入侵检测系统Radware DefensePro(7) 以下配置显示了用于清理国内骨干链路的备选解决方案。
图9:国内骨干链路清理配置优点降低经营成本 – 通过过滤掉恶意代码,可以大幅度降低流量规模,并且更充分地利用国际骨干链路,这无疑会大幅度地降低成本。透明方式的安装 – 不需要更改现有的网络元素配置。让通讯商的服务在网络中始终保持可用 – 通过以数千兆位的速度实时防范DoS攻击和1200多种恶意攻击特征,通讯商可以保证服务的始终可用性。迅速对新威胁作出反应 – 新攻击特征的自动更新,为及时防范新的蠕虫、病毒或其它类型的攻击创造了条件。保护DNS和电子邮件服务器DNS服务器的失效可能对Internet服务造成严重影响(因为最终用户将无法访问Internet Web服务器),这可以从今年1月份美国主要的DNS服务器所遭受的DNS攻击得到证明。借助以下配置,通讯商可以防止自己的DNS和邮件服务器遭到蠕虫、病毒以及DoS攻击,并且杜绝其邮件或DNS服务器将蠕虫传播到用户网络和对等DNS系统的可能性。该配置中,DefensePro以透明方式连接在链路上。它可以扫描所有前往DNS和邮件服务器的流量,从而自动检测和防范蠕虫、病毒、已知的DNS攻击(比如SQL slammer)以及DoS攻击和DDoS攻击。
图10:国内骨干链路清理配置优点:用数千兆位的速度执行实时保护 – 可防范所有已知的DNS攻击(包括SQL slammer和DoS攻击)。透明方式的安装 – 不需要更改网络元素配置。迅速对新威胁作出反应 – 新攻击特征的自动更新,为及时防范新的蠕虫、病毒或其它类型的攻击创造了条件。有关各种通讯商解决方案的完整信息,请参考“通讯商安全解决方案”白皮书。独具优势从防火墙、VPN网关、IDS到防病毒网关,安全市场集结了各式各样的安全工具。应用级层的攻击在当今的网络攻击中占了绝大多数,为了抑制这些攻击,Gartner2建议企业“在作出安全方面的决策时除了考虑简单的静态协议过滤外,还要考虑对应用内容进行深入的数据包检查”。但从下表可以看到,DefensePro是业内唯一兼具了3Gbps的安全性能和应用安全智能的产品,它可以保护从网络层直到应用层的所有网络化应用。DefensePro独具的多层安全架构组合了数种攻击检测机制(针对1,200多种攻击特征和协议异常),它们联同高级的防范工具(如DoS Shield、SYN cookie和应用安全模块)一起,提供了对恶意攻击和DoS攻击的完全防范能力。DefensePro的底层支持技术是4层安全交换架构,其交换ASIC使用了44 GB的线速背板、2个网络处理器、RISC处理器和专用的基于ASIC的硬件加速卡(StringMatch Engine),可将检查速度提高1000倍。这使得DefensePro成为高速/高性能环境中的应用安全性能的基准。
