Radware:如何实现电信网络的Cache和内容监测设备的负载均衡
Radware解决方案
在网络的骨干链路上,串接Radware电信级ASIC硬件内容安全交换机CID,相关的内容安全设备连接在CID上,CID提供最高3G的业务资料的处理能力以及44G的二层数据转发能力。 CID按照预先设定的策略,将相关检测流量转发到相关的内容安全设备上进行内容检查,然后根据流程控制策略转发到下一站实现流量的灵活治理和转发。CID可以通过对各个安全系统的健康检查检测各系统服务器的工作状况,保证将用户流量转发到最优的设备上去,同时避免了内容安全设备发生故障引起的网络中断,即使所有的网络安全设备宕机,CID可以将所有业务流量BYPASS过去,保证网络畅通。
CID根据策略只将需要处理的流量转发到特定的内容安全设备检查,其它流量直接default处理,并配合例如设定信任流量等技术,大大降低了内容安全设备处理容量的负载,大大提升了系统的性能。
CID对于内容安全系统提供了纵向和横向的灵活扩展功能,所谓纵向是指单个内容安全系统,例如AV系统中单台服务器无法满足客户大流量的病毒防范的要求,只需要在AVfarm中添加相关AVserver即可,对于用户是透明的。所谓横向是指,当客户需要从一个内容安全系统(例如一个AV系统)扩展到两个系统(AV+URL过滤)时,CID可以流量的定义流程控制,实现多个系统的流量治理。
CID本身可以通过可选的Synapps模块,提供对于1500多种常见蠕虫,后门,恶意代码等应用攻击的防范以及动态带宽治理和DOS,SYN攻击的防御。大大保护了客户网络和内容安全系统的安全性。
方案特点
针对客户内容安全系统,通过CID提供以下几个方面的优化服务:
l 灵活丰富的健康检查以及CID的bypass功能大大提升了系统可用性
l 对内容安全设备的丰富的负载均衡算法加快了内容检查或防病毒设备的运行速度,同时对于可信流量的处理提高了整个内容安全系统的性能
l CID提供了内容安全系统单系统和多系统纵向横向的灵活扩展性
l 应用安全和Dos Shield保证用户和内容安全设备的完全安全
非凡需要强调的是,ContentInspectionDirector与所有类型的内容检查和防病毒设备完全兼容,例如McAfee、Trend Micro、Aladdin 等。
1. 高可用性
在网络的信道上配置了防病毒网关,因此假如防病毒网关发生故障将导致Internet连接中断,造成巨大的停机损失。ContentInspectionDirector的先进的健康检查系统能够保证将内容定向到最合适的资源,从而确保所有内容检查设备的高可用性,预防Internet 连通性损失和减少停机时间。
将几个内容检查设备集中为一个服务器群,并在它们之间进行负载均衡。因此与单个设备相比可以处理更多的容量,例如配置5个防病毒网关可以将内容检查容量至少提高5倍。并提供完全透明的扩展能力,保护内容安全系统的原有投资。
2. 高性能
配置具有预先筛选算法的CID可以将内容检查速度提高500%。预先筛选算法能够区分可信和可疑内容,在内容检查设备(如防病毒网关)转发可疑内容进行检查的同时,可信内容可以绕过检查设备。因为80%的Internet 内容都为可信内容,所以从防病毒设备卸载可信内容,将使检查速度提高5 倍。而在邮件系统应用中,防病都网关只需检测SMTP,POP3等流量,单独的防病毒网关的工作效率大幅度提高,可以有效的节约此类设备的开销和用量。
;3. 灵活的高扩展性
创建内容检查设备群组,使用户在容量增加时能够很轻易地添加内容检查设备,可以透明添加内容检查设备,无需中断服务或者停机。
CID提供独一无二的多个内容安全系统之间的灵活流程控制,提供了方便快捷的用户流程治理和控制。
多个内容安全系统的流程控制
4. 完全的应用安全和Dos Shield
CID上可以部署Radware特有的应用安全模块,防范1500多种恶意攻击和恶性病毒。DosShield能够在高吞度量的网络中抵御Dos和DDos攻击。保护后台客户和内容安全设备的系统安全,实时拦截大量攻击流量,降低内容安全设备处理的数据量。
5. 网络部署
CID设备针对要害业务或要害用户特定流量进行转发或处理。通常CID是部署在网络的要害业务服务器之前保护特定业务,例如MAIL服务器前部署CID配合反垃圾邮件和AV网关进行邮件的检查。此时,CID是部署在核心交换机和要害业务汇聚交换机之间。另外一种针对重要用户进行特定流量的转发配合AV,CACHE,URL过滤等设备进行安全防护或流量缓存。测试CID是部署在核心交换机跟防护墙直接,或核心交换机和接入路由器直接。
工作模式
CID有两种工作模式智能桥模式和路由模式。
1. 智能桥模式
CID上下联埠处于同一个Regular/IPVLAN中,CID只需要跟上下联设备处于同一个网段,不改变现有网络的路由设置,连接在CID上的AV,CACHE等设备也处于同一网段中,并且默认路由都指向接入路由器。(如图所示)所有流过CID的资料包都可以进行相应的策略匹配根据预设的策略进行转发和处理。
2. 路由模式
CID还可以工作在路由模式,即上下联网段处于不同的子网,此时需要改变现有网络的路由配置,在网络里增加一跳。同时AV等网关处于另外的子网,并且默认网关都指向CID,CID上设定静态路由进行路由转发。同样,所有流量都通过CID的策略进行转发和处理。
RadwareCID解决方案的优势
1.高可用性
高可用性的内容检查功能
高可用性的内容检查功能提供了容错防病毒扫描和对恶意内容的不间断防范。
CID可监视防病毒网关和URL设备的健康状况,检测实时故障并将流量复位向到性能最佳的资源,从而确保了内容安全性服务的完全可用性和不停机操作。
2.高性能
n 千兆位元速度的防病毒服务
千兆位元速度的防病毒服务提供了最佳性能的内容过滤。CID借助21个埠级别的交换ASIC实现了线速转发,同时借助最高容量44GB 的ASIC 背板矩阵(ASIII平台)实现了无阻塞应用交换和最先进的RISC处理,功能强大的两片NP处理器,提供了高流量和更高性能的防病毒和URL 过滤功能。
n 内容预选功能
内容预选功能提高了内容的吞吐速度,从而避免了在性能和安全性之间作出两难选择。
CID通过预选所有的网络流量以区分出信任的檔和有疑问的文件,将可信任的文件绕过防病毒网关和URL设备的流量,从而提高了内容检查的吞吐速度(幅度可达500%),避免了瓶颈问题并加快了内容传递速度,最终保证了最佳的用户体验
3.高扩展性
n 高度可扩展的防病毒服务
高度可扩展的防病毒服务答应无限制地而且经济地扩充内容检查能力。
防病毒服务器之间的负载平衡优化了内容检查服务,并使得用户可以按照自己的需要进行性能扩充,从而充分利用现有的基础设施,并削减部署新的防病毒服务器的成本(幅度可达40%)。
n 组合式的防病毒服务支持
组合式的防病毒服务支持提供了可无缝部署和透明集成的最佳增殖网络过滤功能。
CID可优化任何防病毒过滤工具或URL过滤工具的性能,从而提供了灵活和可自定义的安全架构,用户可以完全自由地选择供货商,同时不花费任何集成费用。
;4.完全的安全性
n 1.基于策略的流量治理
基于策略的流量治理提供了量身定做的内容安全性。
基于策略的治理答应用户定义最适于处理每种流量、用户和内容的特定安全工具,由此可使安全工具获得最大化的性能和更高的效率。
n 千兆位元速度的入侵检测和DoS 防范
千兆位元速度的入侵检测和DoS防范可不间断地保护应用程序和网络资源的完整性。
实时的应用安全性检测和对BOFserviceoverflows、特洛伊木马、尼姆达、红色代码、Goner 以及1500 多种攻击特征的防范可有效阻止网络入侵。此外,DoS 防护功能还可通过阻止使服务性能衰竭的拒绝服务攻击来保护整个网络资源的安全。
n 全方位监视防病毒服务
ConfigwareInsite提供了对防病毒性能的统一治理、查看和控制,可以按用户、应用程序和文件类型分类来查看实时的或过去的内容过滤操作。