搜索
Radware-DefensePro安全解决方案RadwareChina2目录1需求分析..................................................................................................................................31.1传统安全架构无法应对基于应用的攻击模式...............................................................31.2单一的IPS和DOS防范模式无法应对层出不穷的攻击手段.....................................52RadwareDefensePro(DP)解决方案.................................................................................62.1DefensePro攻击防范.......................................................................................................62.1.1Dosshield实现已知攻击工具防范...........................................................................72.1.2BehavioralDoS基于网络行为模式实现自动攻击防范..........................................82.1.3入侵防范防范各类应用攻击....................................................................................92.1.4其它安全相关功能..................................................................................................102.2DefensePro的安全报告.................................................................................................113DefensePro解决方案优势...................................................................................................1231需求分析当前,随信息化发展而来的网络安全问题日渐突出,这不仅严重阻碍了社会信息化发展的进程,而且还进一步影响到整个国家的安全和经济发展。面对网络安全的严峻形势,如何建设高质量、高稳定性、高可靠性的安全网络成为我们通信行业乃至整个社会发展所要面临和解决的重大课题。现如今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。人们在享受到各种生活便利和沟通便捷的同时,网络安全问题也日渐突出、形势日益严峻。网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。(以上摘自《通信信息报》)威胁触目惊心根据公安部一份信息网络安全状况调查显示,在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例为58%。其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。特别地,计算机病毒的感染率为87.9%,比上一年增加了2%。上述调查对象都是国内信息安全投入比较高的大行业,防火墙、入侵检测、防病毒等常见安全产品基本都已部署,但仍然遭受了触目惊心的安全危害。1.1传统安全架构无法应对基于应用的攻击模式防火墙无法保护处于它身后的网络不受外界的侵袭和干扰防火墙一直是网络及应用安全的代名词,在瞬息万变的信息时代,这个曾经叱咤风云的一代宗师,今天却成为了信息安全的误区,防火墙仍然安全吗?众所周知,今天的应用逐渐向Web转换,这意味着什么呢?参见下图:4传统的应用,不同应用具有不同的端口,防火墙为不同应用开放不同的端口,见左图,今天的应用向WEB转换,不同的应用全都承载在端口上,防火墙只需开放一个端口,即(80)端口,见右图。左边的防火墙开放了多个端口,而右边的防火墙只开放了一个端口(80),因此右边的防火墙比左边的更安全吗?当然不是:入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门;防火墙不能防止来自网络内部的袭击,通过调查发现,将近65%的攻击都来自网络内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设;传统防火墙不具备对应用层协议的检查过滤功能,无法对Web攻击、FTP攻击等做出响应,防火墙对于病毒蠕虫的侵袭也是束手无策。我们试想发,应用向转换后,原来每一个应用的报头信息,今天全部成为应用的净负荷(PAYLOAD),防火墙若不具备深度包检测的机制,应用向WEB转变将导致防火墙形同虚设,根据GARTNER的预测,如果防火墙还只局限于状态检测而不具备深度包检测的机制,将很快面临淘汰的厄运。IDS无法完全弥补防火墙的不足为了弥补防火墙应用协议检查的不足,在网络世界里,人们开始了对入侵检测技术的研究及开发。IDS技术应时而生,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。但是,人们也逐渐意识到IDS所面临的问题。较高的漏报率和误报率。IDS是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击。51.2单一的IPS和DOS防范模式无法应对层出不穷的攻击手段今天网络黑客的攻击手段多种多样,总结起来分为两类,一类是INTRUSION(入侵),另一类为DDOS(拒绝服务)。这就是为什么今天市场上流行着两大类型的安全产品:IPS(入侵防护系统)及ANTI-DDOS(拒绝服务防护系统)。而今的IPS及ANTI-DDOS的方式主要有:通过攻击特征库查询来防御攻击入侵和DDOS攻击;通过阀值的限制来实现DDOS攻机防范。但不幸的是,上述防范方式无法应对层出不穷的攻击手段:攻击特征码只有在攻击发生以后才能被分析出来,因此这种防御手段虽然有效,但是缺少足够的主动性;通过阀值的限制误判的可能性极大,会在防范攻击的同时严重损害正常的应用和服务;新型的攻击层出不穷,基于特征和基于阀值的防范方式都只能从网络的行为的局部来降低攻击带来的负面影响。因此,在网络安全形势日益严峻的今天,我们需要多层次的、真正了解网络行为并行之有效的主动防范机制。62RadwareDefensePro(DP)解决方案Radware在业内首先提供了高达6千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。DefensePro是市场上唯一同时具备IPS,ANTI-DDOS,基于网络行为模式BDOS的安全产品,并具备带宽管理功能,有效地在出口限制P2P应用带宽及垃圾流量。2.1DefensePro攻击防范DefensePro采用了多层安全架构,分别检测和抵抗不同类型的攻击,确保只有“清洁”流量进入收保护的区域。72.1.1Dosshield实现已知攻击工具防范DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度的DoS防范。该机制会对照DefensePro攻击数据库中的DoS攻击特征列表(潜在攻击)来比较流量样本。一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态就会变为CurrentlyActive(当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征,相应的数据包就会被丢弃。如果没有匹配的特征,则会将数据包转发给网络。借助高级的取样机制检测DoS攻击,DoSShield只在出现了严重带宽滥用的情况下,才会判断攻击的存在,它会外科手术般地采用逐包过滤除去攻击流量。而当攻击不再活跃时,DoSShield也能检测到相应状态并停止逐包过滤的操。这样不仅可实现完全的DoS和DDos防范能力,而且还保持了大型网络的高吞吐量。Dosshield的主要优势:监听和采样机制,只有在出现严重攻击时才采取防范措施,保证了大型网络的高性能和高吞吐量;基于特征码的防范策略,对正常应用无影响,保持了极低的误判率。DoSShield作为第一道防范体系,负责在抵御已知Flood攻击的同时传输其他流量,而这些其他流量中还可能包含未知的新型攻击,它们将由第二道防范体系-BehavioralDoS模块来实现防护。82.1.2BehavioralDoS基于网络行为模式实现自动攻击防范借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术,RadwareB-DoS防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒,避免危害的发生。Radware's自适应BehavioralDoS防范模块自动学习网络上的行为模式,建立正常基准,并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。通过概率分析,该模块使用一系列提取自数据包包头和负荷的参数,例如ID(packetidentificationnumber),TTL(TimetoLive),Packetsize,DNS查询,PacketChecksum值等共17个参数,来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量,该模块还会采用“与”“或”逻辑运算来尽量精确攻击的防范策略。所有上述流程都由DefensePro自动完成,无需人为干预,能够在数千兆位的网络环境中精确防范已知攻击、Zero-dayDos/DDos攻击和自我繁殖网络蠕虫。9BehavioralDoS防护模块的攻击检索机制即不使用特征码,也不依赖于用户定义的行为策略和阀值。它还可以自动适应网络中的正常流量变化,因此它不会影响网络中的正常应用行为。B-DoS能够非常有效的抑制以下已知和未知的攻击:SYNFloodTCPFloods(Ack,Psh+Ack,Fin+Ack,Rstfloods)UDPFloodsDNSfloods(基于UDP53端口)UDPFlood和ICMP反向散射(unreachable信息)ICMPFloodsIGMPFloodsZero-Day高速自我繁殖蠕虫(SQLSlammer,Blaster,Welchia,等)BehavioralDoS的主要优势:Zero-dayDos/DDos的未知攻击防范,无需认为手工干涉;对DoS攻击的完全防范,较低的CPU资源消耗;自适应的行为判别模式,将误判率降至最低;完全自适应功能,无需策略配置,无需维护成本。2.1.3入侵防范防范各类应用攻击为了确保DoSShield和BehavioralDoS模块不会遗漏任何攻击并危害运用户网络应用的关键应用系统,Radware还提供另一道防护屏障-入侵防范。通过对比入侵特征库,DefensePro阻止攻击数据包来建立最后一道屏障。入侵特征库罗列一系列会对网络造成严重破坏的应用层攻击,通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击,NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在