售前咨询梁世鹏CID安全优化解决方案.pptVIP

安全网关产品的传统的部署模式1 安全网关产品的传统的部署模式2 提升整体安全系统的可用性 可信、不可信数据的预区分 CID – 可信数据 CID – 不可信数据 Flow 管理 带宽管理 测试例网络拓扑 CID配置步骤 创建一个regular IP VLAN，加入多个端口。 为上述VLAN配置一个IP 配置缺省网关和回执路由 配置IWSA Farm 配置IWSA Farm 所包含的server （IWSA） 配置 缺省网关 FW Farm 配置FW Farm 所包含的server （防火墙） 配置内网网络对象，和QQ server网络对象 配置policy 1， port＝80 命中 IWSA Farm 配置policy 2， 目的IP＝QQ server组 命中 FW Farm 其他设备相关配置 1，IWSA 网关指向 CID 2，所有内网用户网关指向防火墙 OICQ问题以及解决办法 故障现象： 部分OICQ客户无法登陆 故障原因： QQ用户登录时首先使用UDP8000访问服务器登录，如果失败，继续使用HTTP80 进行访问，由于内容完全加密，服务器回应的数据包会被IWSA阻断，导致登录失败。 解决方案 统计所有QQ server地址，制定policy，命中QQ server地址的都旁路IWSA 某些网站无法登录的问题及解决办法 故障现象： 点击登录后报告登录成功，但却返回了网站首页，仍然显示非登录状态 故障原因： CID基于最少会话数来分发会话到不同的IWSA，由于登录会话和登录后会话分配到不同的IWSA，导致业务失败 解决方案 修改CID的负载均衡算法为基于目的IP的HASH算法，保证访问同一个站点的所有会话都导向同一个IWSA。 内容过滤设备工作在代理方式 内容过滤设备工作在“透明”方式 ××银行测试案例 ××运营商Cache负载均衡 ××运营商Cache负载均衡 ×× 邮件系统 ××钢铁制造企业 Radware CID 针对 Trend Micro WSA负载均衡和优化解决方案 Radware 北京 售前咨询 梁世鹏 CID 安全优化解决方案 Content Inspection Director CID 提供了容错、高吞吐 可扩展的防病毒扫描、URL 过滤 反垃圾邮件服务，并且将企业和组织的内容安全策略进行优化和整合。 URL Filtering Anti-virus E-Mail Filter 扩展性差 不能通过增加设备来增加吞吐量 性能瓶颈 防病毒网关的性能问题 单点故障 透明模式 URL Filtering Anti-virus E-Mail Filter 代理模式 用户必须设置代理 如果有多个代理怎么办？？？ CID基于交换的安全架构解决方案 Firewall Anti-Spam URL Filter Anti-Virus Anti-Spam Firewall IDS IDS URL Filter Anti-Virus cache cache LAN Anti-Virus Farms Anti-Spam Farms CID URL Filtering Farms 1，负载均衡级别可用性：通过对安全设备例行的健康检查，实时发现故障设备，实时屏蔽，对用户透明 2，系统级可用性：同一类型的所有设备全部故障，自动旁路 3，CID自身可用性：通过VRRP实现两台CID设备冗余，设备切换速度快，会话不中断 Anti-Virus Farms Anti-Spam Farms CID URL Filtering Farms 直通 文件类型: image rm avi mp3 500% 检测提速 内部网 防火墙 可信数据 可信数据 判定点 判定点 防病毒网关 CID 防火墙 不可信数据 判定点 HTTP HTTP/FTP FTP 邮件 防病毒网关 CID URL过滤 AV 邮件过滤 灵活的用户的策略管理－实例 学生 教师 灵活的用户的策略管理－实例 学生 教师 URL过滤 AV 邮件过滤 Anti-Virus Farms Anti-Spam Farms CID URL Filtering Farms Policy A User 1 User 2 Policy B 透明布署任何内容过滤工具 - 一站式体系的厂家无关性 - 完全定制的内容检查服务 - 无缝扩展新的安全设备而不用担心设备之间的兼容性 无缝的第三方安全设备集成 Radware Content Security Partners CID 的增值功能 Traffic Classifier Priority1 Priority 3 Priority 2 Priority 4 Priority