Radware_整體解決方案

1、RADWARE整體解決方案概述Radware China目錄1應(yīng)用交換及應(yīng)用安全背景剖析31.1應(yīng)用交換背景剖析31.2應(yīng)用安全背景剖析42Radware 整體解決方案概述52.1應(yīng)用交換解決方案52.2應(yīng)用安全解決方案103RADWARE整體解決方案的優(yōu)勢(shì)111 應(yīng)用交換及應(yīng)用安全背景剖析在介紹RADWARE整體解決方案以前，我們首先分析應(yīng)用交換技術(shù)及應(yīng)用安全技術(shù)的市場(chǎng)背景及技術(shù)背景。1.1 應(yīng)用交換背景剖析為什么會(huì)出現(xiàn)應(yīng)用交換技術(shù)？它的出現(xiàn)到底為今天的網(wǎng)絡(luò)應(yīng)用帶來了什么好處？解決了什么樣的問題呢？在回答這些問題以前，我們首先探討以下這個(gè)傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)，用戶在訪問應(yīng)用的時(shí)候，首先經(jīng)過接入運(yùn)營

2、商（Access ISP），這些接入運(yùn)營商又通過網(wǎng)絡(luò)提供商（Network SP），最后經(jīng)過主機(jī)/應(yīng)用托管服務(wù)提供商（Hosting SP/IDC）到達(dá)應(yīng)用服務(wù)器。不容置疑的是，這些運(yùn)營商，包括接入運(yùn)營商（Access ISP），網(wǎng)絡(luò)提供商（Network SP），主機(jī)/應(yīng)用托管服務(wù)提供商（Hosting SP/IDC），他們?yōu)榱藫屨歼@個(gè)利潤豐厚的市場(chǎng)，運(yùn)營商內(nèi)部的網(wǎng)絡(luò)帶寬都足夠充分，幾乎不存在網(wǎng)絡(luò)瓶頸。但是，可悲的是運(yùn)營商之間的網(wǎng)絡(luò)帶寬卻是小得可憐（可能是物理帶寬不足，更多的因素是由于競(jìng)爭(zhēng)關(guān)系相互限制），直接導(dǎo)致運(yùn)營商之間的帶寬限制成為用戶訪問的瓶頸，這是用戶訪問速度緩慢的其中一個(gè)重要的因素

3、，這方面的瓶頸我們稱之為Peering Delay.除了前面所闡述的Peering Delay以外，還有什么因素導(dǎo)致用戶訪問緩慢呢？這個(gè)因素也許大多數(shù)朋友都未意識(shí)到，這個(gè)瓶頸來自應(yīng)用的前端，為什么這樣講呢？我們都知道服務(wù)器的發(fā)展速度受到摩爾定律的限制，即主機(jī)的性能每十八個(gè)月才翻一倍，而今天對(duì)網(wǎng)絡(luò)流量的調(diào)查，我們發(fā)現(xiàn)網(wǎng)絡(luò)的流量每隔三個(gè)月就翻一倍，可見網(wǎng)絡(luò)流量的發(fā)展速度遠(yuǎn)遠(yuǎn)快于主機(jī)的發(fā)展速度，如果主機(jī)只是簡(jiǎn)單地通過一張網(wǎng)絡(luò)接口卡就連接到網(wǎng)絡(luò)上面去的話，必定受到網(wǎng)絡(luò)數(shù)據(jù)流嚴(yán)重的沖擊，應(yīng)用服務(wù)與網(wǎng)絡(luò)的接口成為了應(yīng)用訪問的瓶頸，這個(gè)瓶頸我們稱之為Server delay(見上圖)。在這個(gè)關(guān)鍵的時(shí)候，L4

4、/L7應(yīng)用交換技術(shù)脫穎而出，它承擔(dān)了應(yīng)用服務(wù)與網(wǎng)絡(luò)傳輸之間的接口，去解決應(yīng)用與網(wǎng)絡(luò)之間的瓶頸（SLB）。這就是應(yīng)用交換機(jī)走向市場(chǎng)的歷史背景，應(yīng)用交換機(jī)的出現(xiàn)，使得應(yīng)用的智能性逐漸地從應(yīng)用端延伸到網(wǎng)絡(luò)的邊緣，使得應(yīng)用可以通過這個(gè)接口無縫的接合到網(wǎng)絡(luò)當(dāng)中，這種最早期的應(yīng)用交換技術(shù)，我們又稱之為應(yīng)用負(fù)載均分技術(shù)。這種早期的應(yīng)用交換（SLB負(fù)載均分）技術(shù)，解決了應(yīng)用前端的瓶頸問題（Server Delay）,而前面所提到的Peering Delay的問題應(yīng)該如何解決呢？在無法控制運(yùn)營商之間的瓶頸的情況下，我們把應(yīng)用逐漸推向用戶的邊緣，讓用戶可以從最近的應(yīng)用點(diǎn)獲取數(shù)據(jù)，從而避免了運(yùn)營商之間的瓶頸，我們以

5、YAHOO 作為案例：YAHOO在INTERNET上并非只有一個(gè)站點(diǎn)，而是把站點(diǎn)鏡像到世界不同的角落，各站點(diǎn)間運(yùn)行著洲際負(fù)載均衡技術(shù)（GSLB），這些站點(diǎn)都同享一個(gè)域名： ,當(dāng)用戶訪問 的時(shí)候，通過GSLB技術(shù)，把用戶定向到距離自身最近，響應(yīng)速度最快的站點(diǎn)，從而有效解決了運(yùn)營商之間的Peering Delay瓶頸問題。SLB技術(shù)與GSLB技術(shù)是最早的應(yīng)用交換技術(shù)，經(jīng)過多年來的發(fā)展，應(yīng)用交換派生出更多更豐富的技術(shù)，我們會(huì)在第二章和大家介紹RADWARE的全面應(yīng)用交換技術(shù)及解決方案?？傊?，應(yīng)用交換技術(shù)的誕生，讓網(wǎng)絡(luò)的邊緣具備了應(yīng)用的智能性，作為應(yīng)用與網(wǎng)絡(luò)間的接口，消除了網(wǎng)絡(luò)與應(yīng)用間的瓶頸，使得應(yīng)用

6、可以通過這個(gè)接口，無縫地接入到網(wǎng)絡(luò)當(dāng)中去，應(yīng)用的性能得到了極大的提高。1.2 應(yīng)用安全背景剖析防火墻一直是網(wǎng)絡(luò)及應(yīng)用安全的代名詞，在瞬息萬變的信息時(shí)代，這個(gè)曾經(jīng)叱咤風(fēng)云的一代宗師，今天卻成為了信息安全的誤區(qū)，防火墻仍然安全嗎？眾所周知，今天的應(yīng)用逐漸向Web轉(zhuǎn)換，這意味著什么呢？參見下圖：傳統(tǒng)的應(yīng)用，不同應(yīng)用具有不同的端口，防火墻為不同應(yīng)用開放不同的端口，見左圖，今天的應(yīng)用向WEB轉(zhuǎn)換，不同的應(yīng)用全都承載在WWW端口上，防火墻只需開放一個(gè)端口，即WWW（80）端口，見右圖。左邊的防火墻開放了多個(gè)端口，而右邊的防火墻只開放了一個(gè)端口（80），因此右邊的防火墻比左邊的更安全嗎？當(dāng)然不是，我們?cè)囅霃?/p>

7、另一個(gè)角度出發(fā)，應(yīng)用向WWW轉(zhuǎn)換后，原來每一個(gè)應(yīng)用的報(bào)頭信息，今天全部成為WWW 應(yīng)用的凈負(fù)荷（PAYLOAD），防火墻若不具備深度包檢測(cè)的機(jī)制，應(yīng)用向WEB轉(zhuǎn)變將導(dǎo)致防火墻形同虛設(shè)，根據(jù)GARTNER 的預(yù)測(cè)，如果防火墻還只局限于狀態(tài)檢測(cè)而不具備深度包檢測(cè)的機(jī)制，將很快面臨淘汰的厄運(yùn)。防火墻不再可以依賴，那么我們需要什么技術(shù)來維護(hù)應(yīng)用的安全呢？我們首先分析黑客可能會(huì)對(duì)我們做什么，今天網(wǎng)絡(luò)黑客的攻擊手段多種多樣，總結(jié)起來分為兩類，一類是INTRUSION（入侵），另一類為DDOS（拒絕服務(wù)）。這就是為什么今天市場(chǎng)上流行著兩大類型的安全產(chǎn)品：IPS（入侵防護(hù)系統(tǒng)）及ANTI-DDOS（拒絕服務(wù)防

8、護(hù)系統(tǒng)），而今的IPS 及ANTI-DDOS 大都是通過攻擊特征庫查詢來防御攻擊，不幸的是攻擊特征碼只有在攻擊發(fā)生以后才能被分析出來，因此這種防御手段雖然有效，但是缺少足夠的主動(dòng)性，這也是為什么基于行為的DDOS防御手段（BDOS）成為了網(wǎng)絡(luò)安全領(lǐng)域非常熱門的話題及技術(shù)，談到這里，相信已經(jīng)有答案了，我們需要什么？我們需要IPS + ANTI-DDOS + BDOS ！2 Radware 整體解決方案概述2.1 應(yīng)用交換解決方案前面介紹了應(yīng)用交換技術(shù)的市場(chǎng)背景，在這一章節(jié)里我們介紹RADWARE應(yīng)用交換的整體解決方案及產(chǎn)品系列，其中每一款產(chǎn)品的市場(chǎng)定位都是不一樣的，有應(yīng)用存在的地方，就會(huì)有應(yīng)用交

9、換技術(shù)及應(yīng)用安全的市場(chǎng)機(jī)會(huì)，我們先看一看傳統(tǒng)應(yīng)用的數(shù)據(jù)流程：用戶接入INTERNET，訪問數(shù)據(jù)從數(shù)據(jù)中心的INTERNET接入點(diǎn)進(jìn)入數(shù)據(jù)中心，然后進(jìn)過數(shù)據(jù)中心的防火墻，經(jīng)過局域網(wǎng)骨干，在流經(jīng)ANTI-VIRUS，及ANTI-SPAM、URL-FILTERING等安全監(jiān)控服務(wù)器群，最后到達(dá)數(shù)據(jù)服務(wù)器。顯然，這種串行的數(shù)據(jù)訪問流程帶來幾個(gè)問題： 整個(gè)流程的穩(wěn)定可靠性取決于穩(wěn)定可靠性最弱的環(huán)節(jié) 整個(gè)流程的安全性取決于安全性最弱的環(huán)節(jié) 整個(gè)流程的性能取決于性能最弱的環(huán)節(jié) ANTI-VIRUS，及ANTI-SPAM、URL-FILTERING 進(jìn)一步帶來性能惡化，如：由于ANTI-SPAM坐落于數(shù)據(jù)鏈路

10、當(dāng)中，使得WEB數(shù)據(jù)無可奈何地經(jīng)由ANTI-SPAM轉(zhuǎn)發(fā)一遍，這種多此一舉的動(dòng)作導(dǎo)致性能進(jìn)一步下降。任何環(huán)節(jié)出現(xiàn)不穩(wěn)定因素，或出現(xiàn)性能瓶頸及安全漏洞，都會(huì)導(dǎo)致整個(gè)數(shù)據(jù)環(huán)節(jié)不穩(wěn)定、性能下降、及安全隱患。顯然，當(dāng)串行流程中若由于只有一臺(tái)設(shè)備而導(dǎo)致穩(wěn)定性問題及性能瓶頸問題，那么可以采用多臺(tái)設(shè)備同時(shí)并行處理的方式來解決這些問題，然而如何在這些眾多設(shè)備當(dāng)中實(shí)現(xiàn)智能的流量調(diào)配（如下圖示），這就是L4/L7應(yīng)用交換技術(shù)的精華所在。然而在每一個(gè)不同的環(huán)節(jié)，都有不同的L4/L7交換技術(shù)去解決不同的問題，發(fā)揮其不同功效。以下我們一一探討在每一個(gè)環(huán)節(jié)當(dāng)中的L4/L7應(yīng)用交換技術(shù)的市場(chǎng)機(jī)會(huì)：在INTERNET連接部分

11、，如下圖，用戶為了保證出口的帶寬及穩(wěn)定性，都會(huì)向不同或同一ISP申請(qǐng)多條鏈路來解決問題，這是RADWARE LinkProof 多鏈路解決方案的市場(chǎng)機(jī)會(huì)，只要引入LinkProof，就可以實(shí)現(xiàn)出口及入口的鏈路負(fù)載分擔(dān)，確保INTERNET出口的性能及穩(wěn)定性，并且LINKPROOF具備精確的就近性（PROXIMITY），保證用戶從最快的鏈路出入。詳細(xì)技術(shù)細(xì)節(jié)請(qǐng)參閱技術(shù)白皮書。在防火墻部分，如下圖，為了保證性能及提高穩(wěn)定性，大多用戶會(huì)采用多臺(tái)防火墻（同一品牌或不同品牌）并行處理的工作方式，這是RADWARE SecureFlow 防火墻及各種安全服務(wù)器負(fù)載分擔(dān)的市場(chǎng)機(jī)會(huì)，只要引入SecureFlo

12、w，就可以讓多臺(tái)防火墻并行工作，把多臺(tái)防火墻邏輯上統(tǒng)一成一臺(tái)，確保防火墻環(huán)節(jié)的性能及穩(wěn)定性，并方便了管理。詳細(xì)技術(shù)細(xì)節(jié)請(qǐng)參閱技術(shù)白皮書。 在安全監(jiān)控服務(wù)器環(huán)節(jié)，如下圖示，為了解決按數(shù)據(jù)類型分配流量問題（如：WWW請(qǐng)求只流經(jīng)ANTI-VIRUS，而旁路ANTI-SPAM，EMAIL請(qǐng)求及流經(jīng)ANTI-VIRUS，又流經(jīng)ANTI-SPAM 作安全檢測(cè)，以增強(qiáng)效率及提高性能），帶來了CID的市場(chǎng)機(jī)會(huì)，CID作為眾多安全監(jiān)控服務(wù)器的智能交換中心，把不同類型的數(shù)據(jù)智能調(diào)配到不同的安全監(jiān)控服務(wù)器上實(shí)現(xiàn)相應(yīng)的安全監(jiān)控，結(jié)果是不同的安全監(jiān)控服務(wù)器只接收及監(jiān)控所支持的應(yīng)用類型及協(xié)議，并可以對(duì)安全服務(wù)器實(shí)現(xiàn)負(fù)載分

13、擔(dān)，即保證了應(yīng)用數(shù)據(jù)的安全監(jiān)控，同時(shí)又加強(qiáng)了性能。詳細(xì)技術(shù)細(xì)節(jié)請(qǐng)參閱技術(shù)白皮書。注：CID的部分功能可以在前面闡述的SecureFlow 中完成，具體細(xì)節(jié)請(qǐng)聯(lián)系RADWARE 工程師。在應(yīng)用服務(wù)器部分，是最傳統(tǒng)的應(yīng)用服務(wù)負(fù)載分擔(dān)的AppDirector的市場(chǎng)機(jī)會(huì)，也是AppXcel 應(yīng)用加速的市場(chǎng)機(jī)會(huì)，AppDirector把用戶請(qǐng)求智能調(diào)配到后臺(tái)負(fù)載較輕的應(yīng)用服務(wù)器，而AppXcel則接管了應(yīng)用服務(wù)端最耗費(fèi)CPU的工作（如SSL加速；TCP復(fù)用；數(shù)據(jù)壓縮，緩存等），即增強(qiáng)了穩(wěn)定性，又提高了應(yīng)用的性能。其中AppDirector還可以升級(jí)成AppDirector-Global，使其具備GSLB

14、的功能，解決第一章闡述的Peering Delay問題。如下圖，詳細(xì)技術(shù)細(xì)節(jié)請(qǐng)參閱技術(shù)白皮書。 2.2 應(yīng)用安全解決方案通過前面的分析，我們已經(jīng)得到答案，今天網(wǎng)絡(luò)安全市場(chǎng)需要IPS + ANTI-DDOS + BDOS！而RADWARE 的 DefensePro就是最佳的選擇，DefensePro是市場(chǎng)上唯一同時(shí)具備IPS，ANTI-DDOS，BDOS的安全產(chǎn)品，也是安全市場(chǎng)上處理能力最快的安全產(chǎn)品，最高安全處理能力高達(dá)6G。并具備帶寬管理功能，有效地在出口限制P2P應(yīng)用帶寬及垃圾流量。DefensePro BDOS 功能不單只檢測(cè)流量的行為異常，并監(jiān)測(cè)TCP/UDP/ICMP 等狀態(tài)的分布異

15、常，避免產(chǎn)生誤報(bào)的發(fā)生，如新聞網(wǎng)站，經(jīng)常因?yàn)轭^條新聞而導(dǎo)致流量劇增，若只檢測(cè)流量的行為異常，必定產(chǎn)生誤報(bào)，DefensePro BDOS監(jiān)測(cè)TCP/UDP/ICMP 等狀態(tài)的分布異常，避免產(chǎn)生誤報(bào)。見下圖：注：以上講述的RADWARE 應(yīng)用交換機(jī)系列，都可以通過許可證升級(jí)的方式，讓應(yīng)用交換機(jī)帶有應(yīng)用安全的功能。在應(yīng)用交換機(jī)上嵌入安全性是應(yīng)用交換機(jī)的發(fā)展趨勢(shì)，而RADWARE在第一天就內(nèi)置了這種功能3 RADWARE整體解決方案的優(yōu)勢(shì)概括起來，RADWARE的四層交換機(jī)采用硬件架構(gòu)實(shí)現(xiàn)高性能應(yīng)用交換，這是我們和競(jìng)爭(zhēng)對(duì)手很大的區(qū)別，RADWARE應(yīng)用交換技術(shù)非常齊全，保證端到端的應(yīng)用加速，其中CID/SF是RADWARE獨(dú)創(chuàng)的專有技術(shù)