2014CID解决方案.docVIP

CID解决方案 Radware China  目录 1 需求分析 3 2 Radware Content Inspection Director（CID）解决方案 4 2.1 方案拓扑图 5 2.2 内容管理负载均衡 5 2.2.1 Cache服务器负载均衡 6 2.2.2 Spoofing 6 2.3 Flow 管理 6 2.4 专有协议支持 7 2.4.1 RADIUS 分级 7 2.4.2 POP3转换 7 2.4.3 FTP转换 7 2.5 SSL内容检测 8 2.6 Qos解决方案 8 2.7 应用安全解决方案 9 3 方案的优点 9 3.1.1 高可用性 9 3.1.2 高性能 9 3.1.3 高扩展性 10 3.1.4 完全的安全性 10  需求分析 当今互联网上通过垃圾邮件、网页链接所发散的恶意程序数量持续增加，市场分析师指出，用户对内容安全产品的需求将持续加码。内容安全通常指称可提供反垃圾邮件、防毒、内容过滤/ 网页过滤、信息隐私等防护功能。 这样的市场趋势，在IDC今日发布的市场调查数据中已然成形。该报告指出，信息安全软件市场中，现阶段由安全内容管理（Secure Content Management）占大宗，市占率由去年的58.4% 增加为63.9% ；信息安全包括管理、授权和验证（Administration， Authentication and Authorization ）市占率，则由去年的21.3% 降至17.2% ，位居第二；而防火墙 / VPN（Firewalls VPNs）的市占率由去年的11.9% 增为12.3% ，排名第三。 网络安全不是信息安全的全部问题，内容安全是相当重要的部分，未来，内容安全的重要性要大于网络安全。内容安全地难点在于要区别真伪。如果不能区别真伪，信息安全就无法保障。现在，垃圾邮件引发出的“网络钓鱼”、“信用卡欺骗”等安全威胁，都是这类问题。但是，我们不能要求用户不上当、不受骗，因为，用户无法区别真伪。但是，这类问题的结果往往相当严重，甚至祸及全球。 安全策略 攘外必先安内。既然外部的网络安全威胁已经不是主要矛盾，那么，信息安全的重点就应该转移到内部网络安全的建设上来，这是安全的主线。信息安全矛盾的主要方面在于内容安全，而不再是网络安全，信息安全建设重点应该是狠抓内网的用户管理、行为管理、内容控制和应用管理。 传统的内容安全设备部署存在以下问题： （1）高可用性低 －内容安全设备通常是通过相关的功能软件安装在通用或专用的PC服务器上实现其内容安全检查的功能，操作系统采用通用的windows或Linux等操作系统。此类设备无法避免PC硬件常见的内存、硬盘、电源或者操作系统等故障造成设备宕机或发生意外故障。内容安全设备需要串接在网络中，一旦内容安全设备发生故障会造成所有网络应用和客户的中断，造成难以估计的损失。另外，此类设备需要经常的打操作系统的补丁和重启机器，这也会造成网络的中断。 （2）性能有限－内容安全设备往往糖葫芦结构串接网络中，所有的数据流量都需要依次流经各个内容安全设备，所以这些内容安全设备处理的数据量非常大，但基于PC Server架构的内容安全设备其处理能力是非常有限的（通常只有3－10 Mbps 吞吐量），在将内容安全产品用于具有高速Internet 连接的繁忙网络时，常常会成为瓶颈。因为在实现对恶意或者不适当内容的检查往往会影响整理网络流量的传输速度，如何既要对公司的网络进行完全的内容检查，又要保证较高的网络吞吐量是当前内容安全设备的面对的难题。 （3）扩展性差 内容安全系统往往随着应用的增长而进行扩展，或者增加新的功能扩展多个内容安全系统，例如如果一台内容服务器无法满足业务增长的要求需要添加服务器分担相关检查工作，或者添加另外的内容安全系统，传统的串接网络无法提供良好的系统扩展性。 （3）安全性差－内容安全设备由于采用通用操作系统，本身操作系统的漏洞会成为系统致命的弱点，甚至内容安全设备本身成为攻击或病毒的牺牲品。另外，当网络中存在大量的syn攻击，Dos攻击或其他应用级别的攻击发生时，内容安全设备也将因无法处理大量的数据包而造成网络中断。所以，加强网络中内容安全设备本身的安全性也是不可忽视的问题。 Radware Content Inspection Director（CID）解决方案 在网络的骨干链路上，串接Radware电信级ASIC硬件内容安全交换机CID，相关的内容安全设备连接在CID上，CID提供最高6G bps的业务资料的处理能力以及88G的二层数据转发能力。CID按照预先设定的策略，将相关检测流量转发到相关的内容安全设备上进行内容检查，然后根据流程控制策略转发到下一