入侵检测系统Radware DefensePro(3) 借助高级的取样机制检测DoS攻击,不仅可实现完全的DoS和DDoS防范能力,而且还保持了大型网络的高吞吐量。除了上述基于攻击特征的防范方法外,DefensePro还针对各种类型的SYN flood攻击提供了强大的防护能力(无论该攻击是使用何种工具发动的)。这种被称为SYN Cookie防范的机制可执行延迟绑定(终止TCP会话)并且在TCP确认数据包中插入一个ID号来鉴别SYN请求。完成这种三向握手后,DefensePro仅处理含有在此前插入的ID号的请求。这种机制可以保证只有合法的请求才会被发送到服务器,而任何SYN flood攻击都将在DefensePro处被终止,因而不会蔓延到服务器以及DefensePro自身。DefensePro的强大架构允许它处理大规模的SYN flood攻击。在消费者实验室中执行的测试表明,DefensePro每秒最多可拦截100万个SYN请求(相当于500Mbps的速度),同时可保持合法流量的转发。报告功能当DefensePro检测到攻击时,它会将该安全事件报告。在报告中包含有全面的流量信息,比如源IP地址和目标IP地址、TCP/UDP端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息,或者通过系统日志渠道、SNMP陷阱或电子邮件将安全事件信息发送到外部。Configware Insite的安全报告功能提供了全面的安全报警、报告和统计信息,借此可以查看安全性攻击摘要,包括前10位攻击、总的攻击流量、按IP地址分类的攻击,等等。Configware Insite可以在Windows、Linux和Unix操作系统上运行。借助插件,它还可以在HPOV、Unicenter和Tivoli管理应用系统上运行。流量控制借助DefensePro的带宽管理功能,可以动态性地对流量进行控制,以保证所有关键任务应用的持续运行和性能(即使在攻击之下)。通过控制资源和区分流量的重要程度,DefensePro流量控制功能可以限制处于攻击之下的各个应用所占用的带宽,同时保证所有安全流量能获得充足的资源。对机构而言,这样就保证了ERP和CRM等关键任务应用的性能和不间断运行。Radware在Web上的安全更新服务Radware安全更新服务提供了即时的和经常性的安全过滤器更新,这为防范包括病毒、蠕虫和恶意攻击特征在内的最新应用安全危害提供了可能,从而可实现对应用、网络和用户的完全保护。所有的DefensePro用户都可以通过期限为一年或多年的预订来获得Radware安全更新服务。Configware Insite的用户可以享受到自动更新带来的便利。这些用户可以配置Configware Insite,让它定期轮询Radware的网站,以检查是否有新的安全更新。如果有这样的更新,Configware Insite会自动下载它们,然后通知管理员它已下载了新的攻击特征。该安全更新服务包括以下的主要服务要素:·安全运行中心 (SOC) 24/7地检视:不间断地监测、检测威胁,对威胁进行风险评估以及创建过滤器来抑制威胁·每周更新:按计划对特征文件进行定期更新,通常在星期一。可通过Radware Configware Insite自动分发,或用户主动从www.radware.com下载·紧急过滤器:通过紧急过滤器,可针对高危的安全性事件作出快速反应·定制过滤器:针对特定环境下的威胁以及新出现的攻击报告给SOC的攻击定制过滤器架构DefensePro的4层架构是为满足企业、电子商务公司以及通讯商在网络和应用保护方面最紧迫的需求而设计的。本节将介绍DefensePro硬件平台的四个主要组件,它们分别是:·交换结构和交换ASIC·网络处理器·StringMatch Engine·高端的Power PC RISC处理器
