1. 需求分析

当前，随信息化发展而来的网络安全问题日渐突出，这不仅严重阻碍了社会信息化发展的进程，而且还进一步影响到整个国家的安全和经济发展。面对网络安全的严峻形势，如何建设高质量、高稳定性、高可靠性的安全网络成为我们通信行业乃至整个社会发展所要面临和解决的重大课题。

现如今，全球网民数量已接近7亿，网络已经成为生活离不开的工具，经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以 及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。人们在享受到各种生活便利和沟通便捷的同时，网络安全问题也日渐突出、形势日益 严峻。网络攻击、病毒传播、垃圾邮件等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。（以上摘自《通信信息报》）

威胁触目惊心

根据公安部一份信息网络安全状况调查显示，在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中，发生网络安全事件的比例为58％。 其中，计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79％，拒绝服务、端口扫描和篡改网页等网络攻击事件占43％，大规模垃圾邮件传播造成的安全事件占36％。特别地，计算机病毒的感染率为87.9％，比上一年增加了2％。

上述调查对象都是国内信息安全投入比较高的大行业，防火墙、入侵检测、防病毒等常见安全产品基本都已部署，但仍然遭受了触目惊心的安全危害。

1.1 传统安全架构无法应对基于应用的攻击模式

防火墙无法保护处于它身后的网络不受外界的侵袭和干扰

防火墙一直是网络及应用安全的代名词，在瞬息万变的信息时代，这个曾经叱咤风云的一代宗师，今天却成为了信息安全的误区，防火墙仍然安全吗？

众所周知，今天的应用逐渐向Web转换，这意味着什么呢？参见下图：

传统的应用，不同应用具有不同的端口，防火墙为不同应用开放不同的端口，见左图，今天的应用向WEB转换，不同的应用全都承载在WWW端口上，防火墙只需开放一个端口，即WWW（80）端口，见右图。左边的防火墙开放了多个端口，而右边的防火墙只开放了一个端口（80），因此右边的防火墙比左边的更安全吗？当然不是：

• 入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门；
• 防火墙不能防止来自网络内部的袭击，通过调查发现，将近65%的攻击都来自网络内部，对于那些对企业心怀不满或假意卧底的员工来说，防火墙形同虚设；
• 传统防火墙不具备对应用层协议的检查过滤功能，无法对Web攻击、FTP攻击等做出响应，防火墙对于病毒蠕虫的侵袭也是束手无策。我们试想发，应用向WWW转换后，原来每一个应用的报头信息，今天全部成为WWW 应用的净负荷（PAYLOAD），防火墙若不具备深度包检测的机制，应用向WEB转变将导致防火墙形同虚设，根据GARTNER 的预测，如果防火墙还只局限于状态检测而不具备深度包检测的机制，将很快面临淘汰的厄运。

IDS无法完全弥补防火墙的不足

为了弥补防火墙应用协议检查的不足，在网络世界里，人们开始了对入侵检测技术的研究及开发。IDS技术应时而生，为网络提供实时的监控，并且在发现入侵的初期采取相应的防护手段。

但是，人们也逐渐意识到IDS所面临的问题。

• 较高的漏报率和误报率。
• IDS是以被动的方式工作，只能检测攻击，而不能做到真正实时地阻止攻击。

1.2 单一的IPS和DOS防范模式无法应对层出不穷的攻击手段

今天网络黑客的攻击手段多种多样，总结起来分为两类，一类是INTRUSION（入侵），另一类为DDOS（拒绝服务）。这就是为什么今天市场上流行着两大类型的安全产品：IPS（入侵防护系统）及ANTI-DDOS（拒绝服务防护系统）。

而今的IPS 及ANTI-DDOS 的方式主要有：

• 通过攻击特征库查询来防御攻击入侵和DDOS攻击；
• 通过阀值的限制来实现DDOS攻机防范。

但不幸的是，上述防范方式无法应对层出不穷的攻击手段：

• 攻击特征码只有在攻击发生以后才能被分析出来，因此这种防御手段虽然有效，但是缺少足够的主动性；
• 通过阀值的限制误判的可能性极大，会在防范攻击的同时严重损害正常的应用和服务；
• 新型的攻击层出不穷，基于特征和基于阀值的防范方式都只能从网络的行为的局部来降低攻击带来的负面影响。

因此，在网络安全形势日益严峻的今天，我们需要多层次的、真正了解网络行为并行之有效的主动防范机制。

2. Radware DefensePro（DP）解决方案

Radware在业内首先提供了高达6千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击，从而为所有网络化应用、用户和资源提供了直接保护。DefensePro是市场上唯一同时具备IPS，ANTI-DDOS，基于网络行为模式BDOS的安全产品，并具备带宽管理功能，有效地在出口限制P2P应用带宽及垃圾流量。

2.1 DefensePro攻击防范

DefensePro 采用了多层安全架构，分别检测和抵抗不同类型的攻击，确保只有"清洁"流量进入收保护的区域。

2.1.1 Dosshield实现已知攻击工具防范

DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量，提供了实时的、数千兆位速度 的DoS防范。

该机制会对照DefensePro 攻击数据库中的DoS攻击特征列表（潜在攻击）来比较流量样本。一旦达到了某个潜在攻击的激活阈值，该潜在攻击的状态就会变为Currently Active （当前活动），这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征，相应的数据包就会被丢弃。如果没有匹配的特征，则会将数据包转发给网络。

借助高级的取样机制检测DoS 攻击，DoSShield只在出现了严重带宽滥用的情况下，才会判断攻击的存在，它会外科手术般地采用逐包过滤除去攻击流量。而当攻击不再活跃时，DoS Shield也能检测到相应状态并停止逐包过滤的操。这样不仅可实现完全的DoS和DDos 防范能力，而且还保持了大型网络的高吞吐量。

Dosshield的主要优势：

• 监听和采样机制，只有在出现严重攻击时才采取防范措施，保证了大型网络的高性能和高吞吐量；
• 基于特征码的防范策略，对正常应用无影响，保持了极低的误判率。

  DoS Shield作为第一道防范体系，负责在抵御已知Flood攻击的同时传输其他流量，而这些其他流量中还可能包含未知的新型攻击，它们将由第二道防范体系－Behavioral DoS 模块来实现防护。

  2.1.2 Behavioral DoS基于网络行为模式实现自动攻击防范

  借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术，Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒，避免危害的发生。

Radware's 自适应Behavioral DoS防范模块自动学习网络上的行为模式，建立正常基准，并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。 通过概率分析，该模块使用一系列提取自数据包包头和负荷的参数，例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum值等共17 个参数，来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量，该模块还会采用"与""或"逻辑运算来尽量精确攻击的防范策略。

所有上述流程都由DefensePro自动完成，无需人为干预，能够在数千兆位的网络环境中精确防范已知攻击、Zero-day Dos/DDos攻击和自我繁殖网络蠕虫。

Behavioral DoS 防护模块的攻击检索机制即不使用特征码，也不依赖于用户定义的行为策略和阀值。它还可以自动适应网络中的正常流量变化，因此它不会影响网络中的正常应用行为。

B-DoS 能够非常有效的抑制以下已知和未知的攻击：

• SYN Flood
• TCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods)
• UDP Floods
• DNS floods (基于UDP 53端口)
• UDP Flood 和 ICMP反向散射(unreachable 信息)
• ICMP Floods
• IGMP Floods
• Zero-Day 高速自我繁殖蠕虫(SQL Slammer, Blaster, Welchia, 等)

Behavioral DoS的主要优势：

• Zero-day Dos/DDos的未知攻击防范，无需认为手工干涉；
• 对DoS攻击的完全防范，较低的CPU资源消耗；
• 自适应的行为判别模式，将误判率降至最低；
• 完全自适应功能，无需策略配置，无需维护成本。

2.1.3 入侵防范防范各类应用攻击

为了确保DoSShield和Behavioral DoS模块不会遗漏任何攻击并危害运用户网络应用的关键应用系统，Radware还提供另一道防护屏障－入侵防范。 通过对比入侵特征库，DefensePro阻止攻击数据包来建立最后一道屏障。

入侵特征库罗列一系列会对网络造成严重破坏的应用层攻击，通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击，NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。DefensePro会对数据包进行逐一检查，并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1600多种攻击特征。为了防范新的攻击形式，数据库会不断被更新。对于未知形式的攻击，可以使用协议异常检查功能来检测。通过检查协议的异常性，可以检测异常的数据包碎片，而这大多数情况下标识了恶意活动。

快速的攻击特征比较

为了支持数千兆位的特征扫描速度，DefensePro专门采用了基于ASIC的强大加速器 - StringMatch Engine。StringMatch Engine支持并行的特征搜索操作，可对照特征数据库进行高速的检测和数据包比较。同使用Intel Pentium 4 CPU进行串行特征搜索相比，其字符串搜索速度提高了300倍。

实时抑制攻击

当检测到恶意活动时，DefensePro可能以任何组合形式立即执行以下的这些操作：丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护，以免它们遭到蠕虫、病毒和其它形式的攻击。

入侵防范的主要优势：

• 基于特征的入侵识别，能够准确地识别和抑制攻击；
• 专用的硬件加速器，确保了告诉的检测和防范以及网络吞吐量。

2.1.4 其它安全相关功能

除了上述三个模块外，DefensePro还提供以下功能：

黑白名单（Black and White List）－访问控制列表

Syn Flood防范－为了提供全面的SynFlood攻击防范能力，除了Dosshield和Behavioral Dos之外，DefensePro采用SynCookie技术基于源地址监视来发现恶意攻击源，并提供多重级别的防范措施。

异常流量（Anomalies）防范－为了逃避安全设备的检查，黑客通常会采用拆包并将攻击分成多个数据包碎片传输。此类攻击被称作Anomalies。

针对此类攻击，DefensePro提供了也体动相应的防范能力：

• 异常协议类；
• Buffer Overflow类；
• HTTP碎片类

状态检测（Stateful inspection）－DefensePro提供针对协议滥用等攻击，提供状态检测攻击防范能力，可以防范的攻击例如：

• TCP Flooding：SYN-ACK (反射攻击), TCP数据包风暴；
• Stealth 扫描：通过发送TCP fin / rst /ack / syn-fin数据包，以图发现开放的端口；
• DNS reply flooding： 使用大量的DNS响应数据包攻击服务器；
• ICMP Echo reply flooding： 使用大量的echo reply数据包攻击服务器（Smurf）；
• 防扫描（Anti－Scanning）黑客在发起攻击之前，通常会试图确定目标上开放的TCP/UDP端口，而一个开放的端口通常意味着某种应用，操作系统或者后门。DefensePro提供此类探测的防范能力。

带宽管理

在提供强大的安全功能同时，DefensePro 的带宽管理功能。DefensePro能够根据网络数据包的源/目的地址、应用端口和内容（IP header或IP Data）区分流量，还可以限制相同用户的并发会话和每个会话的带宽，从而阻止和控制各种流量的带宽应用。

2.2 DefensePro的安全报告

当DefensePro检测到攻击时，它会将该安全事件报告。在报告中包含有全面的流量信息，比如源IP地址和目标IP地址、TCP/UDP 端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息，或者通过系统日志渠道、SNMP 陷阱或电子邮件将安全事件信息发送到外部。

还可以根据网络中的实时安全状况，以雷达图的方式提供当前的攻击严重程度以及数量等信息。

3. DefensePro解决方案优势

高效、易于使用和维护是优秀安全解决方案的必要特点。

高效 -保护手段必须提供准确和精细的侦查和预防机制，在提供保护的同时不干涉合法的流量。这一点是至关重要的，它保证了关键应用既使面临一次巨型的攻击，也能够提供正常的服务。

Simplicity/TCO - 复杂配置和频繁的更新维护会导致配置错误，最终引起攻击的误判。 因此，保护措施必须易于配置和管理，而且需要最少的特征更新和其它维护。

Radware DefensePro安全交换机独具的多层安全架构完全具备了上述要求，在功能和性能上都是用户保护网络应用的最佳选择：

• 创新的硬件架构提供高达6G的安全吞吐能力；
• 多层防范体系使用户远离DDOS攻击带来的困扰和损失；
• 基于行为模式的自动BDOS攻击防范机制最大程度降低用户的TCO和缩短对新型攻击的相应时间；
• 带宽管理功能降低垃圾流量对网络带宽的恶意占用；
• 集DDOS防范、IPS和带宽管理于一身，保护用户投资。