<var id="pf5bj"></var>
<cite id="pf5bj"><video id="pf5bj"></video></cite>
<cite id="pf5bj"><video id="pf5bj"></video></cite>
<var id="pf5bj"><video id="pf5bj"></video></var>
<cite id="pf5bj"><video id="pf5bj"><thead id="pf5bj"></thead></video></cite><cite id="pf5bj"><span id="pf5bj"><thead id="pf5bj"></thead></span></cite>
<var id="pf5bj"><video id="pf5bj"></video></var>
<var id="pf5bj"><strike id="pf5bj"><thead id="pf5bj"></thead></strike></var>
<cite id="pf5bj"></cite>
<var id="pf5bj"><strike id="pf5bj"></strike></var>
<var id="pf5bj"><video id="pf5bj"></video></var>

 

RADWARE整體解決方案概述

1 應用交換及應用安全背景剖析

在介紹RADWARE整體解決方案以前,我們首先分析應用交換技術及應用安全技術的市場背景及技術背景。

1.1 應用交換背景剖析

為什么會出現應用交換技術?它的出現到底為今天的網絡應用帶來了什么好處?解決了什么樣的問題呢?在回答這些問題以前,我們首先探討以下這個傳統的網絡架構,用戶在訪問應用的時候,首先經過接入運營商(Access ISP),這些接入運營商又通過網絡提供商(Network SP),最后經過主機/應用托管服務提供商(Hosting SP/IDC)到達應用服務器。

 

 

不容置疑的是,這些運營商,包括接入運營商(Access ISP),網絡提供商(Network SP),主機/應用托管服務提供商(Hosting SP/IDC),他們為了搶占這個利潤豐厚的市場,運營商內部的網絡帶寬都足夠充分,幾乎不存在網絡瓶頸。但是,可悲的是運營商之間的網絡帶寬卻是小得可憐(可能是物理帶寬不足,更多的因素是由于競爭關系相互限制),直接導致運營商之間的帶寬限制成為用戶訪問的瓶頸,這是用戶訪問速度緩慢的其中一個重要的因素,這方面的瓶頸我們稱之為Peering Delay.

除了前面所闡述的Peering Delay以外,還有什么因素導致用戶訪問緩慢呢?這個因素也許大多數朋友都未意識到,這個瓶頸來自應用的前端,為什么這樣講呢?我們都知道服務器的發展速度受到摩爾定律的限制,即主機的性能每十八個月才翻一倍,而今天對網絡流量的調查,我們發現網絡的流量每隔三個月就翻一倍,可見網絡流量的發展速度遠遠快于主機的發展速度,如果主機只是簡單地通過一張網絡接口卡就連接到網絡上面去的話,必定受到網絡數據流嚴重的沖擊,應用服務與網絡的接口成為了應用訪問的瓶頸,這個瓶頸我們稱之為Server delay(見上圖)。

在這個關鍵的時候,L4/L7應用交換技術脫穎而出,它承擔了應用服務與網絡傳輸之間的接口,去解決應用與網絡之間的瓶頸(SLB)。這就是應用交換機走向市場的歷史背景,應用交換機的出現,使得應用的智能性逐漸地從應用端延伸到網絡的邊緣,使得應用可以通過這個接口無縫的接合到網絡當中,這種最早期的應用交換技術,我們又稱之為應用負載均分技術。

這種早期的應用交換(SLB負載均分)技術,解決了應用前端的瓶頸問題(Server Delay),而前面所提到的Peering Delay的問題應該如何解決呢?在無法控制運營商之間的瓶頸的情況下,我們把應用逐漸推向用戶的邊緣,讓用戶可以從最近的應用點獲取數據,從而避免了運營商之間的瓶頸,我們以YAHOO 作為案例:

 

 

YAHOO在INTERNET上并非只有一個站點,而是把站點鏡像到世界不同的角落,各站點間運行著洲際負載均衡技術(GSLB),這些站點都同享一個域名:www.yahoo.com ,當用戶訪問www.yahoo.com 的時候,通過GSLB技術,把用戶定向到距離自身最近,響應速度最快的站點,從而有效解決了運營商之間的Peering Delay瓶頸問題。

SLB技術與GSLB技術是最早的應用交換技術,經過多年來的發展,應用交換派生出更多更豐富的技術,我們會在第二章和大家介紹RADWARE的全面應用交換技術及解決方案。

總之,應用交換技術的誕生,讓網絡的邊緣具備了應用的智能性,作為應用與網絡間的接口,消除了網絡與應用間的瓶頸,使得應用可以通過這個接口,無縫地接入到網絡當中去,應用的性能得到了極大的提高。

1.2 應用安全背景剖析

防火墻一直是網絡及應用安全的代名詞,在瞬息萬變的信息時代,這個曾經叱咤風云的一代宗師,今天卻成為了信息安全的誤區,防火墻仍然安全嗎?

眾所周知,今天的應用逐漸向Web轉換,這意味著什么呢?參見下圖:

 

 

傳統的應用,不同應用具有不同的端口,防火墻為不同應用開放不同的端口,見左圖,今天的應用向WEB轉換,不同的應用全都承載在WWW端口上,防火墻只需開放一個端口,即WWW(80)端口,見右圖。左邊的防火墻開放了多個端口,而右邊的防火墻只開放了一個端口(80),因此右邊的防火墻比左邊的更安全嗎?當然不是,我們試想從另一個角度出發,應用向WWW轉換后,原來每一個應用的報頭信息,今天全部成為WWW 應用的凈負荷(PAYLOAD),防火墻若不具備深度包檢測的機制,應用向WEB轉變將導致防火墻形同虛設,根據GARTNER 的預測,如果防火墻還只局限于狀態檢測而不具備深度包檢測的機制,將很快面臨淘汰的厄運。

防火墻不再可以依賴,那么我們需要什么技術來維護應用的安全呢?我們首先分析黑客可能會對我們做什么,今天網絡黑客的攻擊手段多種多樣,總結起來分為兩類,一類是INTRUSION(入侵),另一類為DDOS(拒絕服務)。這就是為什么今天市場上流行著兩大類型的安全產品:IPS(入侵防護系統)及ANTI-DDOS(拒絕服務防護系統),而今的IPS 及ANTI-DDOS 大都是通過攻擊特征庫查詢來防御攻擊,不幸的是攻擊特征碼只有在攻擊發生以后才能被分析出來,因此這種防御手段雖然有效,但是缺少足夠的主動性,這也是為什么基于行為的DDOS防御手段(BDOS)成為了網絡安全領域非常熱門的話題及技術,談到這里,相信已經有答案了,我們需要什么?我們需要IPS + ANTI-DDOS + BDOS !

2 Radware 整體解決方案概述

2.1 應用交換解決方案

前面介紹了應用交換技術的市場背景,在這一章節里我們介紹RADWARE應用交換的整體解決方案及產品系列,其中每一款產品的市場定位都是不一樣的,有應用存在的地方,就會有應用交換技術及應用安全的市場機會,我們先看一看傳統應用的數據流程:

 

 

用戶接入INTERNET,訪問數據從數據中心的INTERNET接入點進入數據中心,然后進過數據中心的防火墻,經過局域網骨干,在流經ANTI-VIRUS,及ANTI-SPAM、URL-FILTERING等安全監控服務器群,最后到達數據服務器。顯然,這種串行的數據訪問流程帶來幾個問題:

  • 整個流程的穩定可靠性取決于穩定可靠性最弱的環節
  • 整個流程的安全性取決于安全性最弱的環節
  • 整個流程的性能取決于性能最弱的環節
  • ANTI-VIRUS,及ANTI-SPAM、URL-FILTERING 進一步帶來性能惡化,如:由于ANTI-SPAM坐落于數據鏈路當中,使得WEB數據無可奈何地經由ANTI-SPAM轉發一遍,這種多此一舉的動作導致性能進一步下降。

任何環節出現不穩定因素,或出現性能瓶頸及安全漏洞,都會導致整個數據環節不穩定、性能下降、及安全隱患。

顯然,當串行流程中若由于只有一臺設備而導致穩定性問題及性能瓶頸問題,那么可以采用多臺設備同時并行處理的方式來解決這些問題,然而如何在這些眾多設備當中實現智能的流量調配(如下圖示),這就是L4/L7應用交換技術的精華所在。

 

 

然而在每一個不同的環節,都有不同的L4/L7交換技術去解決不同的問題,發揮其不同功效。以下我們一一探討在每一個環節當中的L4/L7應用交換技術的市場機會:

在INTERNET連接部分,如下圖,用戶為了保證出口的帶寬及穩定性,都會向不同或同一ISP申請多條鏈路來解決問題,這是RADWARE LinkProof 多鏈路解決方案的市場機會,只要引入LinkProof,就可以實現出口及入口的鏈路負載分擔,確保INTERNET出口的性能及穩定性,并且LINKPROOF具備精確的就近性(PROXIMITY),保證用戶從最快的鏈路出入。詳細技術細節請參閱技術白皮書。

 

 

在防火墻部分,如下圖,為了保證性能及提高穩定性,大多用戶會采用多臺防火墻(同一品牌或不同品牌)并行處理的工作方式,這是RADWARE SecureFlow 防火墻及各種安全服務器負載分擔的市場機會,只要引入SecureFlow,就可以讓多臺防火墻并行工作,把多臺防火墻邏輯上統一成一臺,確保防火墻環節的性能及穩定性,并方便了管理。詳細技術細節請參閱技術白皮書。

 

 

在安全監控服務器環節,如下圖示,為了解決按數據類型分配流量問題(如:WWW請求只流經ANTI-VIRUS,而旁路ANTI-SPAM,EMAIL請求及流經ANTI-VIRUS,又流經ANTI-SPAM 作安全檢測,以增強效率及提高性能),帶來了CID的市場機會,CID作為眾多安全監控服務器的智能交換中心,把不同類型的數據智能調配到不同的安全監控服務器上實現相應的安全監控,結果是不同的安全監控服務器只接收及監控所支持的應用類型及協議,并可以對安全服務器實現負載分擔,即保證了應用數據的安全監控,同時又加強了性能。詳細技術細節請參閱技術白皮書。

 

 

注:CID的部分功能可以在前面闡述的SecureFlow 中完成,具體細節請聯系RADWARE 工程師。

在應用服務器部分,是最傳統的應用服務負載分擔的AppDirector的市場機會,也是AppXcel 應用加速的市場機會,AppDirector把用戶請求智能調配到后臺負載較輕的應用服務器,而AppXcel則接管了應用服務端最耗費CPU的工作(如SSL加速;TCP復用;數據壓縮,緩存等),即增強了穩定性,又提高了應用的性能。其中AppDirector還可以升級成AppDirector-Global,使其具備GSLB的功能,解決第一章闡述的Peering Delay問題。如下圖,詳細技術細節請參閱技術白皮書。

 

 

2.2 應用安全解決方案

通過前面的分析,我們已經得到答案,今天網絡安全市場需要IPS + ANTI-DDOS + BDOS!而RADWARE 的 DefensePro就是最佳的選擇,DefensePro是市場上唯一同時具備IPS,ANTI-DDOS,BDOS的安全產品,也是安全市場上處理能力最快的安全產品,最高安全處理能力高達6G。并具備帶寬管理功能,有效地在出口限制P2P應用帶寬及垃圾流量。

 

 

DefensePro BDOS 功能不單只檢測流量的行為異常,并監測TCP/UDP/ICMP 等狀態的分布異常,避免產生誤報的發生,如新聞網站,經常因為頭條新聞而導致流量劇增,若只檢測流量的行為異常,必定產生誤報,DefensePro BDOS監測TCP/UDP/ICMP 等狀態的分布異常,避免產生誤報。見下圖:

 

 

注:以上講述的RADWARE 應用交換機系列,都可以通過許可證升級的方式,讓應用交換機帶有應用安全的功能。在應用交換機上嵌入安全性是應用交換機的發展趨勢,而RADWARE在第一天就內置了這種功能

3 RADWARE整體解決方案的優勢

概括起來,RADWARE的四層交換機采用硬件架構實現高性能應用交換,這是我們和競爭對手很大的區別,RADWARE應用交換技術非常齊全,保證端到端的應用加速,其中CID/SF是RADWARE獨創的專有技術。并且,RADWARE從進入L4/L7市場的第一天開始,我們就內嵌了流量控制(BWM)及安全機制(IPS/DDOS),可以透過4層以上的特征碼來控制用戶的訪問,在應用交換機上嵌入安全性是應用交換機的發展趨勢,而RADWARE在第一天就內置了這種功能,絕非半路出家,這種功能和L4/L7交換是相輔相成的,我們的流控技術可以實現精確的帶寬分配,可以攔截黑客的強行入侵(IPS),可以攔截黑客的DDOS(Anti-DDOS),并帶有BDOS實現真正的主動防御,攔截未知的黑客攻擊。

 

頁面主體部分底邊框
75秒时时彩记录