Radware电力行业解决方案
Radware电力行业解决方案 11 电力行业现状及应用分析 31.1 电力行业应用访问现状及需求 31.2 电力行业应用安全现状及需求 32 Radware 电力行业解决方案 42.1 方案简单描述 42.2 Radware应用访问解决方案 52.3 Radware安全解决方案 83 Radware 解决方案的优势 93.1 高可用性 93.2 高性能 93.3 可扩展性 93.4 高安全性 91 电力行业现状及应用分析1.1 电力行业应用访问需求及现状随着电力行业信息化近几年的快速发展,信息化基础设施建设已成规模,应用系统正有效地支撑企业业务的发展和壮大,电力企业信息化建设重点也由“重建设”向“重管理”转变;管理思想从“管理IT基础设施”向“提供IT服务”转变;运作模式从“被动式服务”向“主动式服务”转变;越来越多的管理和服务都开始基于网络平台开展,如何保障各个管理、业务系统对外提供的服务不被中断同时给访问者以最快的内容传递?这个问题也越来越引起管理者的重视目前电力企业的WAN访问一般是通过电信和网通两个出口实现,对于短信网关则使用的是移动或联通出口,出口的管理还是依赖于传统上的路由技术,通过在出口路由器上人为静态配置策略路由或目的路由来进行流量管理,这种管理方式很容易导致当一条WAN链路中断时,使用该链路的部分用户访问就会被停止;同时由于故障的应急修复需要人工干预,这也极大的增加了各应用系统对外服务运行的不稳定性和不可靠性。
1.2 电力行业应用安全现状及需求电力通信数据网是电力系统为电力总局、电厂、供电局、变电站及与分局之间提供业务通道的基础网络设施,在这个数据网络上将会运行越来越重要的业务系统,而面对着日益增多的黑客、病毒对网络的有意无意的攻击,窃取重要敏感信息,网络安全问题也将是电力公司必须面对的一个问题如果经常由于网络安全问题的存在导致服务不可用,信息的泄露,某个重要的业务系统陷入瘫痪,这会给电力公司带来无法衡量的损失随着Internet的发展,网络安全事件层出不穷,安全事件造成的损失也越来越大对于电力公司的网络应用而言,最大威胁是目前网络中存在各种DoS/DDoS攻击,这些以消耗网络和主机资源达到服务能力耗尽的攻击将对电力公司应用系统的正常运行造成干扰;同时各种类型的蠕虫、病毒和后门软件也对电力公司的关键信息资源形成了威胁;传统的防火墙、IDS等安全设备在对付这种类型的攻击时都无法实现最佳的保护防火墙不再可以依赖,那么我们需要什么技术来维护应用的安全呢?我们需要分析黑客可能会对我们做什么,今天网络黑客的攻击手段多种多样,总结起来分为两类,一类是INTRUSION(入侵),另一类为DDOS(拒绝服务)。
这就是为什么今天市场上流行着两大类型的安全产品:IPS(入侵防护系统)及ANTI-DDOS(拒绝服务防护系统),而今的IPS 及ANTI-DDOS 大都是通过攻击特征库查询来防御攻击,不幸的是攻击特征码只有在攻击发生以后才能被分析出来,因此这种防御手段虽然有效,但是缺少足够的主动性,而基于行为的DDOS防御手段(BDOS)确是一种有效的主动防御手段 2 Radware 电力行业解决方案2.1 方案简单描述Radware公司作为一家专注于智能应用交换的厂家,一直以来都在帮助企业用户解决网络应用的可用性、性能问题和安全问题针对电力公司的关注焦点提出了自己的解决方案,来帮助电力企业优化和提高客户体验主要集中在:1、电力公司面对多宿主接入,即多条链路接入Internet后,要求对多条链路线路的使用实现负载均衡,当多条链路同时提供服务,需要保证外部用户数据包从哪一条链路进来从哪一条链路回去,保证内部用户选择最优链路访问外部资源,同时,当一条链路出现故障时,用户自动可以使用另一条链路;2、电力网络应用的安全解决方案,协助电力公司保护内网服务器资源免受目前网络上最有威胁的DoS/DDoS攻击的影响;图一 电力总局网络拓扑服务器客户端总局LinkProof Branch防火墙交换机分支机构 WAN企业专网图二 总局和分支机构的连接拓扑上图是一个部署了Radware应用访问解决方案和应用安全解决方案的典型网络拓扑。
图一 在用户网络的出口部署了Radware两台linkproof用于链路负载均衡,现对多条internet接入链路(最多100条)的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问内部服务器)双向的负载均衡; 同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择,大大提高用户访问的服务质量和访问效率图二 在分支机构的网络接入处,部署LinkProof Branch,实现对internet接入和企业广域网接入这两条链路的负载均衡,根据分支机构办公用的访问的目的地址或者应用,智能的选择链路,实现两条链路的冗余备份和透明容错,保证了分支机构访问总部关键应用的100%的高可用性 在网络接入处部署DefensePro,可以识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式,保护内部用户和服务器的安全;同时,通过把端口两两静态绑定,虚拟成多台逻辑设备,分别部署在核心交换机和企业广域网之间保护入侵和攻击不致互相扩散2.2 Radware应用访问解决方案流入(Inbound)流量负载匀衡LinkProof能够灵活有效地管理来自Internet的访问,即流入(InBound)流量。
使用户总是沿着最佳链路访问网站等服务,达到最佳的用户响应如下图所示,假设图中有一台WEBserver,提供internet主机名为的服务,私有地址为192.168.1.100.SmartNAT针对采用域名方式实现访问的应用,SmartNAT功能和LinkProof上集成的DNS代理结合在一起,即能够完成流入流量的负载均衡在DNS服务器上注册两条NS记录,指向LinkProof: www ns1 LP-CNC www ns2 LP-Telecom 在LinkProof上设置URL与内部主机地址的对应关系: 192.168.1.100在LinkProof上设置静态的地址翻译: 192.168.1.100 100.1.1.100 192.168.1.100 200.1.1.100当有Internet用户访问 时,DNS服务器回应给用户由LinkProof来完成最终地址解析LinkProof根据用户的具体设置来选定适当的ISP线路,如果是网通用户则选择电信ISP,将地址解析为100.1.1.100同样,如果是电信用户则选择电信ISP,则将地址解析为200.1.1.100。
从而完成流入流量的负载均衡针对直接采用地址实现访问的应用,LinkProof通过静态NAT将服务的内部地址一对一地转换为公网地址就近性对于流入的流量,LinkProof使用就近性判断机制就近性机制分为静态和动态两种方式: 静态就近性:针对已知的用户范围和网络的就近性(例如网通用户应采用网通线路,电信用户使用电信线路),LinkProof上可以设置静态就近性表,要求用户严格按照该表来选择线路;动态就近性:考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址这个“近”其实是“最佳”的概念,因为往往物理上最近的线路不见得就是当时最佳的路径,将Latency,Hop,Load参数通盘考虑选优是Radware独有的技术并已获取专利,能够准确有效地选择最佳路径流出(Outbound)流量负载匀衡LinkProof主要采用以下集中方式来处理流出流量: SmartNAT对于流出流量的智能地址管理,LinkProof使用了称为SmartNAT的算法当选定一个路由器(某一个ISP)传送流出流量时,LinkProof将选择该ISP提供的地址在上图中,如果LinkProof选择电信ISP作为流出流量的路径,则它将把内部的主机地址翻译为电信ISP路由接入网段的地址,并作为流出数据包的源地址。
同样,如果LinkProof选择网通ISP作为流出流量的路径,则它将把内部的主机地址翻译为网通IPS路由接入网段的地址并作为流出数据包的源地址Content Routing为了优化流出的流量,LinkProof还为流出的流量实施就近性运算如果内部网络的某一台内部主机要访问某一Internet站点,可能通过一个电信ISP的路径比通过网通ISP的路径有效因此,LinkProof可以提供就近性算法,为流出到某一个站点的流量选择最佳的ISP路径,保证所需内容最快到达目的地,提高服务的品质;LinkProof的就近性算法考虑路由的跳数、路径的延迟和负载状况来进行对每个目的地的就近性运算,选择最佳的流出流量传输路径;该就近性算法为Radware专利技术,属Radware公司所独有利用全路径检康检测监控链路状况LinkProof能够灵活有效地判断Internet链路的健康状况,作为分配流量的前提A、全路径健康检查 LinkProof的一个主要作用是检测ISP链路的可用性,即健康状况而一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的因此,LinkProof提供了全路径健康检查的功能,可以做到从发起端到接收端进行全面而精确的健康检查,最多能够完成10跳路由的健康的检测,从而保证整条数据链路的通畅,提高服务质量。
B、健康检查模块 LinkProof的健康检查模块提供更为健全和灵活的判断机制当ICMP的数据包出于安全原因而被ISP禁止时,该方法的优势就有了更充分的体现此时,可以通过多个Internet站点的可达性,来共同判断一条链路的状况例如,通过电信线路检查、、以及的TCP 80端口,并对检查结果做“或”运算这样,只要其中一个站点可达,即可表明链路状态良好该方法即避免了ICMP检查的局限性,也避免了单一站点检查带来的单点失误冗余配置由于服务的可靠性越来越成为因特网上的一个主要问题,所以用户越来越多地在安装像应用交换机这样的因特网通信量控制设备时考虑到冗余配置;LinkProof是通过采用相同的协议和配置机制实现设备的冗余LinKProof使用Radware已被证明的冗余机制,其中设备的状态监视通过网络来实现,从而祢补了设备故障和网络故障如果主LinkProof或其网络连接之一发生故障,则备用LinkProof能够非常容易的接管主LinkProof的工作在两条链路正常的情况下,无论是InBound 还是OutBound 的流量, Active LinkProof都可以采用Radware独特的智能地址翻译(Smart NAT)来实现负载的均衡,并且还可以使用Radware独有Proximity算法为其选择最“近”的路径。
在其中一条链路中断的情况下,LinkProof同样可以保证Inbound 和OutBound流量的畅通,Backup LinkProof利用VRRP组播包监视Active linkProof的状态,随时准备接管它的一切功能同时在Backup LinkProof 上启动Session Mirror 功能, 实时的复制Active LinkProof上的连接信息,当检查到Active LinkProof 上的连接出现问题时及时接管,以确保已有的网络session不会造成失效2.3 Radware安全解决方案由于传统的防火墙只能检查数据包网络或传输层的信息,对于目前网络中大量隐藏在正常应用端口如HTTP等中的攻击无法检测因此一种深度包检查(DPI)的技术已经出现,通过发现深藏在数据包内部的攻击来实现对于攻击的真正防范而RADWARE 的 DefensePro就是最佳的选择,DefensePro是市场上唯一同时具备IPS,ANTI-DDOS,BDOS的安全产品,也是安全市场上处理能力最快的安全产品,最高安全处理能力高达6G并具备带宽管理功能,有效地在出口限制P2P应用带宽及垃圾流量Radware DefensePro提供了多种技术手段来发现和防范各种攻击的发生,其中有黑白名单、多层syn 攻击的防范、基于特征的蠕虫、病毒、后门软件和DoS攻击的防范、基于特征和采样相结合的DoS-Shield功能、连接限制、BDOS等。
其中BDOS功能是目前业界最先进的基于网络行为模式的攻击防范技术,通过监控网络中的流量模型,不但能防范目前已知的flooding攻击类型,也能够对“zero day”攻击进行有效的防范DefensePro BDOS 功能不单只检测流量的行为异常,并监测TCP/UDP/ICMP 等状态的分布异常,避免产生误报的发生,如新闻网站,经常因为头条新闻而导致流量剧增,若只检测流量的行为异常,必定产生误报,DefensePro BDOS监测TCP/UDP/ICMP 等状态的分布异常,避免产生误报见下图:综合DefensePro上述的安全防范功能,配合Radware的ApsoluteInsite网络管理软件,能够实时扫描网络中的攻击,一旦当攻击发生时自动触发防御和报告机制,主动保护网络中的资源ApsoluteInsite网络管理软件还能采集网络中的各种安全事件,形成各种报表,供安全维护人员和公司决策层参考 3 Radware 解决方案的优势3.1 高可用性LinkProof 连续监视每个 Internet 连接的状态,它通过定时检测网络外部节点的状态来检查每个接入Internet的路径是否健康,通过检查可以确保只使用那些高效运转的接入链路;可以安装两台LinkProof设备实现冗余配置,从而保证即使主用设备发生故障的情况下也可以对多链路的管理,更确切的说,保证电力公司业务系统对外提供的服务稳定运行。
3.2 高性能LinkProof特有的获得专利的“优化的内容路由”技术能够确保通过最佳链路传递特定内容在决定哪条链路能够为特定内容提供最佳性能时,LinkProof会综合考虑与请求内容的网络就近性、链路的实时负载与链路的成本因此,最终用户将充分享受到经过优化的服务和极快的响应时间,进一步提高用户的访问效率,使得用户的体验最优化3.3 可扩展性 增加新的链路和路由器非常简单,只要求做很少的配置工作,并且不需要对网络进行大的改动LinkProof 对所使用的 ISP、链路或路由器是完全透明的,您可以根据需要灵活扩充多宿主网络3.4 高安全性通过部署Radware的DefensePro设备,保护网络中的资源免受目前网络中肆虐的安全攻击的危害同样为客户的应用提供了安全可靠的保证,使的电力对外提供的服务能够在各种条件下时刻向客户提供服务使得电力公司对外提供的服务对于他们的客户是可期望的,进一步保证用户的体验能够一致满意的。
