DefensePro解决与方案.docx
- 文档编号:2243880
- 上传时间:2022-10-28
- 格式:DOCX
- 页数:10
- 大小:976.23KB
DefensePro解决与方案.docx
《DefensePro解决与方案.docx》由会员分享,可在线阅读,更多相关《DefensePro解决与方案.docx(10页珍藏版)》请在冰豆网上搜索。
DefensePro解决与方案
Radware-DefensePro
安全解决方案
RadwareChina
1需求分析3
1.1传统安全架构无法应对基于应用的攻击模式3
1.2单一的IPS和DOS防范模式无法应对层出不穷的攻击手段5
2RadwareDefensePro(DP)解决方案6
2.1DefensePro攻击防范6
2.1.1Dosshield实现已知攻击工具防范7
2.1.2BehavioralDoS基于网络行为模式实现自动攻击防范8
2.1.3入侵防范防范各类应用攻击9
2.1.4其它安全相关功能10
2.2DefensePro的安全报告11
3DefensePro解决方案优势12
1需求分析
当前,随信息化发展而来的网络安全问题日渐突出,这不仅严重阻碍了社会信息化发展的进程,而且还进一步影响到整个国家的安全和经济发展。
面对网络安全的严峻形势,如何建设高质量、高稳定性、高可靠性的安全网络成为我们通信行业乃至整个社会发展所要面临和解决的重大课题。
现如今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。
网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。
人们在享受到各种生活便利和沟通便捷的同时,网络安全问题也日渐突出、形势日益严峻。
网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序。
网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。
(以上摘自《通信信息报》)
威胁触目惊心
根据公安部一份信息网络安全状况调查显示,在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例为58%。
其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。
特别地,计算机病毒的感染率为87.9%,比上一年增加了2%。
上述调查对象都是国内信息安全投入比较高的大行业,防火墙、入侵检测、防病毒等常见安全产品基本都已部署,但仍然遭受了触目惊心的安全危害。
1.1传统安全架构无法应对基于应用的攻击模式
防火墙无法保护处于它身后的网络不受外界的侵袭和干扰
防火墙一直是网络及应用安全的代名词,在瞬息万变的信息时代,这个曾经叱咤风云的一代宗师,今天却成为了信息安全的误区,防火墙仍然安全吗?
众所周知,今天的应用逐渐向Web转换,这意味着什么呢?
参见下图:
传统的应用,不同应用具有不同的端口,防火墙为不同应用开放不同的端口,见左图,今天的应用向WEB转换,不同的应用全都承载在WWW端口上,防火墙只需开放一个端口,即)端口,见右图。
左边的防火墙开放了多个端口,而右边的防火墙只开放了一个端口(80),因此右边的防火墙比左边的更安全吗?
当然不是:
●入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门;
●防火墙不能防止来自网络内部的袭击,通过调查发现,将近65%的攻击都来自网络内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设;
●传统防火墙不具备对应用层协议的检查过滤功能,无法对Web攻击、FTP攻击等做出响应,防火墙对于病毒蠕虫的侵袭也是束手无策。
我们试想发,应用向WWW转换后,原来每一个应用的报头信息,今天全部成为WWW应用的净负荷(PAYLOAD),防火墙若不具备深度包检测的机制,应用向WEB转变将导致防火墙形同虚设,根据GARTNER的预测,如果防火墙还只局限于状态检测而不具备深度包检测的机制,将很快面临淘汰的厄运。
IDS无法完全弥补防火墙的不足
为了弥补防火墙应用协议检查的不足,在网络世界里,人们开始了对入侵检测技术的研究及开发。
IDS技术应时而生,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。
但是,人们也逐渐意识到IDS所面临的问题。
●较高的漏报率和误报率。
●IDS是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击。
1.2单一的IPS和DOS防范模式无法应对层出不穷的攻击手段
今天网络黑客的攻击手段多种多样,总结起来分为两类,一类是INTRUSION(入侵),另一类为DDOS(拒绝服务)。
这就是为什么今天市场上流行着两大类型的安全产品:
IPS(入侵防护系统)及ANTI-DDOS(拒绝服务防护系统)。
而今的IPS及ANTI-DDOS的方式主要有:
●通过攻击特征库查询来防御攻击入侵和DDOS攻击;
●通过阀值的限制来实现DDOS攻机防范。
但不幸的是,上述防范方式无法应对层出不穷的攻击手段:
●攻击特征码只有在攻击发生以后才能被分析出来,因此这种防御手段虽然有效,但是缺少足够的主动性;
●通过阀值的限制误判的可能性极大,会在防范攻击的同时严重损害正常的应用和服务;
●新型的攻击层出不穷,基于特征和基于阀值的防范方式都只能从网络的行为的局部来降低攻击带来的负面影响。
因此,在网络安全形势日益严峻的今天,我们需要多层次的、真正了解网络行为并行之有效的主动防范机制。
2RadwareDefensePro(DP)解决方案
Radware在业内首先提供了高达6千兆位的速度防范入侵和拒绝服务攻击的安全交换机。
该交换机可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。
DefensePro是市场上唯一同时具备IPS,ANTI-DDOS,基于网络行为模式BDOS的安全产品,并具备带宽管理功能,有效地在出口限制P2P应用带宽及垃圾流量。
2.1DefensePro攻击防范
DefensePro采用了多层安全架构,分别检测和抵抗不同类型的攻击,确保只有“清洁”流量进入收保护的区域。
2.1.1Dosshield实现已知攻击工具防范
DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度的DoS防范。
该机制会对照DefensePro攻击数据库中的DoS攻击特征列表(潜在攻击)来比较流量样本。
一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态就会变为CurrentlyActive(当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包。
如果发现匹配的特征,相应的数据包就会被丢弃。
如果没有匹配的特征,则会将数据包转发给网络。
借助高级的取样机制检测DoS攻击,DoSShield只在出现了严重带宽滥用的情况下,才会判断攻击的存在,它会外科手术般地采用逐包过滤除去攻击流量。
而当攻击不再活跃时,DoSShield也能检测到相应状态并停止逐包过滤的操。
这样不仅可实现完全的DoS和DDos防范能力,而且还保持了大型网络的高吞吐量。
Dosshield的主要优势:
●监听和采样机制,只有在出现严重攻击时才采取防范措施,保证了大型网络的高性能和高吞吐量;
●基于特征码的防范策略,对正常应用无影响,保持了极低的误判率。
DoSShield作为第一道防范体系,负责在抵御已知Flood攻击的同时传输其他流量,而这些其他流量中还可能包含未知的新型攻击,它们将由第二道防范体系-BehavioralDoS模块来实现防护。
2.1.2BehavioralDoS基于网络行为模式实现自动攻击防范
借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术,RadwareB-DoS防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒,避免危害的发生。
Radware's自适应BehavioralDoS防范模块自动学习网络上的行为模式,建立正常基准,并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。
通过概率分析,该模块使用一系列提取自数据包包头和负荷的参数,例如ID(packetidentificationnumber),TTL(TimetoLive),Packetsize,DNS查询,PacketChecksum值等共17个参数,来实时定义即时异常流量的特点。
为了避免误判而阻止合法用户的正常流量,该模块还会采用“与”“或”逻辑运算来尽量精确攻击的防范策略。
所有上述流程都由DefensePro自动完成,无需人为干预,能够在数千兆位的网络环境中精确防范已知攻击、Zero-dayDos/DDos攻击和自我繁殖网络蠕虫。
BehavioralDoS防护模块的攻击检索机制即不使用特征码,也不依赖于用户定义的行为策略和阀值。
它还可以自动适应网络中的正常流量变化,因此它不会影响网络中的正常应用行为。
B-DoS能够非常有效的抑制以下已知和未知的攻击:
●SYNFlood
●TCPFloods(Ack,Psh+Ack,Fin+Ack,Rstfloods)
●UDPFloods
●DNSfloods(基于UDP53端口)
●UDPFlood和ICMP反向散射(unreachable信息)
●ICMPFloods
●IGMPFloods
●Zero-Day高速自我繁殖蠕虫(SQLSlammer,Blaster,Welchia,等)
BehavioralDoS的主要优势:
●Zero-dayDos/DDos的未知攻击防范,无需认为手工干涉;
●对DoS攻击的完全防范,较低的CPU资源消耗;
●自适应的行为判别模式,将误判率降至最低;
●完全自适应功能,无需策略配置,无需维护成本。
2.1.3入侵防范防范各类应用攻击
为了确保DoSShield和BehavioralDoS模块不会遗漏任何攻击并危害运用户网络应用的关键应用系统,Radware还提供另一道防护屏障-入侵防范。
通过对比入侵特征库,DefensePro阻止攻击数据包来建立最后一道屏障。
入侵特征库罗列一系列会对网络造成严重破坏的应用层攻击,通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击,NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。
DefensePro会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。
它可以识别Radware安全数据库中的1600多种攻击特征。
为了防范新的攻击形式,数据库会不断被更新。
对于未知形式的攻击,可以使用协议异常检查功能来检测。
通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。
快速的攻击特征比较
为了支持数千兆位的特征扫描速度,DefensePro专门采用了基于ASIC的强大加速器–StringMatchEngineTM。
StringMatchEngine支持并行的特征搜索操作,可对照特征数据库进行高速的检测和数据包比较。
同使用IntelPentium4CPU进行串行特征搜索相比,其字符串搜索速度提高了300倍。
实时抑制攻击
当检测到恶意活动时,DefensePro可能以任何组合形式立即执行以下的这些操作:
丢弃数据包、重置连接以及向管理位置发送报告。
这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫、病毒和其它形式的攻击。
入侵防范的主要优势:
●基于特征的入侵识别,能够准确地识别和抑制攻击;
●专用的硬件加速器,确保了告诉的检测和防范以及网络吞吐量。
2.1.4其它安全相关功能
除了上述三个模块外,DefensePro还提供以下功能:
黑白名单(BlackandWhiteList)-访问控制列表
Syn
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DefensePro 解决 方案