入侵检测系统Radware DefensePro(5) 典型配置企业配置此处介绍了最为常见的DefensePro安装形式。这种在网络的网关位置进行的嵌入式安装允许DefensePro以数千兆位的速度执行实时而深入的数据包检查和双向扫描,从而保护所有企业流量免遭1200多种应用级别的攻击(包括蠕虫、病毒和DoS攻击)。在网络的网关位置防范DoS攻击,不仅保护了公司资源和基础体系,而且还保护了公司的安全工具不会超负荷运行,从而即使是在DoS攻击之下也能保证它们的连续运行。通过实施带宽管理策略,可以即时隔离攻击、蠕虫和病毒,防止它们传播到各个楼层/网段,从而限制了它们的危害程度,并且确保了保持业务运行所需的可用性和性能。DefensePro的透明特性就好比是一种“智能化的绳索”,通过它,DefensePro可以实现同任何网络环境的无缝集成。
另外还有一种流行的配置。该配置利用了DefensePro的高端口密度和3千兆位的交换速度。在这样的配置中,DefensePro同时连接了多个网络段。每个网络段使用2个端口。借助该配置,用户通过一台设备就可以实现对所有网络段的双向扫描,因而改进了隔离效力,并且增强了对源自机构网络内外的攻击、蠕虫和病毒的防范能力。优点:实时的入侵防范功能可杜绝蠕虫、病毒和特洛伊木马的攻击实时防范拒绝服务攻击和SYN攻击保护所有局域网网段和流量的安全可将攻击带来的危害隔离起来可实现同任何网络环境的无缝集成通讯商解决方案随着越来越多的蠕虫、病毒和DoS攻击都是针对机构和通讯商的网络服务发起的,因此这些攻击对业务的连续运行能力造成了严重威胁。对借助国内和国际骨干网提供DNS和电子邮件服务以及为企业提供Internet连接的通讯商而言,这些安全性威胁已日益成为一种挑战。本节介绍了通讯商所面临的一些最为紧迫的安全性难题,并且相应地给出了如何在杜绝安全性威胁的情况下提供正常服务的解决方案。本节介绍的所有安全解决方案都基于DefensePro的以下功能:·隔离蠕虫、病毒和DoS攻击·为用户提供安全连接·过滤骨干链路上的恶意代码攻击隔离公司机构网络遭受拒绝服务攻击后造成的巨大财务影响,迫使通讯商寻求相应的对策。这种对策需要确保针对该通讯商的某个用户发动的DoS攻击不会影响它向连接在同一存在点(POP)的其他用户提供的性能和服务。因此,为了履行用户服务水平协议(SLA)和保证所有POP用户的网络能够连续运行,无疑需要一种攻击隔离机制。
图6:区域性POP中的典型DefensePro部署DefensePro的带宽管理功能允许通讯商根据每个用户的SLA来限制其发送或接收流量时可以使用的带宽,从而提前定义好有关策略。通过控制蠕虫、病毒以及DoS攻击所可能占用的最大POP资源带宽,可以限制攻击的蔓延,确保它们不会广泛传播并且影响连接在同一POP的其它用户的服务水平和性能。优点:即时的攻击隔离:防止攻击蔓延到其它用户中·通过实施带宽管理策略,限制蠕虫、病毒和DoS攻击所消耗的带宽,避免它们影响用户网络。
