骨干，在流經(jīng)ANTI-VIRUS，及ANTI-SPAM、URL-FILTERING等安全監(jiān)控服務(wù)器群，最后到達數(shù)據(jù)服務(wù)器。顯然，這種串行的數(shù)據(jù)訪問流程帶來幾個問題： 整個流程的穩(wěn)定可靠性取決于穩(wěn)定可靠性最弱的環(huán)節(jié) 整個流程的安全性取決于安全性最弱的環(huán)節(jié) 整個流程的性能取決于性能最弱的環(huán)節(jié) ANTI-VIRUS，及ANTI-SPAM、URL-FILTERING 進一步帶來性能惡化，如：由于ANTI-SPAM坐落于數(shù)據(jù)鏈路

10、當(dāng)中，使得WEB數(shù)據(jù)無可奈何地經(jīng)由ANTI-SPAM轉(zhuǎn)發(fā)一遍，這種多此一舉的動作導(dǎo)致性能進一步下降。任何環(huán)節(jié)出現(xiàn)不穩(wěn)定因素，或出現(xiàn)性能瓶頸及安全漏洞，都會導(dǎo)致整個數(shù)據(jù)環(huán)節(jié)不穩(wěn)定、性能下降、及安全隱患。顯然，當(dāng)串行流程中若由于只有一臺設(shè)備而導(dǎo)致穩(wěn)定性問題及性能瓶頸問題，那么可以采用多臺設(shè)備同時并行處理的方式來解決這些問題，然而如何在這些眾多設(shè)備當(dāng)中實現(xiàn)智能的流量調(diào)配（如下圖示），這就是L4/L7應(yīng)用交換技術(shù)的精華所在。然而在每一個不同的環(huán)節(jié)，都有不同的L4/L7交換技術(shù)去解決不同的問題，發(fā)揮其不同功效。以下我們一一探討在每一個環(huán)節(jié)當(dāng)中的L4/L7應(yīng)用交換技術(shù)的市場機會：在INTERNET連接部分

11、，如下圖，用戶為了保證出口的帶寬及穩(wěn)定性，都會向不同或同一ISP申請多條鏈路來解決問題，這是RADWARE LinkProof 多鏈路解決方案的市場機會，只要引入LinkProof，就可以實現(xiàn)出口及入口的鏈路負載分擔(dān)，確保INTERNET出口的性能及穩(wěn)定性，并且LINKPROOF具備精確的就近性（PROXIMITY），保證用戶從最快的鏈路出入。詳細技術(shù)細節(jié)請參閱技術(shù)白皮書。在防火墻部分，如下圖，為了保證性能及提高穩(wěn)定性，大多用戶會采用多臺防火墻（同一品牌或不同品牌）并行處理的工作方式，這是RADWARE SecureFlow 防火墻及各種安全服務(wù)器負載分擔(dān)的市場機會，只要引入SecureFlo

12、w，就可以讓多臺防火墻并行工作，把多臺防火墻邏輯上統(tǒng)一成一臺，確保防火墻環(huán)節(jié)的性能及穩(wěn)定性，并方便了管理。詳細技術(shù)細節(jié)請參閱技術(shù)白皮書。 在安全監(jiān)控服務(wù)器環(huán)節(jié)，如下圖示，為了解決按數(shù)據(jù)類型分配流量問題（如：WWW請求只流經(jīng)ANTI-VIRUS，而旁路ANTI-SPAM，EMAIL請求及流經(jīng)ANTI-VIRUS，又流經(jīng)ANTI-SPAM 作安全檢測，以增強效率及提高性能），帶來了CID的市場機會，CID作為眾多安全監(jiān)控服務(wù)器的智能交換中心，把不同類型的數(shù)據(jù)智能調(diào)配到不同的安全監(jiān)控服務(wù)器上實現(xiàn)相應(yīng)的安全監(jiān)控，結(jié)果是不同的安全監(jiān)控服務(wù)器只接收及監(jiān)控所支持的應(yīng)用類型及協(xié)議，并可以對安全服務(wù)器實現(xiàn)負載分

13、擔(dān)，即保證了應(yīng)用數(shù)據(jù)的安全監(jiān)控，同時又加強了性能。詳細技術(shù)細節(jié)請參閱技術(shù)白皮書。注：CID的部分功能可以在前面闡述的SecureFlow 中完成，具體細節(jié)請聯(lián)系RADWARE 工程師。在應(yīng)用服務(wù)器部分，是最傳統(tǒng)的應(yīng)用服務(wù)負載分擔(dān)的AppDirector的市場機會，也是AppXcel 應(yīng)用加速的市場機會，AppDirector把用戶請求智能調(diào)配到后臺負載較輕的應(yīng)用服務(wù)器，而AppXcel則接管了應(yīng)用服務(wù)端最耗費CPU的工作（如SSL加速；TCP復(fù)用；數(shù)據(jù)壓縮，緩存等），即增強了穩(wěn)定性，又提高了應(yīng)用的性能。其中AppDirector還可以升級成AppDirector-Global，使其具備GSLB

14、的功能，解決第一章闡述的Peering Delay問題。如下圖，詳細技術(shù)細節(jié)請參閱技術(shù)白皮書。 2.2 應(yīng)用安全解決方案通過前面的分析，我們已經(jīng)得到答案，今天網(wǎng)絡(luò)安全市場需要IPS + ANTI-DDOS + BDOS！而RADWARE 的 DefensePro就是最佳的選擇，DefensePro是市場上唯一同時具備IPS，ANTI-DDOS，BDOS的安全產(chǎn)品，也是安全市場上處理能力最快的安全產(chǎn)品，最高安全處理能力高達6G。并具備帶寬管理功能，有效地在出口限制P2P應(yīng)用帶寬及垃圾流量。DefensePro BDOS 功能不單只檢測流量的行為異常，并監(jiān)測TCP/UDP/ICMP 等狀態(tài)的分布異

15、常，避免產(chǎn)生誤報的發(fā)生，如新聞網(wǎng)站，經(jīng)常因為頭條新聞而導(dǎo)致流量劇增，若只檢測流量的行為異常，必定產(chǎn)生誤報，DefensePro BDOS監(jiān)測TCP/UDP/ICMP 等狀態(tài)的分布異常，避免產(chǎn)生誤報。見下圖：注：以上講述的RADWARE 應(yīng)用交換機系列，都可以通過許可證升級的方式，讓應(yīng)用交換機帶有應(yīng)用安全的功能。在應(yīng)用交換機上嵌入安全性是應(yīng)用交換機的發(fā)展趨勢，而RADWARE在第一天就內(nèi)置了這種功能3 RADWARE整體解決方案的優(yōu)勢概括起來，RADWARE的四層交換機采用硬件架構(gòu)實現(xiàn)高性能應(yīng)用交換，這是我們和競爭對手很大的區(qū)別，RADWARE應(yīng)用交換技術(shù)非常齊全，保證端到端的應(yīng)用加速，其中CID/SF是RADWARE獨創(chuàng)的專有技術(shù)