RADWARE整体解决方案概述

1 应用交换及应用安全背景剖析

在介绍RADWARE整体解决方案以前,我们首先分析应用交换技术及应用安全技术的市场背景及技术背景。

1.1 应用交换背景剖析

为什么会出现应用交换技术?它的出现到底为今天的网络应用带来了什么好处?解决了什么样的问题呢?在回答这些问题以前,我们首先探讨以下这个传统的网络架构,用户在访问应用的时候,首先经过接入运营商(Access ISP),这些接入运营商又通过网络提供商(Network SP),最后经过主机/应用托管服务提供商(Hosting SP/IDC)到达应用服务器。

 

 

不容置疑的是,这些运营商,包括接入运营商(Access ISP),网络提供商(Network SP),主机/应用托管服务提供商(Hosting SP/IDC),他们为了抢占这个利润丰厚的市场,运营商内部的网络带宽都足够充分,几乎不存在网络瓶颈。但是,可悲的是运营商之间的网络带宽却是小得可怜(可能是物理带宽不足,更多的因素是由于竞争关系相互限制),直接导致运营商之间的带宽限制成为用户访问的瓶颈,这是用户访问速度缓慢的其中一个重要的因素,这方面的瓶颈我们称之为Peering Delay.

除了前面所阐述的Peering Delay以外,还有什么因素导致用户访问缓慢呢?这个因素也许大多数朋友都未意识到,这个瓶颈来自应用的前端,为什么这样讲呢?我们都知道服务器的发展速度受到摩尔定律的限制,即主机的性能每十八个月才翻一倍,而今天对网络流量的调查,我们发现网络的流量每隔三个月就翻一倍,可见网络流量的发展速度远远快于主机的发展速度,如果主机只是简单地通过一张网络接口卡就连接到网络上面去的话,必定受到网络数据流严重的冲击,应用服务与网络的接口成为了应用访问的瓶颈,这个瓶颈我们称之为Server delay(见上图)。

在这个关键的时候,L4/L7应用交换技术脱颖而出,它承担了应用服务与网络传输之间的接口,去解决应用与网络之间的瓶颈(SLB)。这就是应用交换机走向市场的历史背景,应用交换机的出现,使得应用的智能性逐渐地从应用端延伸到网络的边缘,使得应用可以通过这个接口无缝的接合到网络当中,这种最早期的应用交换技术,我们又称之为应用负载均分技术。

这种早期的应用交换(SLB负载均分)技术,解决了应用前端的瓶颈问题(Server Delay),而前面所提到的Peering Delay的问题应该如何解决呢?在无法控制运营商之间的瓶颈的情况下,我们把应用逐渐推向用户的边缘,让用户可以从最近的应用点获取数据,从而避免了运营商之间的瓶颈,我们以YAHOO 作为案例:

 

 

YAHOO在INTERNET上并非只有一个站点,而是把站点镜像到世界不同的角落,各站点间运行着洲际负载均衡技术(GSLB),这些站点都同享一个域名:www.yahoo.com ,当用户访问www.yahoo.com 的时候,通过GSLB技术,把用户定向到距离自身最近,响应速度最快的站点,从而有效解决了运营商之间的Peering Delay瓶颈问题。

SLB技术与GSLB技术是最早的应用交换技术,经过多年来的发展,应用交换派生出更多更丰富的技术,我们会在第二章和大家介绍RADWARE的全面应用交换技术及解决方案。

总之,应用交换技术的诞生,让网络的边缘具备了应用的智能性,作为应用与网络间的接口,消除了网络与应用间的瓶颈,使得应用可以通过这个接口,无缝地接入到网络当中去,应用的性能得到了极大的提高。

1.2 应用安全背景剖析

防火墙一直是网络及应用安全的代名词,在瞬息万变的信息时代,这个曾经叱咤风云的一代宗师,今天却成为了信息安全的误区,防火墙仍然安全吗?

众所周知,今天的应用逐渐向Web转换,这意味着什么呢?参见下图:

 

 

传统的应用,不同应用具有不同的端口,防火墙为不同应用开放不同的端口,见左图,今天的应用向WEB转换,不同的应用全都承载在WWW端口上,防火墙只需开放一个端口,即WWW(80)端口,见右图。左边的防火墙开放了多个端口,而右边的防火墙只开放了一个端口(80),因此右边的防火墙比左边的更安全吗?当然不是,我们试想从另一个角度出发,应用向WWW转换后,原来每一个应用的报头信息,今天全部成为WWW 应用的净负荷(PAYLOAD),防火墙若不具备深度包检测的机制,应用向WEB转变将导致防火墙形同虚设,根据GARTNER 的预测,如果防火墙还只局限于状态检测而不具备深度包检测的机制,将很快面临淘汰的厄运。

防火墙不再可以依赖,那么我们需要什么技术来维护应用的安全呢?我们首先分析黑客可能会对我们做什么,今天网络黑客的攻击手段多种多样,总结起来分为两类,一类是INTRUSION(入侵),另一类为DDOS(拒绝服务)。这就是为什么今天市场上流行着两大类型的安全产品:IPS(入侵防护系统)及ANTI-DDOS(拒绝服务防护系统),而今的IPS 及ANTI-DDOS 大都是通过攻击特征库查询来防御攻击,不幸的是攻击特征码只有在攻击发生以后才能被分析出来,因此这种防御手段虽然有效,但是缺少足够的主动性,这也是为什么基于行为的DDOS防御手段(BDOS)成为了网络安全领域非常热门的话题及技术,谈到这里,相信已经有答案了,我们需要什么?我们需要IPS + ANTI-DDOS + BDOS !

2 Radware 整体解决方案概述

2.1 应用交换解决方案

前面介绍了应用交换技术的市场背景,在这一章节里我们介绍RADWARE应用交换的整体解决方案及产品系列,其中每一款产品的市场定位都是不一样的,有应用存在的地方,就会有应用交换技术及应用安全的市场机会,我们先看一看传统应用的数据流程:

 

 

用户接入INTERNET,访问数据从数据中心的INTERNET接入点进入数据中心,然后进过数据中心的防火墙,经过局域网骨干,在流经ANTI-VIRUS,及ANTI-SPAM、URL-FILTERING等安全监控服务器群,最后到达数据服务器。显然,这种串行的数据访问流程带来几个问题:

  • 整个流程的稳定可靠性取决于稳定可靠性最弱的环节
  • 整个流程的安全性取决于安全性最弱的环节
  • 整个流程的性能取决于性能最弱的环节
  • ANTI-VIRUS,及ANTI-SPAM、URL-FILTERING 进一步带来性能恶化,如:由于ANTI-SPAM坐落于数据链路当中,使得WEB数据无可奈何地经由ANTI-SPAM转发一遍,这种多此一举的动作导致性能进一步下降。

任何环节出现不稳定因素,或出现性能瓶颈及安全漏洞,都会导致整个数据环节不稳定、性能下降、及安全隐患。

显然,当串行流程中若由于只有一台设备而导致稳定性问题及性能瓶颈问题,那么可以采用多台设备同时并行处理的方式来解决这些问题,然而如何在这些众多设备当中实现智能的流量调配(如下图示),这就是L4/L7应用交换技术的精华所在。

 

 

然而在每一个不同的环节,都有不同的L4/L7交换技术去解决不同的问题,发挥其不同功效。以下我们一一探讨在每一个环节当中的L4/L7应用交换技术的市场机会:

在INTERNET连接部分,如下图,用户为了保证出口的带宽及稳定性,都会向不同或同一ISP申请多条链路来解决问题,这是RADWARE LinkProof 多链路解决方案的市场机会,只要引入LinkProof,就可以实现出口及入口的链路负载分担,确保INTERNET出口的性能及稳定性,并且LINKPROOF具备精确的就近性(PROXIMITY),保证用户从最快的链路出入。详细技术细节请参阅技术白皮书。

 

 

在防火墙部分,如下图,为了保证性能及提高稳定性,大多用户会采用多台防火墙(同一品牌或不同品牌)并行处理的工作方式,这是RADWARE SecureFlow 防火墙及各种安全服务器负载分担的市场机会,只要引入SecureFlow,就可以让多台防火墙并行工作,把多台防火墙逻辑上统一成一台,确保防火墙环节的性能及稳定性,并方便了管理。详细技术细节请参阅技术白皮书。

 

 

在安全监控服务器环节,如下图示,为了解决按数据类型分配流量问题(如:WWW请求只流经ANTI-VIRUS,而旁路ANTI-SPAM,EMAIL请求及流经ANTI-VIRUS,又流经ANTI-SPAM 作安全检测,以增强效率及提高性能),带来了CID的市场机会,CID作为众多安全监控服务器的智能交换中心,把不同类型的数据智能调配到不同的安全监控服务器上实现相应的安全监控,结果是不同的安全监控服务器只接收及监控所支持的应用类型及协议,并可以对安全服务器实现负载分担,即保证了应用数据的安全监控,同时又加强了性能。详细技术细节请参阅技术白皮书。

 

 

注:CID的部分功能可以在前面阐述的SecureFlow 中完成,具体细节请联系RADWARE 工程师。

在应用服务器部分,是最传统的应用服务负载分担的AppDirector的市场机会,也是AppXcel 应用加速的市场机会,AppDirector把用户请求智能调配到后台负载较轻的应用服务器,而AppXcel则接管了应用服务端最耗费CPU的工作(如SSL加速;TCP复用;数据压缩,缓存等),即增强了稳定性,又提高了应用的性能。其中AppDirector还可以升级成AppDirector-Global,使其具备GSLB的功能,解决第一章阐述的Peering Delay问题。如下图,详细技术细节请参阅技术白皮书。

 

 

2.2 应用安全解决方案

通过前面的分析,我们已经得到答案,今天网络安全市场需要IPS + ANTI-DDOS + BDOS!而RADWARE 的 DefensePro就是最佳的选择,DefensePro是市场上唯一同时具备IPS,ANTI-DDOS,BDOS的安全产品,也是安全市场上处理能力最快的安全产品,最高安全处理能力高达6G。并具备带宽管理功能,有效地在出口限制P2P应用带宽及垃圾流量。

 

 

DefensePro BDOS 功能不单只检测流量的行为异常,并监测TCP/UDP/ICMP 等状态的分布异常,避免产生误报的发生,如新闻网站,经常因为头条新闻而导致流量剧增,若只检测流量的行为异常,必定产生误报,DefensePro BDOS监测TCP/UDP/ICMP 等状态的分布异常,避免产生误报。见下图:

 

 

注:以上讲述的RADWARE 应用交换机系列,都可以通过许可证升级的方式,让应用交换机带有应用安全的功能。在应用交换机上嵌入安全性是应用交换机的发展趋势,而RADWARE在第一天就内置了这种功能

3 RADWARE整体解决方案的优势

概括起来,RADWARE的四层交换机采用硬件架构实现高性能应用交换,这是我们和竞争对手很大的区别,RADWARE应用交换技术非常齐全,保证端到端的应用加速,其中CID/SF是RADWARE独创的专有技术。并且,RADWARE从进入L4/L7市场的第一天开始,我们就内嵌了流量控制(BWM)及安全机制(IPS/DDOS),可以透过4层以上的特征码来控制用户的访问,在应用交换机上嵌入安全性是应用交换机的发展趋势,而RADWARE在第一天就内置了这种功能,绝非半路出家,这种功能和L4/L7交换是相辅相成的,我们的流控技术可以实现精确的带宽分配,可以拦截黑客的强行入侵(IPS),可以拦截黑客的DDOS(Anti-DDOS),并带有BDOS实现真正的主动防御,拦截未知的黑客攻击。

 

页面主体部分底边框