Radware力助教育行业 - EOLfree.eol.cn/edu_net/2006aq/Radware.pdf · 3 Intelligent Application Switching Radware Radware 公司背景公司简介 • 成立于97年,99年上市(NASDAQ:

1

Intelligent Application Switching

Education Vertical

Radware力助教育行业

2


Radware公司介绍

3


Radware 公司背景Radware

公司简介

• 成立于97年,99年上市 (NASDAQ: RDWR)

• 已售出 20,000 多台 IAS 设备, 拥有市场上最完整的产品线

• 出售的产品遍布 40 多个国家,全球有 130 多个分销商

对依赖于IT网络架构的关键业务应用，我们提供：

• 完整的可用性• 最优异的性能• 深度的安全性

Radware 是智能应用交换的领导者:

4


校园网需求分析

5


校园网的需求特点

• 学校对网络的使用者提供了一个开放宽松的环境

• 在此环境下面临的二个挑战:– 网络带宽资源的滥用 P2P应用占用了大量的网络带宽，影响到教育关键应用的响应时间和可用性

– 安全的威胁 –威胁到教育资源和应用的完整性和可用性

– 正是这两方面的问题而危害了学校内一些关键应用的可用性

The Market

6


网络带宽

面临的挑战

7


背景

学校使用 Internet/Intranet 作为主要的学习的工具和获取信息的手段:

• 在线课件，学校管理功能，远程教学，为学生提供了一个宽松方便的学习环境

• 与教学无关的网络流量大大降低教学应用的性能– 例如, P2P 音乐，视频下载软件，网络游戏，视频聊天等

The challenge

8


P2P的特点

• 24/7不间断的使用– P2P应用可以在任何时间工作，不用人工干预

• Port 大量占用 – P2P 不会利用固定的端口，所以很难通过传统的访问控制和QOS设备来管理和限制

• 同一应用发起多个会话连接Multiple –下载一个文件可能使用数百个TCP会话

• 对称模式 –网络本来设计为非对称性的，即上传流量小，下载流量大，但是对于P2P应用来讲，每个用户在下载的同时也作为服务器上传自有文件和下载一半的文件

Control P2P

9


是谁在占用了大多数的带宽?

巨大的网络流量往往来自于极少数网络用

户:

• “前 1% 的用户消耗了 31% 的带宽, 前10%的用户消耗了 68% 的带宽, University of North Dakota 参见：http://www.greatplains.net/activities/meetings/meeting-20020418/presentations/BruceCurtis/BruceCurtis.ppt

• “校园网的的P2P流量最高可到90％”University of Florida参见：http://www.wired.com/news/digiwood/0,1412,60613,00.html?tw=wn_stor

y_related

The challenge

http://www.greatplains.net/activities/meetings/meeting

http://www.wired.com/news/digiwood/0,1412,60613,00.html?tw=wn_stor

10


各种应用对网络使用的统计结果：

http://www.cumberland.edu/oit/helpdesk/p2p/usage.html

The challenge

http://www.cumberland.edu/oit/helpdesk/p2p/usage.html

11


不存在P2P流量时，网络带宽使用情况

inbound 流量高于 outbound驼峰曲线

University of Arkansas University of Arkansas June 19, 2003June 19, 2003

The challenge

12


存在P2P流量时，网络带宽使用情况

outbound 流量接近带宽100% 夜间流量增加

University of Arkansas University of Arkansas June 19, 2003June 19, 2003

The challenge

13


为什么 P2P Outbound 流量如此之高？

• Inbound traffic的多少与此时宿舍中学生的多少相关联• Outbound traffic的多少与internet用户的多少相关联

$$$$

The challenge

14


安全面临的挑战

15


校园网的安全

Net

wor

k W

orld

,04/

05/0

4

• 只有 13% 的大学具备全面整体的安全规划

• 10% 的大学甚至没有安全规划

The challenge

16


校园网络的安全趋势

1. 对分布式Web应用更加依赖 (例如e-learning, 网上注册，课件，远程教学，科研等)

2. 基于应用的攻击数量呈爆炸式的增长 (包括来自校园网内部的以及来自互联网的攻击)

3. 目前部署的安全工具不能够抵御基于应用的攻击（基于应用的攻击流量未经检查，直接穿过防火墙系统）

4. 来自校园网内部的安全威胁 –学生宿舍网络常常成为孳生蠕虫，病毒，和黑客攻击工具的温床

5. 涉及广大范围的网络－使得在整个校园网部署安全策略十分困难，并且成本高昂

6. 无法强制实现安全补钉的升级–尤其是对于宿舍PC

The challenge

17


应用隐患

• Web 应用/分布式应用已广为普及

• 大多数攻击（蠕虫、病毒、DoS）都是通过 80 端口进行的

77%

9% 7%

2%

2%

3% Port 80Port 139Port 445Port 135ICMPOther

Source: Network World august 2003

The challenge

18


为什么网络攻击不断地增加？The challenge

现在一个黑客/学生发起攻击比以往任何时候都来得更容易

19


Radware 针对校园网的

解决方案: DefensePro

20


DefensePro 业界最快的QOS管理及IPS设备，在提供先进的带宽管理功能的同时，可隔离、拦截和预防攻击，从而实现即时、高性能的应用安全为所有网络化应用和用户提供安全保护,以3-Gbps的速率即时防范蠕虫病毒、恶意入侵和拒绝式服务攻击

DefenseProThe solution

21


l QOS功能可以根据校园网应用的优先级来管理各种应用对带宽的使用

l 高端口密度为多个宿舍网段，办公楼网段，相关服务器群提供蠕虫病毒拦截，入侵防范和DOS攻击

DefensePro 典型部署方式

University Resources

Faculty

Dormitory

Registrar

The solution

22


DefensePro 带宽管理

23


常见P2P处理方式的缺点Control P2P

1. 阻塞P2P常用端口：一方面拒绝了用户的正常通信要求，另一方面导致了P2P应用转向使用随机端口和专用端口（如HTTP 80端口）躲避检查。

2. 使用NAT方法隐藏用户公网IP：导致了NAT穿越技术在P2P软件中的广泛应用。

3. 阻塞P2P对等体向P2P信息服务节点的通信：导致了P2P对等体使用代理服务器的方法躲避检测，也导致P2P信息服务节点向随机分布和隐藏的方向发展。

4. 限制用户的上行带宽：违反了服务条约而且导致了向外网的用

户数据请求量增大

24


管理P2P的挑战Control P2P

P2P隐蔽性越来越强

基于TCP端口的传统协议分析工具对于P2P毫无作用，要准确识别并统计P2P流量，唯一的办法是使用具有Layer 7（OSI）的协议分析工具。

25


Radware P2P控制的工作机制(Filter)P2P

7层信息

4层信息

26


可以识别的 P2P 应用

常见的 P2P 应用包括:• bittorrent• Edonkey• Gnutella• Kazaa• Winmx• Winny

• DefensePro 的带宽管理可以识别可控制这些应用，可以针对每种应用，每个用户（IP）来控制

The solution

27


通过对应用/用户P2P带宽使用的统计，为校园网制定自己的带宽分配策略提供帮助

直观的带宽使用率的统计

HTTPSMTP

KAZAAFTP

The solution

28


• 赋予关键应用更高的优先级和带宽• 赋予P2P流量较低的优先级和带宽

•限制 P2P 上传流量，减少外部用户对带宽的消耗

•可以基于每个用户（IP）/每个会话(session）精细地控制带宽

带宽管理

流量分类器

Real time

Priority 0

Priority 2

Priority 1

Priority 3

Priority 5

Priority 4

The solution

29


动态地带宽管理

• 带宽管理功能BWM 可以识别应用，对流量进行分类，隔离攻击，加速应用的性能

• P2P 流量可以被限制，拦截• 关键应用的带宽可以得到保证，并且可以借用剩余带宽

eMail

课件

远程教学

P2P Apps Control Peer to Peer Bandwidth

Secure Traffic Continuity

The solution

30


典型的配置策略举例：

对于一个具有100M互联网链路和高带宽的intranet的校园网:

• Policy 1 –针对校园网资源的访问不作限制• Policy 2 –限制所有的P2P使用 5Mbps带宽，或者限制每个P2P用户使用100Kbps的带宽

• Policy 3 –限制其他的单个普通学生的流量最大使用200Kbps的带宽

• 确保校园网关键应用的高优先级和高带宽

The solution

31


• 可针对多个网段分配相应的带宽

The solution 典型的配置策略举例：

32


DefensePro的IPS 功能

33


4层安全交换架构 & String Match Engine ,带来 1000 X的加速模式和策略匹配

Network ProcessorNetwork

ProcessorNetwork

ProcessorNetwork

Processor

CPUCPU

44 GB ASIC44 GB ASIC

10GE 7X1GE 16 Fast Ethernet Ports

3Gbps安全交换架构

StringMatchEngine 线速数据传输和连接

3 Gbps转发流量和拦截Syn Cookie

会话管理最多8个并行处理的StringMatch ASICS

34


StringMatch Engine™加速卡

• 安全加速卡，使用高达 8 字串搜索 ASICS• 并行模式的搜索最多可达 256,000 个规则

• 专用的 MPC 7457 RISC 处理器

• 开启针对大学的相关安全和带宽管理策略之后，可以稳定达到 2.6Gbps 吞吐

StringMatch Engine

Up to 16 Gigabit Pattern Search

256,000 Parallel Pattern Searches

The solution

35


硬件架构的优势

• 提供无以匹敌的应用安全的性能，尤其对于高吞吐的高校网络环境

• 通过使用并行的字符串搜索引擎 – StringMatch Engine™在全面保护多样化的高校应用的同时，没有明显的性能降低

• 具有业界最高的端口密度，提高较高的性能价格比，保护多个校园网网段

• 无以匹敌的高性能：实时拦截高达每秒 1,300,000次的Syn攻击

• 基于交换架构的 ASIC和背板提供正常流量的线速转发

The solution

36


3G速率的实时入侵防护• 深度的包检测和入侵防护，提供针对服务器，应用，终端用户1500种攻击的防范: 蠕虫，病毒，木马，端口扫描，协议异常检测

• 双向监测保护来自internet向内的，内部向外的，内部之间相互的攻击（例如学生宿舍之间）

• 可以自主定制攻击特征，应付校园网的层出不穷的新的攻击方式

The solution

37


实时 DoS/SYN 保护

1) DoS Shield –防止所有已知的 DoS /DDoS攻击

2) B-Dos –可有效防止未知DOS攻击

3) 带宽管理用来整形流量，阻止“未知”的攻击，确保大学的关键应用的带宽

4) SYN Cookies 防范所有 SYN Floods 在不影响合法流量转发的情况下，最多可拦截130 万个 Syn的攻击

38


DefensePro 管理

39


Security Across The University

校园网需要控制 P2P 和攻击:

•从internet进来的，

•从校园网出去的，

•校园网各网段相互之间的，

Management

40


集中式的安全管理

可以自主定制未知攻击的filter

Management

41


设置的简便性Management

设置向导已经定制了针对大学校园网的安全需求的策略

42


统一的安全报告Management

事件日志和报告

提供全部的攻击数据包的捕获，用于对安全事件的深度分析

43


Management 统一的安全报告

44


安全更新服务SUS

45


安全更新服务Zero DayProtection

购买设备的用户可以享受针对现存的/突发的安全威胁的攻击filter 的快速更新

46


Security Zone紧急 / 每周更新

Zero DayProtection

47


教育行业案例

48


国内成功案例

北京工业大学中南财经大学同济大学南京大学中国药科大学合肥工业大学北航国家软件重点实验室中国人民大学北京市顺义区教委上海工程技术大学同济大学广州中医药大学珠海北师大广州金融学校浙江师大湖南师大湖南省教育厅华中师大武汉工业大学湖北教育学院常州市教委温州大学荆门电教馆上海高校毕业生指导就业中心上海市南汇区，嘉定区，杨浦区，黄浦区，宝山区，浦东区教育局

49


• 限制P2P的总带宽

• 为了避免学生对于总带宽的使用的不均匀,根据每个用户/每个会话进行P2P流量的限制

• 防止内部学生对于外部网络的攻击• 管理不同应用的带宽消耗,保证关键应用的优先

中南财经大学

中南著名的大学,拥有大量的学生资源;正常情况下,出口链路带宽的80%以上为P2P流量大部分的P2P流量来自学生宿舍区

50


中南财经大学

Switch

Core Switch

DefensePro 宿舍区

U N I V E R S I T YU N I V E R S I T Y

教学区

简化的网络拓扑：

• 大量节约带宽开销,提高上网效率

• 同时防止学生区网络对于外部网络的攻击,保护网络内部的资源

• 管理学生区网络的带宽,保留关键带宽给关键的应用,比如邮件等

51


总结

52


Radware解决方案对大学的优势Summary

• 完整的解决方案把 IPS 和流量整形功能合并到一台设备里

• 高性能应用安全和QOS满足大学校园网高速而开放的网络环境的需求

• 功能全面准确判断P2P流量，针对来自来自内部和外部的入侵和 DoS/SYN攻击进行双向的实时防范

• 带宽管理根据校园网应用的优先级确保关键应用的带宽

• 多网段的安全防护和带宽管理针对校园网每个网段灵活地定

制安全和带宽管理策略

• 实施管理的灵活性

53


为什么选择Radware

市场领导者 -在应用安全应用交换方面

技术领导者 -在防火墙负载均衡、应用安全和 DoS防范上首屈一指

广大的用户群 –全球已经部署了 1,800 多台 Radware 入侵防范交换机

在线安全更新和技术支持服务

强大的经济实力

2003

2003

2003

54


Radware 解决方案的优势• 市场领导者 -在应用安全应用交换方面

• 技术领导者 -在防火墙负载均衡、应用安全和 DoS防范上首屈一指

• 广大的用户群 –全球已经部署了 1,800 多台 Radware 入侵防范交换机

• 广大的教育行业用户群－对教育行业网络和应用有着深刻理

解

• 在教育行业单次部署IPS最大数量 150台－韩国教育骨干网

• 集成IPS和流量整形带宽管理在一个设备中

• 在线安全更新和技术支持服务

Summary

55


Radware 是提供如下全部功能的唯一厂商

Integrated Solution Architecture

56


联系Radware

销售经理

刘祥彬电话：13916829776

mail: [email protected]

高级顾问

谢存锋电话: 13301919752

mail: [email protected]

mailto:[email protected]

mailto:[email protected]

57


以色列瑞得韦尔有限公司

谢谢大家

Documents

Radware力助教育行业 - EOLfree.eol.cn/edu_net/2006aq/Radware.pdf · 3 Intelligent Application Switching Radware Radware 公司背景 公司简介 • 成立于97年,99年上市(NASDAQ:

Radware力助教育行业 - EOLfree.eol.cn/edu_net/2006aq/Radware.pdf · 3 Intelligent Application Switching Radware Radware 公司背景公司简介 • 成立于97年,99年上市(NASDAQ: