攻击隔离
公司机构网络遭受拒绝服务攻击后造成的巨大财务影响,迫使通讯商寻求相应的对策。这种对策需要确保针对该通讯商的某个用户发动的DoS攻击不会影响它向连接在同一存在点(POP)的其他用户提供的性能和服务。因此,为了履行用户服务水平协议(SLA)和保证所有POP用户的网络能够连续运行,无疑需要一种攻击隔离机制。
图6:区域性POP中的典型DefensePro部署
DefensePro的带宽管理功能允许通讯商根据每个用户的SLA来限制其发送或接收流量时可以使用的带宽,从而提前定义好有关策略。
通过控制蠕虫、病毒以及DoS攻击所可能占用的最大POP资源带宽,可以限制攻击的蔓延,确保它们不会广泛传播并且影响连接在同一POP的其它用户的服务水平和性能。
优点:
即时的攻击隔离:防止攻击蔓延到其它用户中
·通过实施带宽管理策略,限制蠕虫、病毒和DoS攻击所消耗的带宽,避免它们影响用户网络。
为关键任务应用提供更好的服务质量(QoS) – 通过防止DoS攻击占用大量带宽以及缩短关键任务应用的响应时间,促进企业的业务经营。
履行对用户的服务水平协议(SLA) – 通过履行服务水平协议 (SLA),通讯商可以维护用户的满意度和忠诚度,并且避免因为违反SLA条款而导致的收益损失。
如果用户希望彻底避免蠕虫、病毒和DoS攻击,通讯商可以为它们提供畅通的链路服务(如下所述)。
畅通的链路服务
当前的服务提供商提供了各种托管的安全服务。DefensePro可以进一步增强这些服务,从而让它们提供彻底的应用安全。作为这些服务的一部分,通讯商可以即时拦截病毒、恶意攻击、特洛伊木马和拒绝服务攻击,从而为用户网络提供对1200多种常见攻击特征的防范能力。
图7区域性POP中的典型DefensePro部署
如上述配置所示,DefensePro以透明方式连接在链路中。它可以扫描链路上的所有流量,并且自动检测和拦截1200多种恶意攻击和DoS/DDoS攻击。
这种配置为通讯商定义享受该服务的用户(基于他们的IP地址)以及针对各个用户采用的安全策略类型(为了保护他们的关键任务应用)提供了灵活性。
畅通链路服务对最终用户的帮助
用数千兆位的速度实现全面保护 – 防范DoS攻击和1200多种不同的攻击特征(包括尼姆达、红色代码和SQL slammer)。
保证关键任务应用的服务质量 – 通过带宽管理,不仅保证了关键任务应用可获得正常运行而所需的带宽,而且还可以限制非关键应用(比如KaAza、MP3和实时音频)所消耗的带宽。
迅速对新威胁作出反应 – 新攻击特征的自动更新,为及时防范新的蠕虫、病毒或其它类型的攻击创造了条件。
畅通链路服务对通讯商的帮助
扩展服务品种 – 通讯商可以通过现有的基础设施来扩展服务范围,从而不需要额外投资就可以实现更大的收益。
销售的是价值而不是成本 – 企业将愿意为所获得的安全和性能支付额外费用。
拓展新用户 – 通讯商可以面向新用户和现有用户提供这种独特服务。
高层次服务 – 通讯商可以作为高级解决方案提供商并且更为重要的是作为最佳服务水平的提供商展现自己的特色。
透明方式的安装 – 不需要更改网络元素的配置。
请注意:如果将DefensePro作为CPE(Customer Premises Equipment,用户入口设备)安装在用户站点中,也可以提供这种服务。
过滤骨干链路上的恶意代码
通过过滤掉含有病毒或恶意代码的Internet流量,通讯商可以大幅度减轻其国内、国际和对等连接上的负载。
图8:中央POP配置
在中央POP位置安装DefensePro后,将可以扫描所有流经国际链路的入站和出站流量。对常见病毒(如红色代码和尼姆达)的过滤有助于通讯商节省国际骨干网的容量。比如,仅此一项就为韩国的Hanaro Telecom节省了将近20% 的国际骨干网容量。
以下配置显示了用于清理国内骨干链路的备选解决方案。
图9:国内骨干链路清理配置
优点
降低经营成本 – 通过过滤掉恶意代码,可以大幅度降低流量规模,并且更充分地利用国际骨干链路,这无疑会大幅度地降低成本。
透明方式的安装 – 不需要更改现有的网络元素配置。
让通讯商的服务在网络中始终保持可用 – 通过以数千兆位的速度实时防范DoS攻击和1200多种恶意攻击特征,通讯商可以保证服务的始终可用性。
迅速对新威胁作出反应 – 新攻击特征的自动更新,为及时防范新的蠕虫、病毒或其它类型的攻击创造了条件。
保护DNS和电子邮件服务器
DNS 服务器的失效可能对Internet服务造成严重影响(因为最终用户将无法访问Internet Web服务器),这可以从今年1月份美国主要的DNS服务器所遭受的DNS攻击得到证明。借助以下配置,通讯商可以防止自己的DNS和邮件服务器遭到蠕虫、病毒以及DoS攻击,并且杜绝其邮件或DNS服务器将蠕虫传播到用户网络和对等DNS系统的可能性。该配置中,DefensePro以透明方式连接在链路上。它可以扫描所有前往DNS和邮件服务器的流量,从而自动检测和防范蠕虫、病毒、已知的DNS攻击(比如SQL slammer)以及DoS攻击和DDoS攻击。
图10:国内骨干链路清理配置
优点:
用数千兆位的速度执行实时保护 – 可防范所有已知的DNS攻击(包括SQL slammer和DoS攻击)。
透明方式的安装 – 不需要更改网络元素配置。
迅速对新威胁作出反应 – 新攻击特征的自动更新,为及时防范新的蠕虫、病毒或其它类型的攻击创造了条件。
有关各种通讯商解决方案的完整信息,请参考“通讯商安全解决方案”白皮书。
独具优势
从防火墙、VPN网关、IDS到防病毒网关,安全市场集结了各式各样的安全工具。应用级层的攻击在当今的网络攻击中占了绝大多数,为了抑制这些攻击, Gartner2建议企业“在作出安全方面的决策时除了考虑简单的静态协议过滤外,还要考虑对应用内容进行深入的数据包检查”。
但从下表可以看到,DefensePro是业内唯一兼具了3Gbps的安全性能和应用安全智能的产品,它可以保护从网络层直到应用层的所有网络化应用。
DefensePro 独具的多层安全架构组合了数种攻击检测机制(针对1,200多种攻击特征和协议异常),它们联同高级的防范工具(如DoS Shield、 SYN cookie和应用安全模块)一起,提供了对恶意攻击和DoS攻击的完全防范能力。DefensePro的底层支持技术是4层安全交换架构,其交换ASIC使用了44 GB的线速背板、2个网络处理器、RISC处理器和专用的基于ASIC的硬件加速卡(StringMatch Engine),可将检查速度提高1000倍。这使得DefensePro成为高速/高性能环境中的应用安全性能的基准。
2 Gartner企业防火墙幻方图
其它的独特优点还包括:
高端口密度 – 允许通过单个设备保护多个网络段,从而实现即时的投资回报。
简单的嵌入式安装 – 借助DefensePro的透明本性,可将它无缝地集成到任何网络环境中,从而不必对网络元素的设置进行任何更改即可实现实时保护。
完全的设备安全性 – 其透明性还意味着优异的安全性,因为用户无法了解网络中是否有该设备。
攻击隔离 – 通过集成的流量控制功能,可以预先定义策略,从而防止蠕虫、病毒和DoS攻击传播到其他用户和网络段中。
保证关键任务应用的服务质量 – 流量控制策略还可以保证关键任务应用获得较高的服务质量,同时限制非业务应用(如P2P应用)所占用的带宽。
总结
一种能用数千兆位的速度对所有网络流量进行双向扫描并且可以实时防范应用级别攻击(比如蠕虫、病毒、木马和Dos攻击)的内置安全解决方案,无疑已成为当务之急。Radware看到了这种需求。
作为首个可针对实时隔离、拦截和防范各种攻击提供数千兆位的数据包深入检查速度和特征比较速度的安全交换机,DefensePro满足了这种需求。
| 共2页: 上一页 [1] 2 |