defensepro安全解决方案

DefeenseeProo安全解解决方案案Radwwaree 广州州代表处处20044.5目录1.Raadwaare公公司介绍绍32.需求求分析662.1网网络安全全面临的的问题663.DeefennsePPro安安全解决决方案建建议73.1系系统总体体结构图图73.2RRadwwaree DeefennsePPro介介绍83.3网网络应用用安全解解决方案案183.3..1攻击击的形式式183.3..2Raadwaare SynnAppps的安安全解决决方案1194.产品品说明2294.1SSynAAppss294.2RRadwwaree DeefennsPrro硬件件平台3334.2..1Apppliicattionn Swwitcch III 交交换机3334.2..2Apppliicattionn Swwitcch IIII交交换机3364.3RRadwwaree设备管管理4444.3..1SNNMP网网络管理理系统4444.3..2Coonfiigwaare Inssitee45设备管理理45站点配置置和管理理45模板和向向导477跨多台设设备的智智能化管管理477统计信息息的查看看和性能能监视448报警511总结5114.3..3标准准的网络络浏览器器514.3..4利用用Tellnett或CLII方式：：524.3..5SSSH管理理手段5521. Radwwaree公司介介绍Radwwaree公司是是RADD集团的的成员之之一，RRAD集集团目前前拥有114个各各自独立立的公司司，在网网络及通通讯产业业领域提提供不同同的技术术，服务务不同的的市场。

119999年在NNASDDAQ上上市(RRDWRR)，用用户遍及及40多多个国家家,在全全球有1130家家经销商商.Raadwaare逐逐步成为为负载均均衡设备备市场上上毫无疑疑问的领领导者随着Innterrnett及Inntraanett市场快快速持续续增长，有有关网络络流量及及IP服服务品质质的相关关问题日日趋严重重Raadwaare公公司作为为全球领领先的网网络智能能应用交交换解决决方案提提供商，其其任务就就是通过过最优化化的资源源的使用用率，在在Intternnet、IIntrraneet或EExtrraneet应用用中提供供既经济济、功能能又强大大的网络络应用环环境该该类方案案能确保保动态网网络的稳稳定性，包包括提供供最优的的连续性性、个性性化的安安全服务务Inteerneet 智智能应用用交换((Inttellligeent Apppliccatiion Swiitchh -IIAS)) 解决决方案提提供全局局和本地地网络资资源之间间的智能能 IPP 负载载均衡，使使我们能能够确保保网络的的确定性性无论论网络大大小，我我们的全全线 IIAS 设备都都能够提提供完整整的、端端到端的的流量管管理解决决方案。

RRadwwaree IAAS 技技术在优优化服务务资源和和控制成成本的同同时消除除了创建建安全网网络环境境的不确确定性Radwwaree 产品品系列中中包括为为满足IIP应用用服务器器、防火火墙、ccachhe 服服务器和和 WAAN 链链接而开开发和设设计的产产品我我们的产产品结合合市场上上丰富的的功能设设置，提提供了完完全可扩扩展的解解决方案案通过过使用 Raddwarre 获获奖的 Webb Seerveer DDireectoor 系系列和 Cacche Serrverr Diirecctorr，网络络在保持持 1000% 正常运运行时间间的同时时，可获获得高可可用性、容容错和冗冗余性能能，并使使用 FFireeProoof 和 LLinkkProoof 来管理理防火墙墙群集和和多归路路网络的的流量它它们都可可以舒缓缓服务器器、快取取服务器器及防火火墙服务务器的拥拥塞状况况，提高高可存取取性及可可管理性性Radwwaree IAAS 设设备优化化了所有有公司、电电子商务务企业和和全球主主要 IISP 的网络络性能并并与主要要的企业业解决方方案提供供商合作作，为客客户提供供最先进进的技术术和服务务。

Raadwaare的的负载均均衡设备备可与ccutttingg-eddge技技术及大大多数可可知的重重要算法法协同运运作，优优秀的容容错及备备援性能能带来了了最佳的的可用性性，并且且避免网网络中单单点故障障的发生生 Radwwaree 拥有有最强大大的市场场分销渠渠道，产产品目前前应用于于许多财财富5000强企企业中，同同时还提提供给了了全球各各大主要要的互联联网络服服务供应应商(IISP))上随随着电子子商务的的继续发发展和 IP 流量的的增加，RRadwwaree 将继继续开发发创新的的解决方方案来提提高生产产力、消消除您网网络基础础结构中中的不确确定性，并并提供从从点击到到内容的的最完美美的服务务Radwwaree在负载载均衡系系统上的的技术领领先地位位可由在在Webb Seerveer DDireectoor产品品线上所所获得的的众多奖奖项证明明，这些些奖项包包含PCC Maagazzinee Edditoor'ss Chhoicce、 Nettworrk mmagaazinne'ss Prroduuct of thee Yeear、 ZD Intternnet Labb's Nett Beest、 Sprringg Innterrnett Woorldd'988、Loos AAngeeless, BBestt off Shhow 及Neetwoork Commputtingg maagazzinee's Ediitorr's Chooicee。

                                 Radwwaree主要产产品Radwwaree主要提提供八大产品系列列，其中中：Web Serrverr Diirecctorr （WWSD）可以有效地均衡IP负载，优化网络性能WSD在Internet和服务器集群(Server Farms)之间具有战略性的地位，它可以监视所有的用户请求并在可用的应用资源之间进行智能化的负载分配，从而可以提供极好的容错、冗余、优化和可扩展性能 DefeenseeProo 是33GBpps位速速度的安安全交换换平台，它它为保护护网络化化应用免免遭攻击击威胁提提供了高高速的入入侵防范范能力和和拒绝服服务攻击击防范能能力DDefeenseeProo 提供供以下功功能： 攻击监监测和隔隔离；入入侵防范范；拒绝服服务攻击击防范；；流量控控制；安安全更新新服务；；安全性性报告Conttentt Innspeectiion Dirrecttor (CIID ))提供了了容错和和充分优优化的防防病毒扫扫描和内内容过滤滤功能，从从而实现现了高性性能、高高性价比比和高度度可扩展展的内容容安全Cachhe SServver Dirrecttor((CSDD) 是是一种智智能化的的 Innterrnett高速缓缓存服务务器管理理和负载载均衡系系统。

该该系统是是专门为为在网络络中使用用高速缓缓存服务务器阵列列的企业业而设计计的，CCSD可可以提供供优化的的Intternnet访访问和存存储资源源使用率率，同时时，也使使整个服服务器群群的性能能得以最最大程度度的发挥挥 FireeProoof 是一种种动态负负载均衡衡系统，可可有效地地管理多多个防火火墙和其其它安全全设备上上的流量量它使使用一系系列先进进的内建建式负载载均衡算算法，该该算法能能够监视视客户的的数量和和每个防防火墙上上的负载载，而FFireeProoof则则可以在在各单元元之间动动态地平平均分配配流量，同同时还可可以进行行双向的的流量管管理 LinkkProoof是是一种全全面的、易易于使用用的内容容交通管管理解决决方案，适适用于具具有多个个链接的的网络在在今天，越越来越多多的电子子商务公公司、二二级ISSP和企企业都开开始求助助于“mmultti－hhomiing”设设计来确确保百分分之百的的Intternnet访访问连续续性LLinkkProoof可可以确保保完全的的网络可可用性并并提供完完全可扩扩展的解解决方案案随着着网络需需求的增增长，该该解决方方案也能能随之成成长。

LLinkkProoof可可以向那那些需要要“永远远在线“的muultii－hoominng网络络提供一一种创新新的完全全内容流流管理解解决方案案 Peerr Diirecctorr是专为为控制、管管理和优优化Innterrnett路由而而设计的的Peeer Dirrecttor可可以使服服务提供供商和大大型企业业通过在在不同IInteerneet链路路中实施施流量重重定向策策略、来来控制他他们的IInteerneet路由由因此此它可以以减低管管理成本本和Innterrnett连接成成本提提高Innterrnett性能同同时管理理员可以以更好的的对连接接链路进进行控制制CerttainnT1000能够够在不降降低网络络性能的的情况下下为用户户提供快快速的SSSL交交易. CerrtaiinT1100 SSLL加密//解密功功能与RRadwwaree的流量量管理解解决方案案相结合合,在动动态增强强网络性性能的同同时能够够确保高高效、连连续和安安全的完完成电子子商务交交易SynAAppss Arrchiiteccturre是唯唯一能够够无缝和和动态分分配网络络资源的的产品,,从而确确保所有有网络应应用的可可用性,,最佳性性能和增增强的安安全性..它将应应用状态态监控、流流量重定定向、带带宽管理理、应用用安全和和DOSSshiieldd组合在在功能强强大的AASICC交换平平台中，为为综合性性的应用用服务管管理提供供了强大大的、灵灵活的和和可扩展展的解决决方案。

详情查询询，请垂垂讯：瑞得韦尔尔中国公公司大中中国区广广州代表表处：Tel::8620-85511--86112 Faxx:86620-38878118522Mobiile:: E-Maail::2. 需求分析析2.1 网络安全全面临的的问题各个机构构所倚重重的网络络化业务务应用正正面临越越来越多多的攻击击威胁，因因而可能能导致重重大的财财务损失失根据据CSII/FBBI 对对《财富富》杂志志评出的的前10000位位公司的的调查，在在20002年，因因为蠕虫虫、病毒毒和DooS 攻攻击，每每个机构构的平均均损失高高达1770万美美元为为了成功功应对呈呈爆炸性性增长而而且后果果日趋严严重的应应用级别别攻击，各各个机构构必须重重新审视视自己的的安全策策略对于一个个行之有有效的安安全解决决方案，它它必须考考虑当前前在应用用和安全全上的挑挑战这这些挑战战包括：：1. 对对分布式式应用的的依赖性性不断增增强– 各个个机构日日益依赖赖基于WWeb 的应用用和业务务级的分分布式应应用来开开展业务务分支支机构和和生产部部门也会会通过广广域网从从远程访访问CRRM 和和ERPP 等关关键应用用。

2. 网网络化应应用容易易受到攻攻击– 由于于80、1139等等端口通通常是打打开的，因因此如果果不对借借助这些些端口穿穿越防火火墙进入入网络的的流量进进行检测测，网络络化应用用将非常常容易遭遭到病毒毒、入侵侵、蠕虫虫和DooS 等等形式的的攻击为为保护网网络化应应用的安安全，需需要对所所有流量量进行深深入的数数据包检检测，以以实时拦拦截攻击击，并且且防止安安全性侵侵害进入入网络并并威胁各各个应用用3. 呈呈爆炸性性增长的的攻击–– 应用用攻击的的数量和和严重性性都在飞飞快地增增长，仅仅20003年就就出现了了42000多种种攻击形形式，而而且这一一数字每每年都会会翻一番番相应地，这这些攻击击造成的的损失也也呈直线线上升趋趋势据据报道，220033年8月月成为IIT历史史上最糟糟的一个个月在在该月，仅仅Sobbig 病毒就就在全球球造成了了2977亿美元元的经济济损失4. 当当前的安安全工具具无法拦拦截这些些攻击–– 在应应用层的的攻击面面前，防防火墙、IIDS 以及防防病毒网网关等现现有的安安全工具具缺乏相相应的处处理能力力、性能能和应用用安全智智能，从从而使各各个机构构暴露无无遗。

因此，一一种能用用数千兆兆位的速速度对所所有流量量进行双双向扫描描并且可可以实时时防范各各种应用用层攻击击（比如如蠕虫、病病毒、木木马和DDos 攻击）的的内置安安全解决决方案，无无疑已成成为当务务之急3. DefeenseeProo安全解解决方案案建议公司分支支机构众众多，各各个机构构之间通通过网络络连接，传传送电子子邮件，办办公应用用和企业业的业务务应用，然然而，由由于Innterrnett的连接接，以及及人员的的流动，为为企业网网络安全全带来了了不确定定性，如如果一台台电脑受受到攻击击或感染染病毒，当当安全补补丁还未未发布，安安全防范范措施来来不及实实施时，很很快攻击击就会波波及到整整个企业业网，一一旦发生生这种情情况，因因业务停停顿带来来的损失失非常巨巨大如何实时时防止蠕蠕虫病毒毒和恶意意代码的的攻击，变变得尤其其迫切因因此，根根据以上上用户的的需求分分析，我我们提出出以下RRadwwaree DeefennsePPro安安全解决决方案3.1 系统总体体结构图图公司原有有网络结结构示意意图如下下所示：：Cisco 7500Cisco GSRCisco GSRCisco GSRCisco 6509BackBoneCisco 6509UserUserUserUser由三台CCiscco GGSR组组成骨干干核心网网，75500连连接到IInteerneet出口口，各个个工作区区由Ciiscoo Caatallystt 65509实实现汇聚聚。

根据以上上结构分分析，网网络内部部可能存存在攻击击扩散的的位置主主要分为为两部分分：第一一是Innterrnett出口部部分，直直接面临临外部网网络的威威胁，如如果这部部分受到到攻击，则则有可能能对整个个企业内内部网造造成威胁胁；第二二部分是是各个工工作区的的汇聚点点之间，如如果一个个工作区区内部受受到病毒毒感染或或攻击，也也会蔓延延到整个个企业网网针对以上上结构特特点，RRadwwaree建议用用户使用用多台DDefeenseeProo来保护护企业的的网络：：针对IInteerneet出口口部分使使用一台台ASIII DDefeenseeProo，保护护企业网网络免受受外部病病毒和攻攻击；在在各个汇汇聚点之之间使用用两台AASIIII DDefeenseeProo，通过过使用MMutii-Seegmeent技技术实现现分布式式应用，虚虚拟多台台安全设设备，防防止病毒毒和攻击击在各个个工作区区之间扩扩散如如下图：：Cisco 7500Cisco GSRCisco GSRCisco GSRCisco 6509BackBoneCisco 6509UserUserUserUserDefenseProDefenseProMutii-Seegmeent技技术实现现示意图图：UsersRouterServersL2/3 Switch子网1 子网2子网3DefensePro单台DeefennsePPro设设备真实实的物理理连接如如下图所所示：3.2 Radwwaree DeefennsePPro介介绍Radwwaree DeefennsePPro 在业内内首先提提供了以以3千兆兆位的速速度防范范入侵和和拒绝服服务攻击击的安全全交换机机。

该交交换机可可以实时时地隔离离、拦截截和阻止止各种应应用攻击击，从而而为所有有网络化化应用、用用户和资资源提供供了直接接保护DefeenseeProo 的功功能和优优点DefeenseeProo 是33千兆位位速度的的安全交交换平台台，它为为保护网网络化应应用免遭遭攻击威威胁提供供了高速的入入侵防范范能力和和拒绝服服务攻击击防范能能力本节着重重介绍了了DeffenssePrro 的的以下性性能：1. 攻攻击监测测和隔离离2. 入入侵防范范3. 拒拒绝服务务攻击防防范4. 流流量控制制5. 安安全更新新服务6. 安安全性报报告攻击监测测和隔离离网络管理理人员在在同攻击击作斗争争时面临临的主要要难题之之一是，他他们无法法扫描和和检查应应用层的的流量DDefeenseeProo 不仅仅为管理理员提供供了对网网络流量量的全面面监视能能力，而而且还使使得他们们可以实实时识别别蠕虫、病病毒和异异常的流流量模式式，从而而实现对对所有活活动威胁胁的完全全监视一旦检测测到攻击击，DeefennsePPro 就会实实施积极极的攻击击隔离措措施它它会通过过带宽管管理对所所有受影影响的应应用、用用户或网网段进行行动态的的带宽分分配限制制，从而而即时地地控制攻攻击的影影响和危危害。

通过控制制DoSS 攻击击所可能能占用的的最大带带宽并且且限制该该攻击的的影响，可可以确保保其它的的关键业业务应用用不会受受到影响响，并且且可以继继续获得得为保证证业务的的平稳运运行而所所需的带带宽和服服务水平平基于于类似方方式，通通讯运营营商也可可以保证证用户的的SLAA 不会会因为对对其它用用户发动动的DOOS 攻攻击而受受到影响响借助DeefennsePPro 的高端端口密度度，用户户可以同同时保护护多个网网络段通通过扫描描和保护护各个网网络段，DDefeenseeProo 可以以防止攻攻击在机机构的网网络段和和各个层层级之间间传播这这样就最最大限度度减少了了感染机机会，并并且可以以控制攻攻击带来来的影响响和危害害入侵防范范- 应应用级别别的保护护对网络化化应用的的依赖性性不断增增强也使使得公司司网络要要面临病病毒、入入侵、特特洛伊木木马和其其它攻击击的威胁胁这些些攻击会会使用880端口口和其它它打开的的应用端端口（如如1399、4445等）穿穿越防火火墙而进进入公司司网络中中据220033年8月月刊的NNetwworkk Woorldd 报道道，777% 的的应用级级别攻击击都是通通过800端口发发动的。

图1：不不同应用用级别攻攻击的分分布图DefeenseeProo 入侵侵防范功功能可以以用3千千兆位的的速度检检测和拦拦截12200多多种病毒毒、蠕虫虫和特洛洛伊木马马，从而而快速而而全面地地清除所所有恶意意入侵：：对各个网网络段的的流量进进行双向向扫描DefeenseeProo 是为为嵌入式式部署而而设计的的，它可可以在具具有多个个网络段段的网络络中对所所有流量量进行实实时扫描描在扫扫描过程程中，DDefeenseeProo 会对对数据包包进行逐逐一检查查，并根根据恶意意攻击模模式执行行特征比比较它它可以识识别Raadwaare 安全数数据库中中的12200多多种攻击击特征为为了防范范新的攻攻击形式式，该数数据库会会不断被被更新对于未知知形式的的攻击，可可以使用用协议异异常检查查功能来来检测通通过检查查协议的的异常性性，可以以检测异异常的数数据包碎碎片，而而这大多多数情况况下标识识了恶意意活动3千兆位位速度的的攻击特特征比较较为了支持持数千兆兆位的特特征扫描描速度，DDefeenseeProo 专门门采用了了基于AASICC 的强强大加速速器-SStriingMMatcch EEngiineTTM 。

SStriingMMatcch EEngiine 支持并并行的特特征搜索索操作，可可对照特特征数据据库进行行高速的的检测和和数据包包比较同同使用IInteel PPenttiumm 4 CPUU 进行行串行特特征搜索索相比，其其字符串串搜索速速度提高高了3000倍实时抑制制攻击当检测到到恶意活活动时，DDefeenseeProo 可能能以任何何组合形形式立即即执行以以下的这这些操作作：丢弃弃数据包包、重置置连接以以及向管管理位置置发送报报告这这样就为为该设备备之后的的应用、操操作系统统、网络络设备和和其它网网络资源源提供了了全面保保护，以以免它们们遭到蠕蠕虫、病病毒和其其它形式式的攻击击DefeenseeProo 具有有针对不不同网络络或网络络段实施施不同安安全策略略的灵活活性，从从而可以以适应为为保护不同应用用和服务务而所需需的各种种用户安安全要求求（对通通讯商而而言）和和网络段段安全要要求（对对公司而而言）防扫描功功能黑客在发发起攻击击之前，通通常都会会设法确确定打开开的TCCP 和和UDPP 端口口一个个打开的的端口可可能意味味着一种种服务、应应用或者者一个后后门如如果端口口不是用用户特意意打开的的，则可可能导致致严重的的安全问问题。

DDe ffenssePrro 的的应用安安全模块块提供了了旨在阻阻止黑客客获取该该信息的的全面机机制，方方法是拦拦截并修改发发送给黑黑客的服服务器应应答DoS Shiieldd - 彻底防防范拒绝绝服务攻攻击在过去的的12个个月中，拒拒绝服务务攻击所所导致的的损失有有显著的的上升势势头最最近的调调查1表表明，拒拒绝服务务攻击（DDoS ）在220033年导致致每个机机构平均均损失了了142270228美元元，这个个数字比比20002年高高了5倍倍DefeenseeProo 的DDoS Shiieldd模块借借助高级级的取样样机制和和基准流流量行为为监测来来识别异异常流量量，提供供了实时时的、数数千兆位位速度的的DoSS 防范范该机机制会对对照DeefennsePPro 攻击数数据库中中的DooS 攻攻击特征征列表（潜潜在攻击击）来比比较流量量样本一旦达到到了某个个潜在攻攻击的激激活阈值值，该潜潜在攻击击的状态态就会变变为Cuurreentlly AActiive （当前前活动），这这样就会会使用该该潜在攻攻击的特特征文件件来比较较各个数数据包如如果发现现匹配的的特征，相相应的数数据包就就会被丢丢弃。

如如果没有有匹配的的特征，则则会将数数据包转转发给网网络借助高级级的取样样机制检检测DooS 攻攻击，不不仅可实实现完全全的DooS 和和DDooS 防防范能力力，而且且还保持持了大型型网络的的高吞吐吐量除了上述述基于攻攻击特征征的防范范方法外外，DeefennsePPro 还针对对各种类类型的SSYN floood攻攻击提供供了强大大的防护护能力（无无论该攻攻击是使使用何种种工具发发动的）这这种被称称为SYYN CCookkie 防范的的机制可可执行延延迟绑定定（终止止TCPP 会话话）并且且在TCCP 确确认数据据包中插插入一个个ID号号来鉴别别SYNN请求完成这种种三向握握手后，DDefeenseeProo 仅处处理含有有在此前前插入的的ID号号的请求求这种种机制可可以保证证会被只只有合法法的请求求才发送送到服务务器，而而任何SSYN floood 攻击都都将在DDefeenseeProo 处被被终止，因因而不会会蔓延到到服务器器以DeefennsePPro 自身DefeenseeProo 的强强大架构构允许它它处理大大规模的的SYNN flloodd攻击在在消费者者实验室室中执行行的测试试表明，DDef enssePrro每秒秒最多可可拦截1100万万个SYYN 请请求（相相当于5500MMbpss 的速速度），同同时可保保持合法法流量的的转发。

报告功能能当DeffenssePrro检测测到攻击击时，它它会将该该安全事事件报告告在报报告中包包含有全全面的流流量信息息，比如如源IPP地址和和目标IIP地址址、TCCP/UUDP 端口号号、物理理接口以以及攻击击的日期期和时间间可以以使用设设备日志志文件和和报警表表格在内内部记录录安全事事件信息息，或者者通过系系统日志志渠道、SSNMPP 陷阱阱或电子子邮件将将安全事事件信息息发送到到外部CConffigwwaree Innsitte 的的安全报报告功能能提供了了全面的的安全报报警、报报告和统统计信息息，借此此可以查查看安全全性攻击击摘要，包包括前110位攻攻击、总总的攻击击流量、按按I PP地址分分类的攻攻击，等等等Conffigwwaree Innsitte 可可以在WWinddowss、Liinuxx 和UUnixx操作系系统上运运行借借助插件件，它还还可以在在HPOOV、UUniccentter 和Tiivolli 管管理应用用系统上上运行流量控制制借助DeefennsePPro 的带宽宽管理功功能，可可以动态态性地对对流量进进行控制制，以保保证所有有关键任任务应用用的持续续运行和和性能（即即使在攻攻击之下下）。

通通过控制制资源和和区分流流量的重重要程度度，DeefennsePPro 流量控控制功能能可以限限制处于于攻击之之下的各各个应用用所占用用的带宽宽，同时时保证所所有安全全流量能能获得充充足的资资源对对机构而而言，这这样就保保证了EERP和和CRMM 等关关键任务务应用的的性能和和不间断断运行Radwwaree 在WWeb 上的安安全更新新服务Radwwaree 安全全更新服服务提供供了即时时的和经经常性的的安全过过滤器更更新，这这为防范范包括病病毒、蠕蠕虫和恶恶意攻击击特征在在内的最最新应用用安全危危害提供供了可能能，从而而可实现现对应用用、网络络和用户户的完全全保护所有的DDefeenseeProo 用户户都可以以通过期期限为一一年或多多年的预预订来获获得Raadwaare 安全更更新服务务Conffigwwaree Innsitte 的的用户可可以享受受到自动动更新带带来的便便利这这些用户户可以配配置Coonfiigwaare Inssitee ，让让它定期期轮询RRadwwaree 的网网站，以以检查是是否有新新的安全全更新如如果有这这样的更更新，CConffigwwareeInssitee 会自自动下载载它们，然然后通知知管理员员它已下下载了新新的攻击击特征。

该安全更更新服务务包括以以下的主主要服务务要素：：• 安全全运行中中心(SSOC)) 244/7地地检视：：不间断断地监测测、检测测威胁，对对威胁进进行风险险评估以以及创建建过滤器器来抑制制威胁• 每周周更新：：按计划划对特征征文件进进行定期期更新，通通常在星星期一可可通过RRadwwaree CoonfiigwaareIInsiite自自动分发发，或用用户主动动从wwww.rradwwaree.coom下载载• 紧急急过滤器器：通过过紧急过过滤器，可可针对高高危的安安全性事事件作出出快速反反应• 定制制过滤器器：针对对特定环环境下的的威胁以以及新出出现的攻攻击报告告给SOOC的攻攻击定制制过滤器器架构DefeenseeProo 的44层架构构是为满满足企业业、电子子商务公公司以及及通讯商商在网络络和应用用保护方方面最紧紧迫的需需求而设设计的本本节将介介绍DeefennsePPro 硬件平平台的四四个主要要组件，它它们分别别是：• 交换换结构和和交换AASICC• 网络络处理器器• SttrinngMaatchh Ennginne• 高端端的Poowerr PCC RIISC 处理器器44 GGbpss 的交交换结构构& 业业内最高高的端口口密度DefeenseeProo无阻塞塞的444千兆位位交换背背板基于于多层的的分布式式交换架架构，使使用了可可确保11个100GbEE端口、77个1千千兆位端端口以及及16个个高速以以太网端端口实现现线速交交换的交交换ASSIC 。

借助助业内最最高的端端口密度度和最高高的交换换性能，一一台DeefennsePPro 设备就就可以执执行对多多个网络络段的双双向扫描描其中中，每个个网络段段将使用用两个端端口进行行连接（一一个入站站端口和和一个出出站端口口）这这为公司司和通讯讯商的内内部网络络提供了了完全的的安全性性（在所所有网络络段中避避免蠕虫虫、病毒毒和DooS 攻攻击蔓延延）以及及可保护护任何网网络配置置的灵活活性最先进的的网络处处理器两个网络络处理器器将并行行工作，它它们可以以用数千千兆位的的速度同同时处理理多个数数据包（实实现了更更快的第第4至第第7层安安全交换换速度）并并且执行行所有同同数据包包处理有有关的任任务，包包括流量量转发和和拦截、流流量控制制以及延延迟绑定定（以防防范SYYN ffloood攻击击）尤尤其是，它它们可以以用每秒秒1000万个SSY NN 请求求的空前前速率来来防范拒拒绝服务务攻击和和任何已已知或未未知的SSYN floood攻攻击对第4层层攻击的的检测和和防范是是由网络络处理器器完成的的，这有有助于提提升防范范这些攻攻击类型型时的性性能如如果需要要执行更更深入的的数据包包检查（第第7层扫扫描），则则会将数数据包转转发给SStriingMMatcch EEngiine（专专用的硬硬件卡，是是专为提提供更快快速的特特征和模模式比较较以识别别攻击特特征而设设计的）。

SStriingMMatcch的模模式比较较结果确确定了数数据包是是合法流流量还是是恶意攻攻击与与此结果果相对应应，网络络处理器器会转发数据包包或丢弃弃数据包包然后重重置有关关会话除了清除除所有可可疑流量量外，网网络处理理器还支支持端到到端的流流量控制制和带宽宽分配管管理，以以确保所所有安全全流量有有稳定的的服务水水平，并并且保证证关键任任务应用用的连续续性和服服务质量量（即使使在受到到攻击的的情况下下）Radwwaree SttrinngMaatchh Ennginne -- 基于于ASIIC的专专用安全全硬件加加速器Radwwaree SttrinngMaatchh Ennginne是一一种专用用的硬件件卡，旨旨在提供供更快速速的数据据包检查查和特征征比较StriingMMatcch EEngiine 由ASSIC（最最多8个个，可支支持2556,0000个个并行的的字符串串搜索操操作）和和高端的的Powwer PC RISSC 处处理器（负负责安排排和运行行并行搜搜索算法法）构成成SttrinngMaatchh ennginne 提提供了99千兆位位速度的的自由范范围搜索索和166千兆位位速度的的固定偏偏移搜索索，其性性能无与与伦比。

同业内其其它安全全设备通通常使用用的8000Mhhz PPenttiumm IIII CCPU 或Peentiium 4 CCP UU相比，RRadwwareeStrringgMattch Engginee 的内内容检查查速度显显得鹤立立鸡群SStriingMMatcch EEngiine 比8000Mhhz 的的Penntiuum IIII CPUU 快110000倍，比比Penntiuum 44 CPPU 快快3000倍CPU--1 GGH ZZ的安全全会话管管理DefeenseeProo 的RRISCC 处理理器使用用的是MMotoorolla PPPC 74557这这是业内内最快的的处理器器，它负负责管理理所有安安全性会会话并且且区分它它们的优优先级它它不仅可可识别所所有的活活动攻击击并且控控制SttrinngMaatchh Ennginne和网网络处理理器中隔隔离、拦拦截和阻阻止攻击击的活动动操作，而而且还可可以管理理所有的的安全更更新和网网络要求求借助2个个高端的的RISSC 处处理器（每每个都相相当于一一个G44工作站站）、22个网络络处理器器以及端端口级别别负责流流量转发发的444 Gbbps 交换AASICC ，DDefeenseeProo 安全全交换架架构提供供了无与与伦比的的性能和和计算能能力，可可以满足足将来在在应用安安全方面面的任何何需求。

典型配置置企业配置置此处介绍绍了最为为常见的的DeffenssePrro 安安装形式式这种种在网络络的网关关位置进进行的嵌嵌入式安安装允许许DeffenssePrro 以以数千兆兆位的速速度执行行实时而而深入的的数据包包检查和和双向扫扫描，从从而保护护所有企企业流量量免遭112000多种应应用级别别的攻击击（包括括蠕虫、病病毒和DDoS 攻击）在网络的的网关位位置防范范Do S攻击击，不仅仅保护了了公司资资源和基基础体系系，而且且还保护护了公司司的安全全工具不不会超负负荷运行行，从而而即使是是在DooS 攻攻击之下下也能保保证它们们的连续续运行通通过实施施带宽管管理策略略，可以以即时隔隔离攻击击、蠕虫虫和病毒毒，防止止它们传传播到各各个楼层层/网段段，从而而限制了了它们的的危害程程度，并并且确保保了保持持业务运运行所需需的可用用性和性性能DDefeenseeProo 的透透明特性性就好比比是一种种"智能能化的绳绳索"，通通过它，DDefeenseeProo 可以以实现同同任何网网络环境境的无缝缝集成另外还有有一种流流行的配配置该该配置利利用了DDefeenseeProo 的高高端口密密度和33千兆位位的交换换速度。

在这样的的配置中中，DeefennsePPro 同时连连接了多多个网络络段每每个网络络段使用用2个端端口借借助该配配置，用用户通过过一台设设备就可可以实现现对所有有网络段段的双向向扫描，因因而改进进了隔离离效力，并并且增强强了对源源自机构构网络内内外的攻攻击、蠕蠕虫和病病毒的防防范能力力优点：l 实时的入入侵防范范功能可可杜绝蠕蠕虫、病病毒和特特洛伊木木马的攻攻击l 实时防范范拒绝服服务攻击击和SYY N攻攻击l 保护所有有局域网网网段和和流量的的安全l 可将攻击击带来的的危害隔隔离起来来l 可实现同同任何网网络环境境的无缝缝集成独具优势势从防火墙墙、VPPN 网网关、IIDS 到防病病毒网关关，安全全市场集集结了各各式各样样的安全全工具应应用级层层的攻击击在当今今的网络络攻击中中占了绝绝大多数数，为了了抑制这这些攻击击，Gaartnner22建议企企业"在在作出安安全方面面的决策策时除了了考虑简简单的静静态协议议过滤外外，还要要考虑对对应用内内容进行行深入的的数据包包检查""但从下表表可以看看到，DDefeenseeProo 是业业内唯一一兼具了了3Gbbps 的安全全性能和和应用安安全智能能的产品品，它可可以保护护从网络络层直到到应用层层的所有有网络化化应用。

DefeenseeProo 独具具的多层层安全架架构组合合了数种种攻击检检测机制制（针对对1,2200多多种攻击击特征和和协议异异常），它它们联同同高级的的防范工工具（如如DoSS Shhielld、SSYN coookiee和应用用安全模模块）一一起，提提供了对对恶意攻攻击和DDoS攻攻击的完完全防范范能力DDefeenseeProo 的底底层支持持技术是是4层安安全交换换架构，其其交换AASICC 使用用了444 GBB 的线线速背板板、2个个网络处处理器、RRISCC 处理理器和专专用的基基于ASSIC 的硬件件加速卡卡（SttrinngMaatchh Ennginne ))，可将将检查速速度提高高10000倍这这使得DDefeenseeProo 成为为高速//高性能能环境中中的应用用安全性性能的基基准其它的独独特优点点还包括括：高端口密密度- 允许通通过单个个设备保保护多个个网络段段，从而而实现即即时的投投资回报报简单的嵌嵌入式安安装- 借助DDefeenseeProo 的透透明本性性，可将将它无缝缝地集成成到任何何网络环环境中，从从而不必必对网络络元素的的设置进进行任何何更改即即可实现现实时保保护。

完全的设设备安全全性- 其透明明性还意意味着优优异的安安全性，因因为用户户无法了了解网络络中是否否有该设设备攻击隔离离- 通通过集成成的流量量控制功功能，可可以预先先定义策策略，从从而防止止蠕虫、病病毒和DDoS 攻击传传播到其其他用户户和网络络段中保证关键键任务应应用的服服务质量量- 流流量控制制策略还还可以保保证关键键任务应应用获得得较高的的服务质质量，同同时限制制非业务务应用（如如P2PP 应用用）所占占用的带带宽总结一种能用用数千兆兆位的速速度对所所有网络络流量进进行双向向扫描并并且可以以实时防防范应用用级别攻攻击（比比如蠕虫虫、病毒毒、木马马和Doos 攻攻击）的的内置安安全解决决方案，无无疑已成成为当务务之急RRadwwaree 看到到了这种种需求作为首个个可针对对实时隔隔离、拦拦截和防防范各种种攻击提提供数千千兆位的的数据包包深入检检查速度度和特征征比较速速度的安安全交换换机，DDefeenseeProo 满足足了这种种需求三、简单单的管理理DefeenseeProo可以通通过 CCLI、Tellnett、Webb 应用用、HPPOV 插件以以及 RRadwwaree 的 CConffigWWareeInssitee（一个个独立的的全 GGUI Javva 实实用工具具）来进进行管理理。

这个个独立的的平台管管理系统统使您可可以非常常方便地地远程连连接和管管理设备备其直直观的布布局和易易于使用用的菜单单与向导导，使用用户可以以按部就就班地进进行系统统配置，并并对配置置内容进进行备份份CoonfiigWaare Insstiee还提供供统计资资料，帮帮助您更更好地了了解网络络的流量量需求，并并有效地地管理服服务器资资源四、简单单的网络络安装DefeenseeProo可以非非常容易易地集成成到任何何网络中中，而不不需对现现有网络络做任何何改动，从从而避免免了工作作量和花花费RRadwwaree 的配配置可以以安装成成为网桥桥，保证证简单快快速的安安装五、应用用安全性性DefeenseeProo具有过过滤功能能和对诸诸如 SSYN floood 等 DDoS 攻击的的防护能能力有有了 SSYN--Floood 防护，您您可以给给每个服服务器分分配一个个最大连连接阈值值，保护护其不会会受到恶恶意攻击击、耗费费资源的的 SYYN 攻攻击另另外，基基于地址址、协议议和应用用的 DDefeenseeProo访问控控制，将将保证网网络的访访问安全全3.3 网络应用用安全解解决方案案3.3.1 攻击的形形式Explloitts（漏漏洞）术语“漏漏洞”指那些些众所周周知的 bugg，黑客客可以利利用它们们进入系系统。

缓冲区溢溢出 // 超限限缓冲区溢溢出是 Intternnet 上最常常见的攻攻击方法法之一缓缓冲区溢溢出 bbug 的产生生是由于于未对输输入进行行双重检检查的错错误导致致的，它它允许大大容量的的输入（如如包含几几千个字字符的登登录姓名名）“溢出”到存储储器的其其它区域域，从而而导致系系统崩溃溃/非法法进入系系统DoS 攻击的的方式：：· 崩溃溃：试图图使运行行在系统统上的软软件崩溃溃，或者者使整个个计算机机崩溃· 中断断连接：：试图使使两个系系统之间间的通信信中断，或或者使系系统与整整个网络络的连接接中断· 减慢慢速度：：降低系系统或其其网络连连接的速速度· 挂起起：使系系统进入入无限循循环如如果系统统崩溃，它它常常会会重新启启动，但但如果“挂起”，则会会一直保保持这种种状态直直到管理理员手动动停止并并重新启启动它分布式 DoSS (DDDoSS) 攻攻击的方方式DDoSS是通过过数量巨巨大的计计算机来来实施的的攻击黑黑客为了了摧毁 Intternnet 站点而而控制成成百上千千的计算算机这这些计算算机都是是从单个个的控制制台来进进行控制制的以以前认为为主要的的 Innterrnett 网站站应当对对这样的的攻击具具有免疫疫能力，因因为它们们的带宽宽比任何何可能发发动这种种攻击的的单个计计算机都都要大很很多。

然然而，在在 20000 年年初初，黑客客否定了了这种理理论，他他们进入入了 IInteerneet 的的许多网网站，使使用这些些网站同同时向主主要的 Intternnet 站点发发动冲击击，因此此有效地地使这些些站点当当机后门后门是计计算机系系统安全全性的一一个漏洞洞，它是是设计者者或者维维护者故故意留下下来的通通过它不不需要密密码或许许可就可可以直接接访问在在防止未未授权访访问这个个问题的的处理过过程中，有有可能在在一些情情况下错错误地中中断一次次正常的的会话可可以禁用用这种功功能，但但为了防防止通过过后门非非法闯入入系统，最最好还是是取消它它特洛伊木木马特洛伊木木马是隐隐藏在应应用程序序内部的的一段代代码，它它执行一一些秘密密的操作作NeetBuus 和和 Baack Oriifacce 是是特洛伊伊木马的的常见类类型这这些程序序都是远远程用户户执行的的，它们们允许未未授权的的用户或或者黑客客访问网网络一一旦进入入，他们们就可以以利用网网络上的的一切内内容默认安装装攻击系统统已知的的默认值值是最常常见的黑黑客攻击击方式之之一大大多数软软件都提提供了默默认配置置以使设设置更简简单，但但为了确确保系统统的安全全性应当当更改这这些配置置。

例如：· 帐号号 – 许多多系统都都提供一一些默认认的用户户帐号和和众所周周知的密密码，而而管理员员会忘记记更改它它们· 位置置 – 文件件的默认认位置也也会常常常被利用用，例如如 nuumerrouss· Neetsccapee Naaviggatoor 和和 Miicroosofft IInteerneet EExplloreer bbugss 都允允许黑客客从磁盘盘检索文文件· 样例例 – 许多多软件包包都提供供可以利利用的“样例”，例如如 CooldFFusiion webb 服务务上的程程序样例例探测器使用探测测器来扫扫描网络络或主机机以获得得网络上上的信息息然后后它们使使用相同同的主机机来攻击击网络上上的其它它主机有有两种常常见类型型的探测测器地址空间间探测器器 – 用来来扫描网网络以确确定主机机上运行行的服务务端口空间间探测器器 – 用来来扫描主主机以确确定主机机上运行行的服务务3.3.2 Radwwaree SyynAppps的的安全解决决方案在应用安安全方面面，Raadwaare的的所有应应用交换换机均采采用SyynAppps 体系架架构来实实现对网网络元素素的保护护。

Radwwaree应用交交换机具具有SyynAppps 架构的的应用安安全模块块，此模模块可以以保护wweb 服务器器免受112000 多个个攻击信信号的攻攻击此此模块的的设计使使它可以以作为服服务器、防防火墙、ccachhe 服服务器，或或者路由由器前面面的另一一道防线线它提提供了基基于网络络的安全全性，并并使用了了网络信信息和基基于信息息的应用用通过过终止所所跟踪的的可疑会会话来实实时检测测和阻止止攻击SynAAppss 架构构的应用用安全模模块分为为 5 个部分分：l 检测引擎擎（分类类器）负责对网网络流量量（目前前为 IIP 流流量）进进行分类类，并将将其与设设备上安安装的安安全策略略进行匹匹配然然后由 Ressponnse Engginee（响应应引擎）执执行操作作l 跟踪模块块不是所有有的攻击击都是由由具有特特定模式式或者信信息的数数据包来来启动的的一些些攻击是是由一系系列数据据包产生生的，这这些共同同存在的的数据包包才会导导致攻击击发生因因此，我我们使用用基于55个独立立组件的的历史机机制，以以不同的的方式来来识别每每一个组组件：· 通过过源 IIP 识识别· 通过过目标 IP 识别· 通过过源和目目标 IIP 识识别· 通过过过滤器器类型识识别· TCCP 检检查系统统 – 始终终跟踪每每个 TTCP 会话（源源和目标标 IPP 以及及源和目目标端口口）并被被用来识识别 TTCP 端口扫扫描l 响应引擎擎 根据策略略产生的的规则结结果执行行相应的的操作 操作类类型：· 丢弃弃数据包包 (DDropp, RRejeect))· 转发发数据包包 (FForwwardd)· 发送送重置（丢丢弃数据据包并向向发送者者发送 Resset（重重置））· 发送送 RSST/AACK 和 RRST（如如果检测测到端口口扫描，它它会向目目标发送送 RSST/AACK 数据包包以及向向源发送送者发送送 RSST）以以“愚弄”扫描器器· SNNMP Traap（用用于 RRepoort Moddulee）· Syysloog 操操作（日日志机制制 – 通过过 SNNMP）l 报告模块块通过 SSNMPP trrapss、syysloog 消消息和设设备的统统计表生生成报告告和警报报。

设备备发送（或或者保留留在其表表中）的的消息包包含下列列内容之之一：· 攻击击开始信信息（开开始日期期或时间间、攻击击名称、源源地址、目目标地址址）· 攻击击结束信信息（结结束日期期或时间间、攻击击名称、源源地址、目目标地址址）· 发生生的攻击击信息（攻攻击发生生的日期期或时间间、攻击击名称、源源地址、目目标地址址）l 管理模块块通过 CConffigwwaree 实用用程序或或者 ((CLII) 命命令行界界面来管管理 SSynAAppss 架构构Radwwaree SyynAppps 架构具具有几大大优点：：基于交换换架构，而而不是运运行在一一般H//W 上上的S//W不要求在在任何服服务器上上安装任任何网络络代理–– 这样样易于管管理和配配置可以与任任何服务务器H//W 和和操作系系统共同同工作因为没有有代理，所所以不会会占用服服务器的的资源不要求代代理报告告的日常常流量，因因此提高高了整体体的网络络性能高性能的的应用安安全模块块使用SNNMP 进行安安全的通通信– 通常常SNMMP 是是不安全全的，但但这种新新的架构构应用了了更复杂杂的安全全版本的的SNMMP端口多路路传输:: 服务务器通常常都使用用相同的的端口来来发送数数据，因因此易于于受到攻攻击。

而而使用SSynAAppss 架构构时，输输入端口口被映射射到另一一个可配配置的输输出端口口，每次次使用不不同的端端口来掩掩饰此端端口的能能力可以以防止服服务器受受到攻击击内置的数数据包过过滤引擎擎: 可可以根据据优先权权、IPP 地址址、内容容和其它它用户指指定的参参数转发发数据包包SynAAppss 模块块能够处处理Weeb 环环境中的的以下。