运营商解决方案 - Radware CID 解决方案.docVIP

运营商整体解决方案 运营商网络现状简述 一个典型的运营商的网络拓扑结构大致由3 部分组成： 网络连接部分 网络安全部分 网络应用部分 DHCP服务 DNS 认证计费 短信网关 在运营商网络中存在很多网络设计上的缺陷， 网络护3－10Mbps。因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。 安全体系架构存在漏洞： 防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制，并且可以对基于状态的协议进行协议状态检查，因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如： · 蠕虫入侵 · 病毒入侵。 · 后门攻击。 IDS可以对网络中的数据包进行深入的分析，可以检查到资料包中第7层的信息，它具备随时对可疑流量进行检查和识别的能力。但是IDS最大的问题是IDS并不能阻止攻击的入侵，仅仅能发出告警，而此时网络攻击已经进入到网络内部。 目前我们面临着手段各异形式多样的混合式攻击威胁，这些攻击中应用级层的攻击占了绝大多数，为了抑制这些攻击，Gartner建议“在作出安全方面的决策时除了考虑简单的静态协议过滤外，还要考虑对应用内容（网络七层中的攻击特征）进行深入的数据包检查，并阻挡该攻击”。 网络应7x24 小时的持续性服务。 网络应用的性能瓶颈： 在网络应用系统中，通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡，因此经常会出现某台服务器由于访问量过大而宕机，造成网络应用性能的不稳定，从而影响到整个网络应用系统的性能。 网络应用的安全性较差： 从上图中可以看出现有网络中的安全性防护机制的特点是： 现有的安全性防护机制通常是针对来自外网的攻击； 缺乏针对来自内网的攻击防护机制； 现有的安全性防护机制通常是针对整体网络层面的攻击防护，即针对网络IP层、TCP/UDP层的网络4层以下的攻击防护； 缺乏针对具体的、特定的运营商网络应用的特点而专门制定的符合运营商网络应用的基于网络7层防护的安全性防护机制；  Radware 解决方案 Radware解决方案介绍 该决从为个决应决Radware安全解决简我们议决3款产DefensePro，SecureFlow，CID,每台设备简要DefensePro实现实时击防我们议在络接入处DefensePro，可以识别实时1500多种蠕虫、病毒、DOS攻击护内户务时过两两静态绑虚拟逻辑设备别换广之间护击扩逻辑设备换AppDirector之间护务受内办户击。逻辑设备内办户楼层之间证击致扩其它办楼层SecureFlow实现墙负载IDS的负载图我们议在墙换之间SecureFlow，配合LinkProof实现墙100台）的负载墙号墙的扩时实现IDS（最多100台）的负载IDS可以是不同厂家，不同型号IDS的扩CID实现cache务关URL过滤关负载CID位于SecureFlow和核心交换之间组织内Cache，防病毒网关URL过滤内检测设备协同务质设备由inline为CID减络单点CID实现对设备负载证该类络设备扩实现Radware应决简我们议应决2款产AppDirector，AppXcel,每种设备简要AppDirector实现务负载AppDirector位于核心交换IP应务之间实现IP协议务负载过AppDirector,可以实现务业务7*24不间断运证业务务质从实现了务载业务100％的高可用性和高性能。 AppDirector可以实现Radius和DHCP服务器的全局负载均衡解决方案，这个解决方案充分与应用结合，是业界唯一提供解决方案的厂家。 AppXcel实现SSLHTTP（HTTPS）页SSL加速功能： AppXcel与AppDirector配合，为用户提供SSL加密加速服务。利用AppDirector 的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源，并且使服务器的投资发挥最大效益。 HTTP（HTTPS）页面的加速 AppXcel通过WEB压缩和HTTP连接复用技术，大大提升internet用户对服务器的访问速度。较大地节省了internet的接入带宽，大大地降低了WEB服务器的处理资源消耗。 WAF实现DefensePRO的解决优势VPN 网关、IDS 到防病毒网关，安全市场集结了各式各样的安全工具。但是，目前应用级层的攻击在当今的网络攻击中占了绝大多数，为了抑制这些攻击，需要千兆位元的实时防御入侵和DOS攻击的IPS设备。 作为业界领先的实时防御设备，Radware的DefensePRO与其它同类IPS的解决方案相比，有如下优势： 高性能 DefensePRO是业内唯一提供6Gbps性能的安全产品 部署简便 简单的嵌入式安装-，借助DefensePro 的透明性