深圳电信DNS服务器负载均衡及安全方案建议书.doc
《深圳电信DNS服务器负载均衡及安全方案建议书.doc》由会员分享,可在线阅读,更多相关《深圳电信DNS服务器负载均衡及安全方案建议书.doc(57页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、1DefensePro 安全解决方案安全解决方案Radware 广州代表处广州代表处2004.52目目 录录1.Radware 公司介绍公司介绍.3 2.需求分析需求分析.6 2.1网络安全面临的问题.6 3.DefensePro 安全解决方案建议安全解决方案建议.7 3.1系统总体结构图.7 3.2Radware DefensePro 介绍.8 3.3网络应用安全解决方案.18 3.3.1攻击的形式.18 3.3.2Radware SynApps 的安全解决方案.19 4.产品说明产品说明.29 4.1SynApps.29 4.2Radware DefensPro 硬件平台.33 4.2.1
2、Application Switch II 交换机.33 4.2.2Application Switch III 交换机.36 4.3Radware 设备管理.44 4.3.1SNMP 网络管理系统.44 4.3.2Configware Insite.45 设备管理.45 站点配置和管理.45 模板和向导.47 跨多台设备的智能化管理.47 统计信息的查看和性能监视.48 报警.51 总结.51 4.3.3标准的网络浏览器.51 4.3.4利用 Telnet 或 CLI 方式:.52 4.3.5SSH 管理手段 .5231. Radware 公司介绍公司介绍RadwareRadware 公司公
3、司是 RAD 集团的成员之一,RAD 集团目前拥有 14 个各自独立的公司,在网络及通讯产业领域提供不同的技术,服务不同的市场。1999 年在 NASDAQ 上市(RDWR),用户遍及 40 多个国家,在全球有 130 家经销商.Radware 逐步成为负载均衡设备市场上毫无疑问的领导者。 随着 Internet 及 Intranet 市场快速持续增长,有关网络流量及 IP 服务品质的相关问题日趋严重。Radware 公司作为全球领先的网络智能应用交换解决方案提供商,其任务就是通过最优化的资源的使用率,在 Internet、Intranet 或 Extranet 应用中提供既经济、功能又强大的
4、网络应用环境。该类方案能确保动态网络的稳定性,包括提供最优的连续性、个性化的安全服务。InternetInternet 智能应用交换智能应用交换(Intelligent Application Switch -IAS) 解决方案提供全局和本地网络资源之间的智能 IP 负载均衡,使我们能够确保网络的确定性。无论网络大小,我们的全线 IAS 设备都能够提供完整的、端到端的流量管理解决方案。Radware IAS 技术在优化服务资源和控制成本的同时消除了创建安全网络环境的不确定性。Radware 产品系列中包括为满足 IP 应用服务器、防火墙、cache 服务器和 WAN 链接而开发和设计的产品。我
5、们的产品结合市场上丰富的功能设置,提供了完全可扩展的解决方案。通过使用 Radware 获奖的 Web Server Director 系列和 Cache Server Director,网络在保持 100% 正常运行时间的同时,可获得高可用性、容错和冗余性能,并使用 FireProof 和 LinkProof 来管理防火墙群集和多归路网络的流量。它们都可以舒缓服务器、快取服务器及防火墙服务器的拥塞状况,提高可存取性及可管理性。RadwareRadware IASIAS 设备优化了所有公司、电子商务企业和全球主要 ISP 的网络性能。并与主要的企业解决方案提供商合作,为客户提供最先进的技术和服
6、务。Radware 的负载均衡设备可与 cutting-edge 技术及大多数可知的重要算法协同运作,优秀的容错及备援性能带来了最佳的可用性,并且避免网络中单点故障的发生。 4Radware 拥有最强大的市场分销渠道,产品目前应用于许多财富 500 强企业中,同时还提供给了全球各大主要的互联网络服务供应商(ISP)上。随着电子商务的继续发展和 IP 流量的增加,Radware 将继续开发创新的解决方案来提高生产力、消除您网络基础结构中的不确定性,并提供从点击到内容的最完美的服务。Radware 在负载均衡系统上的技术领先地位可由在 Web Server Director 产品线上所获得的众多奖
7、项证明,这些奖项包含 PC Magazine Editors Choice、 Network magazines Product of the Year、 ZD Internet Labs Net Best、 Spring Internet World98、Los Angeles, Best of Show 及 Network Computing magazines Editors Choice。 Radware 主要产品Radware 主要提供八大产品系列,其中:WebWeb ServerServer DirectorDirector (WSDWSD)可以有效地均衡 IP 负载,优化网络性能
8、。WSD 在Internet 和服务器集群(Server Farms)之间具有战略性的地位,它可以监视所有的用户请求并在可用的应用资源之间进行智能化的负载分配,从而可以提供极好的容错、冗余、优化和可扩展性能。 DefenseProDefensePro 是 3GBps 位速度的安全交换平台,它为保护网络化应用免遭攻击威胁提供了高速的入侵防范能力和拒绝服务攻击防范能力。DefensePro 提供以下功能: 攻击监测和隔离;入侵防范;拒绝服务攻击防范;流量控制;安全更新服务;安全性报告。ContentContent InspectionInspection DirectorDirector (CID
9、(CID ) )提供了容错和充分优化的防病毒扫描和内容过滤功能,从而实现了高性能、高性价比和高度可扩展的内容安全。CacheCache ServerServer Director(CSD)Director(CSD) 是一种智能化的 Internet 高速缓存服务器管理和负载均衡系统。该系统是专门为在网络中使用高速缓存服务器阵列的企业而设计的,5CSD 可以提供优化的 Internet 访问和存储资源使用率,同时,也使整个服务器群的性能得以最大程度的发挥。 FireProofFireProof 是一种动态负载均衡系统,可有效地管理多个防火墙和其它安全设备上的流量。它使用一系列先进的内建式负载均衡
10、算法,该算法能够监视客户的数量和每个防火墙上的负载,而 FireProof 则可以在各单元之间动态地平均分配流量,同时还可以进行双向的流量管理。 LinkProofLinkProof 是一种全面的、易于使用的内容交通管理解决方案,适用于具有多个链接的网络。在今天,越来越多的电子商务公司、二级 ISP 和企业都开始求助于“multihoming”设计来确保百分之百的 Internet 访问连续性。LinkProof 可以确保完全的网络可用性并提供完全可扩展的解决方案。随着网络需求的增长,该解决方案也能随之成长。LinkProof 可以向那些需要“永远在线“的 multihoming 网络提供一种
11、创新的完全内容流管理解决方案。 PeerPeer DirectorDirector 是专为控制、管理和优化 Internet 路由而设计的。Peer Director 可以使服务提供商和大型企业通过在不同 Internet 链路中实施流量重定向策略、来控制他们的 Internet 路由。因此它可以减低管理成本和 Internet 连接成本。提高 Internet 性能。同时管理员可以更好的对连接链路进行控制。CertainT100CertainT100 能够在不降低网络性能的情况下为用户提供快速的 SSL 交易. CertainT100 SSL 加密/解密功能与 Radware 的流量管理解决
12、方案相结合,在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。SynAppsSynApps ArchitectureArchitecture 是唯一能够无缝和动态分配网络资源的产品,从而确保所有网络应用的可用性,最佳性能和增强的安全性.它将应用状态监控、流量重定向、带宽管理、应用安全和 DOS shield 组合在功能强大的 ASIC 交换平台中,为综合性的应用服务管理提供了强大的、灵活的和可扩展的解决方案。详情查询,请垂讯:瑞得韦尔中国公司大中国区广州代表处: Tel: 8620-8511-8612 Fax: 8620-38781852Mobile: E-Mail:62.
13、需求分析需求分析2.1网络安全面临的问题网络安全面临的问题各个机构所倚重的网络化业务应用正面临越来越多的攻击威胁,因而可能导致重大的财务损失。根据 CSI/FBI 对财富杂志评出的前 1000 位公司的调查,在 2002年,因为蠕虫、病毒和 DoS 攻击,每个机构的平均损失高达 170 万美元。为了成功应对呈爆炸性增长而且后果日趋严重的应用级别攻击,各个机构必须重新审视自己的安全策略。对于一个行之有效的安全解决方案,它必须考虑当前在应用和安全上的挑战。这些挑战包括:1. 对分布式应用的依赖性不断增强 各个机构日益依赖基于 Web 的应用和业务级的分布式应用来开展业务。分支机构和生产部门也会通过
14、广域网从远程访问CRM 和 ERP 等关键应用。2. 网络化应用容易受到攻击 由于 80、139 等端口通常是打开的,因此如果不对借助这些端口穿越防火墙进入网络的流量进行检测,网络化应用将非常容易遭到病毒、入侵、蠕虫和 DoS 等形式的攻击。为保护网络化应用的安全,需要对所有流量进行深入的数据包检测,以实时拦截攻击,并且防止安全性侵害进入网络并威胁各个应用。3. 呈爆炸性增长的攻击 应用攻击的数量和严重性都在飞快地增长,仅 2003年就出现了 4200 多种攻击形式,而且这一数字每年都会翻一番。相应地,这些攻击造成的损失也呈直线上升趋势。据报道,2003 年 8 月成为 IT历史上最糟的一个月
15、。在该月,仅 Sobig 病毒就在全球造成了 297 亿美元的经济损失。4. 当前的安全工具无法拦截这些攻击 在应用层的攻击面前,防火墙、IDS 以及防病毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能,从而使各个机构暴露无遗。因此,一种能用数千兆位的速度对所有流量进行双向扫描并且可以实时防范各种7应用层攻击(比如蠕虫、病毒、木马和 Dos 攻击)的内置安全解决方案,无疑已成为当务之急。3. DefensePro 安全解决方案建议安全解决方案建议公司分支机构众多,各个机构之间通过网络连接,传送电子邮件,办公应用和企业的业务应用,然而,由于 Internet 的连接,以及人员的流动,
16、为企业网络安全带来了不确定性,如果一台电脑受到攻击或感染病毒,当安全补丁还未发布,安全防范措施来不及实施时,很快攻击就会波及到整个企业网,一旦发生这种情况,因业务停顿带来的损失非常巨大。如何实时防止蠕虫病毒和恶意代码的攻击,变得尤其迫切。因此,根据以上用户的需求分析,我们提出以下 Radware DefensePro 安全解决方案。3.1系统总体结构图系统总体结构图公司原有网络结构示意图如下所示:8Cisco 7500Cisco GSRCisco GSR Cisco GSRCisco 6509BackBoneCisco 6509UserUserUserUser由三台 Cisco GSR 组成骨
17、干核心网,7500 连接到 Internet 出口,各个工作区由Cisco Catalyst 6509 实现汇聚。根据以上结构分析,网络内部可能存在攻击扩散的位置主要分为两部分:第一是Internet 出口部分,直接面临外部网络的威胁,如果这部分受到攻击,则有可能对整个企业内部网造成威胁;第二部分是各个工作区的汇聚点之间,如果一个工作区内部受到病毒感染或攻击,也会蔓延到整个企业网。针对以上结构特点,Radware 建议用户使用多台 DefensePro 来保护企业的网络:针对 Internet 出口部分使用一台 ASII DefensePro,保护企业网络免受外部病毒和攻击;在各个汇聚点之间使
18、用两台 ASIII DefensePro,通过使用 Muti-Segment 技术实现分布式应用,虚拟多台安全设备,防止病毒和攻击在各个工作区之间扩散。如下图:9Cisco 7500Cisco GSRCisco GSR Cisco GSRCisco 6509BackBoneCisco 6509UserUserUserUserDefenseProDefenseProMuti-Segment 技术实现示意图:10UsersRouterServersL2/3 Switch子网1 子网2子网3DefensePro单台 DefensePro 设备真实的物理连接如下图所示:113.2Radware Def
19、ensePro 介绍介绍Radware DefensePro 在业内首先提供了以 3 千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。DefensePro 的功能和优点DefensePro 是 3 千兆位速度的安全交换平台,它为保护网络化应用免遭攻击威胁提供了高速的入侵防范能力和拒绝服务攻击防范能力。本节着重介绍了 DefensePro 的以下性能:1. 攻击监测和隔离。2. 入侵防范。3. 拒绝服务攻击防范。4. 流量控制。5. 安全更新服务。6. 安全性报告。攻击监测和隔离攻击监测和隔离网络管理
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深圳 电信 dns 服务器 负载 均衡 安全 方案 建议书
限制150内