文档介绍：运营商整体解决方案
运营商网络现状简述
一个典型的运营商的网络拓扑结构大致由3 部分组成:
网络连接部分
网络安全部分
网络应用部分
DHCP服务
DNS
认证计费
短信网关
在运营商网络中存在很多网络设计上的缺陷,
网络安全防护存在的缺陷
网络安全设备的单点失效性:
单一的网络安全设备存在单点失效性,例如:图中的防火墙和防病毒设备一旦出现问题,将造成整个网络的瘫痪;
网络安全设备性能的瓶颈:
网络安全设备由于要对进出网络的数据包进行安全性检查,与网络路由器和网络交换机相比,性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有3-10Mbps。因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。
安全体系架构存在漏洞:
防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制,并且可以对基于状态的协议进行协议状态检查,因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如:
· 蠕虫入侵
· 病毒入侵。
· 后门攻击。
IDS可以对网络中的数据包进行深入的分析,可以检查到资料包中第7层的信息,它具备随时对可疑流量进行检查和识别的能力。但是IDS最大的问题是IDS并不能阻止攻击的入侵,仅仅能发出告警,而此时网络攻击已经进入到网络内部。
目前我们面临着手段各异形式多样的混合式攻击威胁,这些攻击中应用级层的攻击占了绝大多数,为了抑制这些攻击,Gartner建议“在作出安全方面的决策时除了考虑简单的静态协议过滤外,还要考虑对应用内容(网络七层中的攻击特征)进行深入的数据包检查,并阻挡该攻击”。
网络应用存在的缺陷
网络应用的可靠性较差:
应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的
7x24 小时的持续性服务。
网络应用的性能瓶颈:
在网络应用系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。
网络应用的安全性较差:
从上图中可以看出现有网络中的安全性防护机制的特点是:
现有的安全性防护机制通常是针对来自外网的攻击;
缺乏针对来自内网的攻击防护机制;
现有的安全性防护机制通常是针对整体网络层面的攻击防护,即针对网络IP层、TCP/UDP层的网络4层以下的攻击防护;
缺乏针对具体的、特定的运营商网络应用的特点而专门制定的符合运营商网络应用的基于网络7层防护的安全性防护机制;
Radware 解决方案
Radware解决方案介绍
该解决方案从功能上分为2个部分:
安全解决方案部分
应用的解决方案部分
Radware安全解决方案部分简介
我们建议的安全解决方案部分,包括3款产品,DefensePro,SecureFlow,CID,每台设备简要功能描述如下:
DefensePro实现实时的攻击防御
我们建议在网络接入处,部署DefensePro,可以识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式,保护内部用户和服务器的安全。
同时,通过把端口两两静态绑定,虚拟成多台逻辑设备,分别部署在核心交换机和运营商广域网之间保护入侵和攻击不致互相扩散。
使用一台逻辑设备部署在核心交换机和AppDirector之间,保护服务器群免受内部办公用户的非法攻击。
使用多台逻辑设备部署在内部办公用户的不同网段(或者楼层)之间,保证非法入侵和攻击不致扩散到其它办公网段或者楼层。
SecureFlow实现防火墙的负载均衡和IDS的负载均衡
如上图所示,我们建议在多台防火墙和核心交换机之间,部署SecureFlow,配合LinkProof实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
同时可以实现多台IDS(最多100台)的负载均衡,IDS可以是不同厂家,不同型号,不同性能,大大提供IDS的扩展性和可用性。
CID实现cache服务器、防病毒网关,URL过滤网关的负载均衡
CID位于SecureFlow和核心交换机之间,与组织内原有的Cache,防病毒网关,URL过滤网管等内容检测安全设备协同提高服务质量。
一方面把如上设备由inline方式改名为CID的旁路方式,减少了网络的单点故障。
另一方面,CID实现对多台设备的负载均衡,保证了该类网络设备的高可用性,高扩展性和高性能。
WAF实现应用防火墙的保护
Web应用防火墙,深度检测承载在Web上的应用,认证每一个应用的行为及应用协议的合法性。
Radware应用解决