当前位置:首页 >> IT/计算机 >>

DefensePro解决方案


Radware-DefensePro - 安全解决方案 安全解决方案

Radware China

目录
需求分析.................................................................................................................................. 3 1.1 传统安全架构无法应对基于应用的攻击模式............................................................... 3 1.2 单一的 IPS 和 DOS 防范模式无法应对层出不穷的攻击手段 ..................................... 5 2 Radware DefensePro(DP)解决方案 ( )解决方案................................................................................. 6 2.1 DefensePro 攻击防范 ....................................................................................................... 6 2.1.1 Dosshield 实现已知攻击工具防范 ........................................................................... 7 2.1.2 Behavioral DoS 基于网络行为模式实现自动攻击防范.......................................... 8 2.1.3 入侵防范防范各类应用攻击 .................................................................................... 9 2.1.4 其它安全相关功能 .................................................................................................. 10 2.2 DefensePro 的安全报告 ................................................................................................. 11 3 DefensePro 解决方案优势 ................................................................................................... 12 1

2

1

需求分析
当前, 随信息化发展而来的网络安全问题日渐突出, 这不仅严重阻碍了社会信息化发展

的进程,而且还进一步影响到整个国家的安全和经济发展.面对网络安全的严峻形势,如何 建设高质量, 高稳定性, 高可靠性的安全网络成为我们通信行业乃至整个社会发展所要面临 和解决的重大课题. 现如今,全球网民数量已接近 7 亿,网络已经成为生活离不开的工具,经济,文化,军 事和社会活动都强烈地依赖于网络.网络环境的复杂性,多变性以 及信息系统的脆弱性, 开放性和易受攻击性, 决定了网络安全威胁的客观存在. 人们在享受到各种生活便利和沟通 便捷的同时,网络安全问题也日渐突出,形势日益 严峻.网络攻击,病毒传播,垃圾邮件 等迅速增长,利用网络进行盗窃,诈骗,敲诈勒索,窃密等案件逐年上升,严重影响了网络 的正常秩序. 网络系统的安全性和可靠性正在成为世界各国共同关注的焦点. (以上摘自 《通 信信息报》) 威胁触目惊心 根据公安部一份信息网络安全状况调查显示,在被调查的 7072 家政府,金融证券,教 育科研,电信,广电,能源交通,国防和商贸企业等信息网络中,发生网络安全事件的比例 为 58%. 其中,计算机病毒,蠕虫和木马程序造成的安全事件占发生安全事件单位总数的 79%,拒绝服务,端口扫描和篡改网页等网络攻击事件占 43%,大规模垃圾邮件传播造成 的安全事件占 36%.特别地,计算机病毒的感染率为 87.9%,比上一年增加了 2%. 上述调查对象都是国内信息安全投入比较高的大行业,防火墙,入侵检测,防病毒等常 见安全产品基本都已部署,但仍然遭受了触目惊心的安全危害. 1.1 传统安全架构无法应对基于应用的攻击模式 传统安全架构无法应对基于应用的攻击模式 基于应用的攻击

防火墙无法保护处于它身后的网络不受外界的侵袭和干扰 防火墙无法保护处于它身后的网络不受外界的侵袭和干扰 无法 防火墙一直是网络及应用安全的代名词,在瞬息万变的信息时代,这个曾经叱咤风云的 一代宗师,今天却成为了信息安全的误区,防火墙仍然安全吗? 众所周知,今天的应用逐渐向 Web 转换,这意味着什么呢?参见下图:

3

传统的应用,不同应用具有不同的端口,防火墙为不同应用开放不同的端口,见左图, 今天的应用向 WEB 转换,不同的应用全都承载在 WWW 端口上,防火墙只需开放一个端口,即 WWW(80)端口,见右图.左边的防火墙开放了多个端口,而右边的防火墙只开放了一个端 口(80),因此右边的防火墙比左边的更安全吗?当然不是: 入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门; 防火墙不能防止来自网络内部的袭击,通过调查发现,将近 65%的攻击都来自网络 内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设; 传统防火墙不具备对应用层协议的检查过滤功能,无法对 Web 攻击,FTP 攻击等做 出响应,防火墙对于病毒蠕虫的侵袭也是束手无策.我们试想发,应用向 WWW 转换 后,原来每一个应用的报头信息,今天全部成为 WWW 应用的净负荷(PAYLOAD), 防火墙若不具备深度包检测的机制, 应用向 WEB 转变将导致防火墙形同虚设, 根据 GARTNER 的预测,如果防火墙还只局限于状态检测而不具备深度包检测的机制,将 很快面临淘汰的厄运.

IDS 无法完全弥补防火墙的不足 为了弥补防火墙应用协议检查的不足, 在网络世界里, 人们开始了对入侵检测技术的研 究及开发.IDS 技术应时而生,为网络提供实时的监控,并且在发现入侵的初期采取相应的 防护手段. 但是,人们也逐渐意识到 IDS 所面临的问题. 较高的漏报率和误报率. IDS 是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击.

4

1.2

单一的 IPS 和 DOS 防范模式无法应对层出不穷的攻击手段 今天网络黑客的攻击手段多种多样,总结起来分为两类,一类是 INTRUSION(入侵),

另一类为 DDOS (拒绝服务) 这就是为什么今天市场上流行着两大类型的安全产品: (入 . IPS 侵防护系统)及 ANTI-DDOS(拒绝服务防护系统).

而今的 IPS 及 ANTI-DDOS 的方式主要有: 通过攻击特征库查询来防御攻击入侵和 DDOS 攻击; 通过阀值的限制来实现 DDOS 攻机防范.

但不幸的是,上述防范方式无法应对层出不穷的攻击手段: 攻击特征码只有在攻击发生以后才能被分析出来, 因此这种防御手段虽然有效, 但 是缺少足够的主动性;

通过阀值的限制误判的可能性极大,会在防范攻击的同时严重损害正常的应用 和服务; 新型的攻击层出不穷,基于特征和基于阀值的防范方式都只能从网络的行为的 局部来降低攻击带来的负面影响.

因此,在网络安全形势日益严峻的今天,我们需要多层次的,真正了解网络行为并 行之有效的主动防范机制.

5

2

Radware DefensePro(DP)解决方案 ( )
Radware 在业内首先提供了高达 6 千兆位的速度防范入侵和拒绝服务攻击的安全交换

机.该交换机可以实时地隔离,拦截和阻止各种应用攻击,从而为所有网络化应用,用户和 资源提供了直接保护.DefensePro 是市场上唯一同时具备 IPS,ANTI-DDOS,基于网络行为 模式 BDOS 的安全产品, 并具备带宽管理功能, 有效地在出口限制 P2P 应用带宽及垃圾流量.

2.1

DefensePro 攻击防范 DefensePro 采用了多层安全架构,分别检测和抵抗不同类型的攻击,确保只有"清洁"

流量进入收保护的区域.

6

2.1.1

Dosshield 实现已知攻击工具防范

DefensePro 的 DoSShield 模块借助高级的取样机制和基准流量行为监测来识别异常流 量,提供了实时的,数千兆位速度 的 DoS 防范. 该机制会对照 DefensePro 攻击数据库中的 DoS 攻击特征列表(潜在攻击)来比较流量 样本. 一旦达到了某个潜在攻击的激活阈值, 该潜在攻击的状态就会变为 Currently Active (当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包.如果发现匹配的特 征,相应的数据包就会被丢弃.如果没有匹配的特征,则会将数据包转发给网络.

借助高级的取样机制检测 DoS 攻击,DoSShield 只在出现了严重带宽滥用的情况下,才 会判断攻击的存在,它会外科手术般地采用逐包过滤除去攻击流量.而当攻击不再活跃时, DoS Shield 也能检测到相应状态并停止逐包过滤的操. 这样不仅可实现完全的 DoS 和 DDos 防 范能力,而且还保持了大型网络的高吞吐量. Dosshield 的主要优势: 监听和采样机制, 只有在出现严重攻击时才采取防范措施, 保证了大型网络的高性 能和高吞吐量; 基于特征码的防范策略,对正常应用无影响,保持了极低的误判率. DoS Shield 作为第一道防范体系,负责在抵御已知 Flood 攻击的同时传输其他流量, 而这些其他流量中还可能包含未知的新型攻击, 它们将由第二道防范体系-Behavioral DoS 模块来实现防护.

7

2.1.2

Behavioral DoS 基于网络行为模式实现自动攻击防范

借助于先进的统计分析,模糊逻辑和新颖的闭环反馈过滤技术,Radware B-DoS 防范模 块能够自动和提前防范网络 Flood 攻击和高速自我繁殖的病毒,避免危害的发生.

Radware's 自适应 Behavioral DoS 防范模块自动学习网络上的行为模式,建立正常基 准,并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量. 通过概率分析,该模 块使用一系列提取自数据包包头和负荷的参数,例如 ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum 值等共 17 个参数,来实 时定义即时异常流量的特点.为了避免误判而阻止合法用户的正常流量,该模块还会采用 "与""或"逻辑运算来尽量精确攻击的防范策略.

所有上述流程都由 DefensePro 自动完成,无需人为干预,能够在数千兆位的网络环境 中精确防范已知攻击,Zero-day Dos/DDos 攻击和自我繁殖网络蠕虫.

8

Behavioral DoS 防护模块的攻击检索机制即不使用特征码,也不依赖于用户定义的行 为策略和阀值. 它还可以自动适应网络中的正常流量变化, 因此它不会影响网络中的正常应 用行为. B-DoS 能够非常有效的抑制以下已知和未知的攻击: SYN Flood TCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods) UDP Floods DNS floods (基于 UDP 53 端口) UDP Flood 和 ICMP 反向散射(unreachable 信息) ICMP Floods IGMP Floods Zero-Day 高速自我繁殖蠕虫(SQL Slammer, Blaster, Welchia, 等)

Behavioral DoS 的主要优势: Zero-day Dos/DDos 的未知攻击防范,无需认为手工干涉; 对 DoS 攻击的完全防范,较低的 CPU 资源消耗; 自适应的行为判别模式,将误判率降至最低; 完全自适应功能,无需策略配置,无需维护成本.

2.1.3

入侵防范防范各类应用攻击 入侵防范防范各类应用攻击

为了确保 DoSShield 和 Behavioral DoS 模块不会遗漏任何攻击并危害运用户网络应用 的关键应用系统,Radware 还提供另一道防护屏障-入侵防范. 通过对比入侵特征库, DefensePro 阻止攻击数据包来建立最后一道屏障. 入侵特征库罗列一系列会对网络造成严重破坏的应用层攻击,通常包括在 Internet 上 近期出现和爆发的滥用带宽资源的攻击,NetSky,,Bagle,Mytob,Blackmal,Sober 等蠕 虫以及它们的变种都在其中.DefensePro 会对数据包进行逐一检查,并根据恶意攻击模式 执行特征比较.它可以识别 Radware 安全数据库中的 1600 多种攻击特征.为了防范新的攻 击形式,数据库会不断被更新.对于未知形式的攻击,可以使用协议异常检查功能来检测. 通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动. 快速的攻击特征比较 快速的攻击特征比较 为了支持数千兆位的特征扫描速度, DefensePro 专门采用了基于 ASIC 的强大加速器 – StringMatch EngineTM.StringMatch Engine 支持并行的特征搜索操作,可对照特征数据库 进行高速的检测和数据包比较.同使用 Intel Pentium 4 CPU 进行串行特征搜索相比,其字 符串搜索速度提高了 300 倍.
9

实时抑制攻击 当检测到恶意活动时,DefensePro 可能以任何组合形式立即执行以下的这些操作:丢 弃数据包,重置连接以及向管理位置发送报告.这样就为该设备之后的应用,操作系统,网 络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫,病毒和其它形式的攻击. 入侵防范的主要优势: 基于特征的入侵识别,能够准确地识别和抑制攻击; 专用的硬件加速器,确保了告诉的检测和防范以及网络吞吐量. 2.1.4 其它安全相关功能

除了上述三个模块外,DefensePro 还提供以下功能: 黑白名单( List) 黑白名单(Black and White List)-访问控制列表

Syn Flood 防范 - 为了提供全面的 SynFlood 攻击防范能力,除了 Dosshield 和 Behavioral Dos 之外,DefensePro 采用 SynCookie 技术基于源地址监视来发现恶意攻击源, 并提供多重级别的防范措施.

异常流量(Anomalies)防范- 异常流量(Anomalies)防范-为了逃避安全设备的检查,黑客通常会采用拆包并将攻 击分成多个数据包碎片传输.此类攻击被称作 Anomalies. 针对此类攻击,DefensePro 提供了也体动相应的防范能力: 异常协议类; Buffer Overflow 类; HTTP 碎片类

状态检测( inspection) 状态检测(Stateful inspection)-DefensePro 提供针对协议滥用等攻击,提供状态 检测攻击防范能力,可以防范的攻击例如: TCP Flooding:SYN-ACK (反射攻击), TCP 数据包风暴; Stealth 扫描:通过发送 TCP fin / rst /ack / syn-fin 数据包,以图发现开放的端口; DNS reply flooding: 使用大量的 DNS 响应数据包攻击服务器; ICMP Echo reply flooding: 使用大量的 echo reply 数据包攻击服务器(Smurf); 防扫描(Anti-Scanning)黑客在发起攻击之前,通常会试图确定目标上开放的 TCP/UDP 端口,而一个开放的端口通常意味着某种应用,操作系统或者后门. DefensePro 提供此类探测的防范能力. 带宽管理

10

在提供强大的安全功能同时,DefensePro 的带宽管理功能.DefensePro 能够根据网络 数据包的源/目的地址,应用端口和内容(IP header 或 IP Data)区分流量,还可以限制相 同用户的并发会话和每个会话的带宽,从而阻止和控制各种流量的带宽应用. 2.2 DefensePro 的安全报告 当 DefensePro 检测到攻击时,它会将该安全事件报告.在报告中包含有全面的流量信 息,比如源 IP 地址和目标 IP 地址,TCP/UDP 端口号,物理接口以及攻击的日期和时间.可 以使用设备日志文件和报警表格在内部记录安全事件信息, 或者通过系统日志渠道, SNMP 陷 阱或电子邮件将安全事件信息发送到外部.

还可以根据网络中的实时安全状况,以雷达图的方式提供当前的攻击严重程度以及数 量等信息.

11

3

DefensePro 解决方案优势
高效,易于使用和维护是优秀安全解决方案的必要特点. 在提供保护的同时不干涉合法 高效 -保护手段必须提供准确和精细的侦查和预防机制,

的流量.这一点是至关重要的,它保证了关键应用既使面临一次巨型的攻击,也能够提供正 常的服务. Simplicity/TCO - 复杂配置和频繁的更新维护会导致配置错误,最终引起攻击的误判. 因此,保护措施必须易于配置和管理,而且需要最少的特征更新和其它维护. Radware DefensePro 安全交换机独具的多层安全架构完全具备了上述要求,在功能和 性能上都是用户保护网络应用的最佳选择: 创新的硬件架构提供高达 6G 的安全吞吐能力; 多层防范体系使用户远离 DDOS 攻击带来的困扰和损失; 基于行为模式的自动 BDOS 攻击防范机制最大程度降低用户的 TCO 和缩短对新型攻 击的相应时间; 带宽管理功能降低垃圾流量对网络带宽的恶意占用; 集 DDOS 防范,IPS 和带宽管理于一身,保护用户投资.

12


相关文章:
DefensePro安全解决方案.doc
6 3. DefensePro 安全解决方案建议公司分支机构众多,各个机构之间通
DefensePro解决方案.doc
Radware-DefensePro - 安全解决方案 安全解决方案 Radwa
DefensePro安全解决方案.doc
6 3. DefensePro 安全解决方案建议公司分支机构众多,各个机构之间通
DefensePro_产品介绍_图文.pdf
DefensePro_产品介绍 - Radware安全产品,业界最佳的DDOS攻击防范解决方案... DefensePro_产品介绍_IT/计算机_专业资料。Radware安全产品,业界最佳的DDOS攻击防范解决方案 ...
DefensePro保护DHCP服务器.doc
Radware DefensePro 保护 DHCP 服务器 DHCP 服务器安全需求 DHCP 是 Dynamic ...DefensePro安装和维护 V... 48页 免费 DefensePro解决方案 12页 免费 Radware...
DefenseProSolution.doc
DefenseProSolution - Radware-DefensePro - 安全解决方案 安全解决方案 Radware China 目录 需求分析...
Radware DefensePro流量清洗解决方案_图文.pdf
Radware DDoS 流量清洗解决方案如下: 1.1:初始连接拓及正常流量拓扑 4 Radware DefensePro DDoS 清洗中心解决方案由 Radware DefensePro 和一台 Router 组成, ...
Radware DDoS攻击防御解决方案_图文.ppt
Page 37 解决方案: DefensePro DoS防御系统 网络行为分析 自动化的实时特征 服务器行为分析 客户端行为分析 DefensePro DoS自动防御引擎静态特征 漏洞分析中心 协议...
DefensePro_部署和案例分析_图文.ppt
DefensePro_部署和案例分析 - DefensePro部署和案例分析 P
Radware政府用户解决方案-new.doc
RADWARE 针对政府用户的 针对政府 政府用户的 整体解决方案 以色列 Radware 有限公司...23 3.1 DefensePro -实现入侵和 DOS 攻击的实时防范 ... 23 3.1.1 Dosshi...
DefensePro安装和维护 V3.0.doc
38页 2财富值 DefensePro解决方案 12页 免费如要投诉违规内容,请
Radware_DefensePro安装配置手册(华为内部资料).doc
Radware_DefensePro安装配置手册(华为内部资料) - Radware DefensePro 安装配置手册 华为内部资料 密级:高 V 3.04.07 Radware,Inc ...
Radware一体化应用级安全产品DefensePro_论文.pdf
Radware一体化应用级安全产品DefensePro_信息与通信_工程科技_专业资料。RadWare...解决方案 . MB 准备开放公众域名注册 OI I 源讯公司 (o ii)近 日宣布 :...
Radware发布一体化应用级安全产品DefensePro_论文.pdf
Radware发布一体化应用级安全产品DefensePro_专业资料。全球智能应用交换机...的应用安伞解决方案 Dfner有 络发伞交换机和J速的荩 eesPo具】u于 ...
Radware DefensePro安装配置手册.doc
36 一、配置说明 软件版本:3.04.07 管理软件:APSolute Insite 基本的网络拓扑图 二、初始配置: 初始配置: 配置 DefensePro 的初始配置可以通过 Console 的方式, ...
Radware DefensePRO_P2P配置手册.doc
Radware DefensePRO_P2P配置手册 - 1. 清除现有配置,恢
AppDirector 6000和DefensePro 6000为关键业务应用提供....pdf
AppDirector 6000和DefensePro 6000是Radware公司APSolute产品套件中的关键组件。该套件是业界中基于内聚式架构的应用提供解决方案,可以在网络的每一个关键点实现从无到...
AppDirector 6000和DefensePro 6000为关键业务应用提供....pdf
AppDirector 6000和DefensePro 6000为关键业务应用提供可用性、性能和安全性_专业...近日,Radware正式推出屡获殊荣的应用前台解决方案App Director 6000以及适用于...
RDWR_APSolute_应用安全解决方案v1.0_图文.ppt
RDWR 应用安全解决方案V1.0 Page 1 Agenda 安全挑战 APSolute Security 多层次SYN攻击保护 行为分析DoS防御扫描防御 带宽管理 遂道支持 容错 DefensePro 产品线 ...
RDWR_APSolute_应用安全解决方案v1.1_图文.ppt
RDWR 应用安全解决方案V1.1 Page 1 Agenda ? Market trends & security challenges ? Radware’s DefensePro ? Introduction to DefensePro ? Security layers of...
更多相关标签: