Radware教育行业defenspro安全解决方案
二、解决方案:
如上图所示,我们在主校区部署defensepro3000入侵防护交换机,在分校区分别部署一台DP200入侵防护交换机, Defensepro以完全透明的方式接入到网络中,因此不会对原有的网络结构和数据流程造成影响。
Radware DefensePro在业内首先提供了以3千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击(比如蠕虫、病毒、木马和Dos攻击);能够基于特征识别P2P流量,限制和阻止P2P流量的泛滥,从而为所有网络化应用、用户和资源提供了直接保护。
三、DP的功能概述:
DefensePro主要用于提供第一手的安全防护。DefensePro组合了能够检测和拦截1500 多种攻击特征的实时入侵防范功能,从而实现对关键任务资源进行彻底保护,从而确保您的网络获得真正安全。
针对网络的保护,DefensePro主要起到如下作用:
隔离:实时地监视和识别攻击,并主动将攻击隔离起来。
拦截:用数千兆位的速度拦截入侵、病毒和蠕虫,实现应用安全。
预防:识别并阻止拒绝服务攻击和 syn flood 攻击,实时保护网络的安全 。
DefensePro 有以下功能:
● 第一手防御
● 入侵实时防范
● 全部实时防范DOS攻击
● 全面的设备管理和安全管理
四、DefensePRO的解决方案的优势
从防火墙、VPN 网关、IDS 到防病毒网关,安全市场集结了各式各样的安全工具。但是,目前应用级层的攻击在当今的网络攻击中占了绝大多数,为了抑制这些攻击,需要千兆位元的实时防御入侵和DOS攻击的IPS设备。
作为业界领先的实时防御设备,Radware的DefensePRO与其它同类IPS的解决方案相比,有如下优势:
4.1 DefensePRO是业内唯一提供3Gbps性能的安全产品
DefensePro 是业内唯一兼具了3Gbps 的安全性能和应用安全智能的产品,它可以保护从网络层直到应用层的所有网络化应用。
DefensePro 独具的多层安全架构组合了数种攻击检测机制(针对1500多种攻击特征和协议异常),它们联同高级的防范工具(如DoS Shield、SYN cookie和应用安全模块)一起,提供了对恶意攻击和DoS攻击的完全防范能力。DefensePro 的底层支持技术是4层安全交换架构,其交换ASIC 使用了44 GB 的线速背板、2个网络处理器、RISC 处理器和专用的基于ASIC 的硬件加速卡(StringMatch Engine ),可将检查速度提高1000倍。这使得DefensePro 成为高速/高性能环境中的应用安全性能的基准。
4.2部署简便
简单的嵌入式安装-,借助DefensePro 的透明性,可将它无缝地集成到任何网络环境中,从而不必对网络设置、网络拓扑进行任何更改即可实现实时保护。
4.3多网段防护实现攻击隔离
DefensePRO具有IPS业界最高的端口密度,通过把物理端口两两划分,可以使用单个设备保护多个网络段,从而实现实时的投资回报。
通过多网段的防护,使网络入侵和攻击被限制在一个个网络区段之内,不致于因为单台计算机发出的蠕虫、病毒和DoS 攻击传播到其它用户和网络段中。
4.4设备自身的安全性
DefensePRO的业务端口不设置IP地址,相当于一条智慧电缆,这种透明性保证了设备自身的安全性,因为用户无法了解网络中是否有该设备。所以也就无法对DefensePRO本身实施攻击。
4.5保证关键任务应用的服务质量
通过DefensePRO精细的流量控制策略,可以保证关键任务应用获得较高的服务质量,同时限制非业务应用(如P2P 应用)所占用的带宽。
借助DefensePro的带宽管理功能,可以动态性地对流量进行控制,以保证所有关键任务应用的持续运行和性能(即使在攻击之下)。通过控制资源和区分流量的重要程度,DefensePro流量控制功能可以限制处于攻击之下的各个应用所占用的带宽,同时保证所有安全流量能获得充足的资源。对机构而言,这样就保证了ERP和CRM等关键任务应用的性能和不间断运行
4.6快速更新
校园出口的现状分析
校园网是学院的基础网络设施,校园网出口是全校师生和外部互联网交流沟通的必由之路,关系到全校师生的学习和生活,因此建设一个安全可靠、高效运行的INTERNET出口,对学校而言有着重要的经济和政治意义。
目前大多数学校为了出口的安全,都部署了两条以上的INTERNET链路,典型的情况是分别为教育网和电信链路。
教育网采用流量计费,对于教育网免费地址的访问不计费,但在对非免费地址访问时,费用较高。网通链路采用按带宽包月方式,不分访问对象。因此存在访问流量合理分配的问题。
使用策略路由实现流量分配,对链路健康状况缺乏有效的检测手段,当某条链路出现问题时,无法及时发现,导致部分访问失败。
Radware解决方案:
在计费网关和路由器之间部署一台RADWARE Linkproof(见拓扑图),其作用是:
按照用户要求的策略分配访问流量,在访问教育网的免费资源时使用教育网链路,在访问非教育网的免费资源时,使用包月计费的网通链路,同时两条链路互为备份。
完善健康检查机制,针对两条链路设置对外网多地址的访问检查,确保及时、真实的反映链路当前的健康状况,对出现问题的链路,及时转移流量。
功能描述
Radware 的 LinkProof™ 是为具有多个Internet接入链路的网络提供综合的、易用的基于内容的流量管理解决方案。
LinkProof专门为满足具有多条ISP链路的企业网络的特殊要求而设计, Radware优化的内容路由技术能够保证最快速度的内容传递。LinkProof在保证网络完全可用的同时还会根据网络需求的增长提供可扩展的解决方案。对于在其重要的商业应用中需要保证可靠性的多ISP链路的网络,它提供了创新的、完整的基于内容的流量管理解决方案。
企业用户的网络通过LinkProof与多个ISP连接,利用Radware的LinkProof可以为用户提供下列网络优化特点:
● 多ISP链路负载均衡
LinkProof可以根据用户的策略对于进出企业网的流量在多个ISP 链路之间实现负载均衡,让企业所有的Internet出口全部利用起来,在增加Internet出口带宽的同时,提供负载均衡的功能。
● 保证不中断的 Internet 访问
LinkProof 连续监视每个 Internet 连接的状态。它通过定时检测网络内部和外部节点的状态来检查每个路由器接入Internet的路径。LinkProof 还自动检测各种故障,如链路、路由器、DNS 服务器和其它故障。通过检查可以确保只使用那些高效运转的接入链路。可以安装两台LinkProof设备实现冗余配置,从而保证即使主用设备发生故障的情况下也可以保证不中断的Internet链路流量管理。
● 最快的内容传递
LinkProof特有的即将获得专利的“优化的内容路由”技术能够确保通过最佳链路传递特定内容。在决定哪条链路能够为特定内容提供最佳性能时,LinkProof会综合考虑与请求内容的网络就近性、链路的实时负载与链路的成本。因此,最终用户将充分享受到经过优化的服务和极快的响应时间。
● 具有最大限度的可扩展性
增加新的链路和路由器非常简单,只要求做很少的配置工作,并且不需要对网络进行大的改动。LinkProof 对所使用的 ISP、链路或路由器是完全透明的,您可以根据需要灵活扩充多归路网络。
RadWare解决方案的优势:
全路径健康检查
LinkProof在多链路网络中的一个主要作用是检测ISP链路的可用性,即健康状况。而一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。因此,LinkProof提供了全路径健康检查的功能,最多能够完成10跳路由健康的检测,从而保证整条数据链路的通常,提高服务质量。
故障恢复和预热定时器
如果ISP连接状况不稳定,则最好不要通过它发送任何流量,知道它在预定时间内能够维持稳定。LinkProof提供故障恢复和预热定时器,用户可以自定义定时器的延迟时间,从而确保将会话定向到稳定的ISP链路。一旦ISP恢复正常,LinkProof能逐渐增加发送到该ISP的流量。
就近性(Proximity)处理机制
对于经过负载均衡设备的流量,LinkProof使用就近性判断机制。Radware 的就近性处理方法利用了就近性检测试探、由就近性标准构成的动态表以及由管理员配置的参数构成的静态表。
当LinkProof 提供前往某个网络的服务时,如果该网络不在任何一个表中,这些设备将权衡前往该网络的就近性,LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,并记入就近性表,就近性表中的所有网络记录都使用了C 类网络的形式。