23IDS负载均衡解决方案.doc

SecureFlow解决方案 Radware China  目录 1 需求分析 3 1.1 单一防火墙面临的局限性 3 1.2 单一IDS面临的局限性 3 1.3 单一内容安全设备面临的局限性 4 2 Radware SecureFlow（SF）解决方案 5 2.1 方案拓扑图 5 2.2 防火墙负载均衡解决方案 5 2.3 IDS负载均衡解决方案 6 2.4 内容安全设备负载均衡解决方案 7 2.5 SSL内容检测 8 2.6 Qos解决方案 8 2.7 应用安全解决方案 9 3 方案的优点 10 3.1.1 高可用性 10 3.1.2 高性能 10 3.1.3 高扩展性 11 3.1.4 完全的安全性 11  需求分析 在当前的 Internet 环境中，每个企业和客户都必须清楚地认识到恶意软件、外部攻击者、内部个别员工、软件缺陷等所可能导致的危害。这种危害可能造成极大损失或破坏，并且可能动摇客户对企业网络完整性的信心，因为只要有机会，黑客就会渗透进网络的 IP 系统并操纵或破坏它们。为了化解这些层出不穷的风险，企业部署了包括防火墙、虚拟专用网络（VPN）、入侵检测系统（IDS）、防病毒系统和 Web 安全工具在内的安全性系统。 然而，尽管这样的安全性系统可能可以保护网络的安全，但却无法避免由于安全性功能造成的限制而导致的性能折衷。因此这方面的挑战就是，对于任何网络，都必须能在轻松实现可扩展性并且不必安排停机和影响性能的情况下部署安全性举措。此外，安全性系统还必须能应付由于资源不可用而导致的故障并且必须保证所有网络化应用的正常运行。 单一防火墙面临的局限性 网络安全性是许多企业和ISP长期担心的问题，网络安全已经成为了人们关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。 尽管目前这代防火墙产品可以较有效地防止网络入侵。但是，它本身也给企业和ISP网络带来了问题。尤其是，目前防火墙技术限制了网络的性能和可伸缩性，并且由于防火墙经常成为单故障点，因而它降低了整体网络的可用性。 由于防火墙处于数据路径上，因此，它们可能会限制网络的性能和可伸缩性。在内部网络和外部网络之间的所有网络流量都必须经过防火墙。可惜的是，最适于防火墙的处理结构不适于检查高容量的数据包。由于防火墙必须处理每一个数据包，因而造成了通信速度的下降。扩展防火墙的性能十分困难，因为它一般要直接升级到功能更强大的硬件平台。 也是由于防火墙安放在数据路径上，因此，它们形成了降低网络资源可用性的单故障点。尽管多数防火墙可以使用市面上已有的高可用性软件以热备份的配置部署，但是，迄今为止，没有一种解决方案可以支持一个以上的防火墙同时工作。因此，用户必须购买和配置第二个防火墙和高可用性软件，然后无奈地看着它们闲置在一旁，等待故障将它们激活。如何实现多台防火墙同时工作，是用户非常关心的问题。 单一IDS面临的局限性 今天很多用户都配置了入侵检测系统（IDS）以检测网络的安全，典型IDS 的应用如下图示，基本采用HUB或交换机端口镜像的方式把出入口数据拷贝到IDS，由IDS来判断进出口数据的安全。 显然这种网络结构是不科学的，一旦网络数据量增大，IDS就会因为性能的缺陷而导致丢包，丢包的直接后果就是引致网络安全误报或是漏报，导致IDS形同虚设。有的用户为了避免IDS丢包，保证IDS可以检测每个进出网络的数据，只好把网络带宽减低，这相当于牺牲网络的性能来确保网络安全，对于今天海量数据传输的网络平台而言，这种“解决方案”显然是不可行的。如何实现多台IDS分担网络的流量来同时工作保证安全，是用户非常关心的问题。 单一内容安全设备面临的局限性 （1）高可用性低 －内容安全设备通常是通过相关的功能软件安装在通用或专用的PC服务器上实现其内容安全检查的功能，操作系统采用通用的windows或Linux等操作系统。此类设备无法避免PC硬件常见的内存、硬盘、电源或者操作系统等故障造成设备宕机或发生意外故障。内容安全设备需要串接在网络中，一旦内容安全设备发生故障会造成所有网络应用和客户的中断，造成难以估计的损失。另外，此类设备需要经常的打操作系统的补丁和重启机器，这也会造成网络的中断。 （2）性能有限－内容安全设备往往糖葫芦结构串接网络中，所有的数据流量都需要依次流经各个内容安全设备，所以这些内容安全设备处理的数据量非常大，但基于PC Server架构的内容安全设备其处理能力是非常有限的（通常只有3－10 Mbps 吞吐量），在将内容安全产品用于具有高速Internet 连接的繁忙网络时，常常会成为瓶颈。因为在实现对恶意或者不适当内容的检查往往会影响整理网络流量的传输速度，如何既要对公司的网络进行完全的内容检查，又要保证较高的网络吞吐量是当前内容安全设备的面对的