本文阐述了为实现网络化应用的有效保护而存在的主要挑战,并且介绍了Radware的DefensePro是如何以3千兆位速度的应用安全来防范恶意入侵和DoS攻击,从而允许机构正常使用和保护大型环境中的应用的。
需求
对于一个行之有效的安全解决方案,它必须考虑当前在应用和安全上的挑战。这些挑战包括:
1. 对分布式应用的依赖性不断增强 – 各个机构日益依赖基于Web的应用和业务级的分布式应用来开展业务。分支机构和生产部门也会通过广域网从远程访问CRM和ERP等关键应用。
2. 网络化应用容易受到攻击 – 由于80、139等端口通常是打开的,因此如果不对借助这些端口穿越防火墙进入网络的流量进行检测,网络化应用将非常容易遭到病毒、入侵、蠕虫和DoS等形式的攻击。为保护网络化应用的安全,需要对所有流量进行深入的数据包检测,以实时拦截攻击,并且防止安全性侵害进入网络并威胁各个应用。
3. 呈爆炸性增长的攻击 – 应用攻击的数量和严重性都在飞快地增长,仅2003年就出现了4200多种攻击形式,而且这一数字每年都会翻一番。
相应地,这些攻击造成的损失也呈直线上升趋势。据报道,2003年8月成为IT历史上最糟的一个月。在该月,仅Sobig病毒就在全球造成了297亿美元的经济损失。
4. 当前的安全工具无法拦截这些攻击 – 在应用层的攻击面前,防火墙、IDS以及防病毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能,从而使各个机构暴露无遗。
因此,一种能用数千兆位的速度对所有流量进行双向扫描并且可以实时防范各种应用层攻击(比如蠕虫、病毒、木马和Dos攻击)的内置安全解决方案,无疑已成为当务之急。
Radware DefensePro在业内首先提供了以3千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。
DefensePro的功能和优点
DefensePro是3千兆位速度的安全交换平台,它为保护网络化应用免遭攻击威胁提供了高速的入侵防范能力和拒绝服务攻击防范能力。
本节着重介绍了DefensePro的以下性能:
1. 攻击监测和隔离。
2. 入侵防范。
3. 拒绝服务攻击防范。
4. 流量控制。
5. 安全更新服务。
6. 安全性报告。
攻击监测和隔离
网络管理人员在同攻击作斗争时面临的主要难题之一是,他们无法扫描和检查应用层的流量。
DefensePro不仅为管理员提供了对网络流量的全面监视能力,而且还使得他们可以实时识别蠕虫、病毒和异常的流量模式,从而实现对所有活动威胁的完全监视。
一旦检测到攻击,DefensePro就会实施积极的攻击隔离措施。它会通过带宽管理对所有受影响的应用、用户或网段进行动态的带宽分配限制,从而即时地控制攻击的影响和危害。
通过控制DoS攻击所可能占用的最大带宽并且限制该攻击的影响,可以确保其它的关键业务应用不会受到影响,并且可以继续获得为保证业务的平稳运行而所需的带宽和服务水平。基于类似方式,通讯运营商也可以保证用户的SLA不会因为对其它用户发动的DOS攻击而受到影响。
借助DefensePro的高端口密度,用户可以同时保护多个网络段。通过扫描和保护各个网络段,DefensePro可以防止攻击在机构的网络段和各个层级之间传播。这样就最大限度减少了感染机会,并且可以控制攻击带来的影响和危害。
入侵防范 – 应用级别的保护
对网络化应用的依赖性不断增强也使得公司网络要面临病毒、入侵、特洛伊木马和其它攻击的威胁。这些攻击会使用80端口和其它打开的应用端口(如139、445等)穿越防火墙而进入公司网络中。据2003年8月刊的Network World报道,77% 的应用级别攻击都是通过80端口发动的。
资料来源:Network World,2003年8月
图1:不同应用级别攻击的分布图
DefensePro入侵防范功能可以用3千兆位的速度检测和拦截1200多种病毒、蠕虫和特洛伊木马,从而快速而全面地清除所有恶意入侵:
对各个网络段的流量进行双向扫描
DefensePro是为嵌入式部署而设计的,它可以在具有多个网络段的网络中对所有流量进行实时扫描。在扫描过程中,DefensePro会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1200多种攻击特征。为了防范新的攻击形式,该数据库会不断被更新。对于未知形式的攻击,可以使用协议异常检查功能来检测。通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。
3千兆位速度的攻击特征比较
为了支持数千兆位的特征扫描速度,DefensePro专门采用了基于ASIC的强大加速器 – StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作,可对照特征数据库进行高速的检测和数据包比较。同使用Intel Pentium 4 CPU进行串行特征搜索相比,其字符串搜索速度提高了300倍。
实时抑制攻击
当检测到恶意活动时,DefensePro可能以任何组合形式立即执行以下的这些操作:丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫、病毒和其它形式的攻击。
DefensePro具有针对不同网络或网络段实施不同安全策略的灵活性,从而可以适应为保护不同应用和服务而所需的各种用户安全要求(对通讯商而言)和网络段安全要求(对公司而言)。
防扫描功能
黑客在发起攻击之前,通常都会设法确定打开的TCP和UDP端口。一个打开的端口可能意味着一种服务、应用或者一个后门。如果端口不是用户特意打开的,则可能导致严重的安全问题。DefensePro的应用安全模块提供了旨在阻止黑客获取该信息的全面机制,方法是拦截并修改发送给黑客的服务器应答。
DoS Shield – 彻底防范拒绝服务攻击
在过去的12个月中,拒绝服务攻击所导致的损失有显著的上升势头。最近的调查1表明,拒绝服务攻击(DoS)在2003年导致每个机构平均损失了1427028美元,这个数字比2002年高了5倍。
DefensePro的DoS Shield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度的DoS防范。该机制会对照DefensePro攻击数据库中的DoS攻击特征列表(潜在攻击)来比较流量样本。
一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态就会变为Currently Active(当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征,相应的数据包就会被丢弃。如果没有匹配的特征,则会将数据包转发给网络。
借助高级的取样机制检测DoS攻击,不仅可实现完全的DoS和DDoS防范能力,而且还保持了大型网络的高吞吐量。
除了上述基于攻击特征的防范方法外,DefensePro还针对各种类型的SYN flood攻击提供了强大的防护能力(无论该攻击是使用何种工具发动的)。这种被称为SYN Cookie防范的机制可执行延迟绑定(终止TCP会话)并且在TCP确认数据包中插入一个ID号来鉴别SYN请求。完成这种三向握手后,DefensePro仅处理含有在此前插入的ID号的请求。这种机制可以保证只有合法的请求才会被发送到服务器,而任何SYN flood攻击都将在DefensePro处被终止,因而不会蔓延到服务器以及DefensePro自身。
DefensePro的强大架构允许它处理大规模的SYN flood攻击。在消费者实验室中执行的测试表明,DefensePro每秒最多可拦截100万个SYN请求(相当于500Mbps的速度),同时可保持合法流量的转发。
报告功能
当DefensePro检测到攻击时,它会将该安全事件报告。在报告中包含有全面的流量信息,比如源IP地址和目标IP地址、TCP/UDP端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息,或者通过系统日志渠道、SNMP陷阱或电子邮件将安全事件信息发送到外部。Configware Insite的安全报告功能提供了全面的安全报警、报告和统计信息,借此可以查看安全性攻击摘要,包括前10位攻击、总的攻击流量、按IP地址分类的攻击,等等。
Configware Insite可以在Windows、Linux和Unix操作系统上运行。借助插件,它还可以在HPOV、Unicenter和Tivoli管理应用系统上运行。
流量控制
借助DefensePro的带宽管理功能,可以动态性地对流量进行控制,以保证所有关键任务应用的持续运行和性能(即使在攻击之下)。通过控制资源和区分流量的重要程度,DefensePro流量控制功能可以限制处于攻击之下的各个应用所占用的带宽,同时保证所有安全流量能获得充足的资源。对机构而言,这样就保证了ERP和CRM等关键任务应用的性能和不间断运行。
Radware在Web上的安全更新服务
Radware安全更新服务提供了即时的和经常性的安全过滤器更新,这为防范包括病毒、蠕虫和恶意攻击特征在内的最新应用安全危害提供了可能,从而可实现对应用、网络和用户的完全保护。
所有的DefensePro用户都可以通过期限为一年或多年的预订来获得Radware安全更新服务。
Configware Insite的用户可以享受到自动更新带来的便利。这些用户可以配置Configware Insite,让它定期轮询Radware的网站,以检查是否有新的安全更新。如果有这样的更新,Configware Insite会自动下载它们,然后通知管理员它已下载了新的攻击特征。
该安全更新服务包括以下的主要服务要素:
·安全运行中心 (SOC) 24/7地检视:不间断地监测、检测威胁,对威胁进行风险评估以及创建过滤器来抑制威胁
·每周更新:按计划对特征文件进行定期更新,通常在星期一。可通过Radware Configware Insite自动分发,或用户主动从www.radware.com下载
·紧急过滤器:通过紧急过滤器,可针对高危的安全性事件作出快速反应
·定制过滤器:针对特定环境下的威胁以及新出现的攻击报告给SOC的攻击定制过滤器
架构
DefensePro的4层架构是为满足企业、电子商务公司以及通讯商在网络和应用保护方面最紧迫的需求而设计的。本节将介绍DefensePro硬件平台的四个主要组件,它们分别是:
·交换结构和交换ASIC
·网络处理器
·StringMatch Engine
·高端的Power PC RISC处理器
图4:DefensePro架构
44 Gbps的交换结构 & 业内最高的端口密度
DefensePro无阻塞的44千兆位交换背板基于多层的分布式交换架构,使用了可确保1个10GbE端口、7个1千兆位端口以及16个高速以太网端口实现线速交换的交换ASIC。借助业内最高的端口密度和最高的交换性能,一台DefensePro设备就可以执行对多个网络段的双向扫描。其中,每个网络段将使用两个端口进行连接(一个入站端口和一个出站端口)。这为公司和通讯商的内部网络提供了完全的安全性(在所有网络段中避免蠕虫、病毒和DoS攻击蔓延)以及可保护任何网络配置的灵活性。
最先进的网络处理器
两个网络处理器将并行工作,它们可以用数千兆位的速度同时处理多个数据包(实现了更快的第4至第7层安全交换速度)并且执行所有同数据包处理有关的任务,包括流量转发和拦截、流量控制以及延迟绑定(以防范SYN flood攻击)。尤其是,它们可以用每秒100万个SYN请求的空前速率来防范拒绝服务攻击和任何已知或未知的SYN flood攻击。
对第4层攻击的检测和防范是由网络处理器完成的,这有助于提升防范这些攻击类型时的性能。如果需要执行更深入的数据包检查(第7层扫描),则会将数据包转发给StringMatch Engine(专用的硬件卡,是专为提供更快速的特征和模式比较以识别攻击特征而设计的)。StringMatch的模式比较结果确定了数据包是合法流量还是恶意攻击。与此结果相对应,网络处理器会转发数据包或丢弃数据包然后重置有关会话。
除了清除所有可疑流量外,网络处理器还支持端到端的流量控制和带宽分配管理,以确保所有安全流量有稳定的服务水平,并且保证关键任务应用的连续性和服务质量(即使在受到攻击的情况下)。
Radware StringMatch Engine – 基于ASIC的专用安全硬件加速器
Radware StringMatch Engine是一种专用的硬件卡,旨在提供更快速的数据包检查和特征比较。StringMatch Engine由ASIC(最多8个,可支持256,000个并行的字符串搜索操作)和高端的Power PC RISC处理器(负责安排和运行并行搜索算法)构成。StringMatch engine提供了9千兆位速度的自由范围搜索和16千兆位速度的固定偏移搜索,其性能无与伦比。
同业内其它安全设备通常使用的800Mhz Pentium III CPU或Pentium 4 CPU相比,Radware StringMatch Engine的内容检查速度显得鹤立鸡群。StringMatch Engine比800Mhz的Pentium III CPU快1000倍,比Pentium 4 CPU快300倍。
CPU-1 GHZ的安全会话管理
DefensePro的RISC处理器使用的是Motorola PPC 7457。这是业内最快的处理器,它负责管理所有安全性会话并且区分它们的优先级。它不仅可识别所有的活动攻击并且控制StringMatch Engine和网络处理器中隔离、拦截和阻止攻击的活动操作,而且还可以管理所有的安全更新和网络要求。
借助2个高端的RISC处理器(每个都相当于一个G4工作站)、2个网络处理器以及端口级别负责流量转发的44 Gbps交换ASIC,DefensePro安全交换架构提供了无与伦比的性能和计算能力,可以满足将来在应用安全方面的任何需求。
典型配置
企业配置
此处介绍了最为常见的DefensePro安装形式。这种在网络的网关位置进行的嵌入式安装允许DefensePro以数千兆位的速度执行实时而深入的数据包检查和双向扫描,从而保护所有企业流量免遭1200多种应用级别的攻击(包括蠕虫、病毒和DoS攻击)。
在网络的网关位置防范DoS攻击,不仅保护了公司资源和基础体系,而且还保护了公司的安全工具不会超负荷运行,从而即使是在DoS攻击之下也能保证它们的连续运行。通过实施带宽管理策略,可以即时隔离攻击、蠕虫和病毒,防止它们传播到各个楼层/网段,从而限制了它们的危害程度,并且确保了保持业务运行所需的可用性和性能。DefensePro的透明特性就好比是一种“智能化的绳索”,通过它,DefensePro可以实现同任何网络环境的无缝集成。
另外还有一种流行的配置。该配置利用了DefensePro的高端口密度和3千兆位的交换速度。在这样的配置中,DefensePro同时连接了多个网络段。每个网络段使用2个端口。借助该配置,用户通过一台设备就可以实现对所有网络段的双向扫描,因而改进了隔离效力,并且增强了对源自机构网络内外的攻击、蠕虫和病毒的防范能力。
优点:
实时的入侵防范功能可杜绝蠕虫、病毒和特洛伊木马的攻击
实时防范拒绝服务攻击和SYN攻击
保护所有局域网网段和流量的安全
可将攻击带来的危害隔离起来
可实现同任何网络环境的无缝集成
通讯商解决方案
随着越来越多的蠕虫、病毒和DoS攻击都是针对机构和通讯商的网络服务发起的,因此这些攻击对业务的连续运行能力造成了严重威胁。对借助国内和国际骨干网提供DNS和电子邮件服务以及为企业提供Internet连接的通讯商而言,这些安全性威胁已日益成为一种挑战。
本节介绍了通讯商所面临的一些最为紧迫的安全性难题,并且相应地给出了如何在杜绝安全性威胁的情况下提供正常服务的解决方案。
本节介绍的所有安全解决方案都基于DefensePro的以下功能:
·隔离蠕虫、病毒和DoS攻击
·为用户提供安全连接
·过滤骨干链路上的恶意代码
攻击隔离
公司机构网络遭受拒绝服务攻击后造成的巨大财务影响,迫使通讯商寻求相应的对策。这种对策需要确保针对该通讯商的某个用户发动的DoS攻击不会影响它向连接在同一存在点(POP)的其他用户提供的性能和服务。因此,为了履行用户服务水平协议(SLA)和保证所有POP用户的网络能够连续运行,无疑需要一种攻击隔离机制。
图6:区域性POP中的典型DefensePro部署
DefensePro的带宽管理功能允许通讯商根据每个用户的SLA来限制其发送或接收流量时可以使用的带宽,从而提前定义好有关策略。
通过控制蠕虫、病毒以及DoS攻击所可能占用的最大POP资源带宽,可以限制攻击的蔓延,确保它们不会广泛传播并且影响连接在同一POP的其它用户的服务水平和性能。
优点:
即时的攻击隔离:防止攻击蔓延到其它用户中
·通过实施带宽管理策略,限制蠕虫、病毒和DoS攻击所消耗的带宽,避免它们影响用户网络。
为关键任务应用提供更好的服务质量(QoS) – 通过防止DoS攻击占用大量带宽以及缩短关键任务应用的响应时间,促进企业的业务经营。
履行对用户的服务水平协议(SLA) – 通过履行服务水平协议 (SLA),通讯商可以维护用户的满意度和忠诚度,并且避免因为违反SLA条款而导致的收益损失。
如果用户希望彻底避免蠕虫、病毒和DoS攻击,通讯商可以为它们提供畅通的链路服务(如下所述)。
畅通的链路服务
当前的服务提供商提供了各种托管的安全服务。DefensePro可以进一步增强这些服务,从而让它们提供彻底的应用安全。作为这些服务的一部分,通讯商可以即时拦截病毒、恶意攻击、特洛伊木马和拒绝服务攻击,从而为用户网络提供对1200多种常见攻击特征的防范能力。
图7区域性POP中的典型DefensePro部署
如上述配置所示,DefensePro以透明方式连接在链路中。它可以扫描链路上的所有流量,并且自动检测和拦截1200多种恶意攻击和DoS/DDoS攻击。
这种配置为通讯商定义享受该服务的用户(基于他们的IP地址)以及针对各个用户采用的安全策略类型(为了保护他们的关键任务应用)提供了灵活性。
畅通链路服务对最终用户的帮助
用数千兆位的速度实现全面保护 – 防范DoS攻击和1200多种不同的攻击特征(包括尼姆达、红色代码和SQL slammer)。
保证关键任务应用的服务质量 – 通过带宽管理,不仅保证了关键任务应用可获得正常运行而所需的带宽,而且还可以限制非关键应用(比如KaAza、MP3和实时音频)所消耗的带宽。
迅速对新威胁作出反应 – 新攻击特征的自动更新,为及时防范新的蠕虫、病毒或其它类型的攻击创造了条件。
畅通链路服务对通讯商的帮助
扩展服务品种 – 通讯商可以通过现有的基础设施来扩展服务范围,从而不需要额外投资就可以实现更大的收益。
销售的是价值而不是成本 – 企业将愿意为所获得的安全和性能支付额外费用。
拓展新用户 – 通讯商可以面向新用户和现有用户提供这种独特服务。
高层次服务 – 通讯商可以作为高级解决方案提供商并且更为重要的是作为最佳服务水平的提供商展现自己的特色。
透明方式的安装 – 不需要更改网络元素的配置。
请注意:如果将DefensePro作为CPE(Customer Premises Equipment,用户入口设备)安装在用户站点中,也可以提供这种服务。
过滤骨干链路上的恶意代码
通过过滤掉含有病毒或恶意代码的Internet流量,通讯商可以大幅度减轻其国内、国际和对等连接上的负载。
图8:中央POP配置
在中央POP位置安装DefensePro后,将可以扫描所有流经国际链路的入站和出站流量。对常见病毒(如红色代码和尼姆达)的过滤有助于通讯商节省国际骨干网的容量。比如,仅此一项就为韩国的Hanaro Telecom节省了将近20% 的国际骨干网容量。
以下配置显示了用于清理国内骨干链路的备选解决方案。
图9:国内骨干链路清理配置
优点
降低经营成本 – 通过过滤掉恶意代码,可以大幅度降低流量规模,并且更充分地利用国际骨干链路,这无疑会大幅度地降低成本。
透明方式的安装 – 不需要更改现有的网络元素配置。
让通讯商的服务在网络中始终保持可用 – 通过以数千兆位的速度实时防范DoS攻击和1200多种恶意攻击特征,通讯商可以保证服务的始终可用性。
迅速对新威胁作出反应 – 新攻击特征的自动更新,为及时防范新的蠕虫、病毒或其它类型的攻击创造了条件。
保护DNS和电子邮件服务器
DNS服务器的失效可能对Internet服务造成严重影响(因为最终用户将无法访问Internet Web服务器),这可以从今年1月份美国主要的DNS服务器所遭受的DNS攻击得到证明。借助以下配置,通讯商可以防止自己的DNS和邮件服务器遭到蠕虫、病毒以及DoS攻击,并且杜绝其邮件或DNS服务器将蠕虫传播到用户网络和对等DNS系统的可能性。该配置中,DefensePro以透明方式连接在链路上。它可以扫描所有前往DNS和邮件服务器的流量,从而自动检测和防范蠕虫、病毒、已知的DNS攻击(比如SQL slammer)以及DoS攻击和DDoS攻击。
图10:国内骨干链路清理配置
优点:
用数千兆位的速度执行实时保护 – 可防范所有已知的DNS攻击(包括SQL slammer和DoS攻击)。
透明方式的安装 – 不需要更改网络元素配置。
迅速对新威胁作出反应 – 新攻击特征的自动更新,为及时防范新的蠕虫、病毒或其它类型的攻击创造了条件。
有关各种通讯商解决方案的完整信息,请参考“通讯商安全解决方案”白皮书。
独具优势
从防火墙、VPN网关、IDS到防病毒网关,安全市场集结了各式各样的安全工具。应用级层的攻击在当今的网络攻击中占了绝大多数,为了抑制这些攻击,Gartner2建议企业“在作出安全方面的决策时除了考虑简单的静态协议过滤外,还要考虑对应用内容进行深入的数据包检查”。
但从下表可以看到,DefensePro是业内唯一兼具了3Gbps的安全性能和应用安全智能的产品,它可以保护从网络层直到应用层的所有网络化应用。
DefensePro独具的多层安全架构组合了数种攻击检测机制(针对1,200多种攻击特征和协议异常),它们联同高级的防范工具(如DoS Shield、SYN cookie和应用安全模块)一起,提供了对恶意攻击和DoS攻击的完全防范能力。DefensePro的底层支持技术是4层安全交换架构,其交换ASIC使用了44 GB的线速背板、2个网络处理器、RISC处理器和专用的基于ASIC的硬件加速卡(StringMatch Engine),可将检查速度提高1000倍。这使得DefensePro成为高速/高性能环境中的应用安全性能的基准。
2 Gartner企业防火墙幻方图
其它的独特优点还包括:
高端口密度 – 允许通过单个设备保护多个网络段,从而实现即时的投资回报。
简单的嵌入式安装 – 借助DefensePro的透明本性,可将它无缝地集成到任何网络环境中,从而不必对网络元素的设置进行任何更改即可实现实时保护。
完全的设备安全性 – 其透明性还意味着优异的安全性,因为用户无法了解网络中是否有该设备。
攻击隔离 – 通过集成的流量控制功能,可以预先定义策略,从而防止蠕虫、病毒和DoS攻击传播到其他用户和网络段中。
保证关键任务应用的服务质量 – 流量控制策略还可以保证关键任务应用获得较高的服务质量,同时限制非业务应用(如P2P应用)所占用的带宽。
总结
一种能用数千兆位的速度对所有网络流量进行双向扫描并且可以实时防范应用级别攻击(比如蠕虫、病毒、木马和Dos攻击)的内置安全解决方案,无疑已成为当务之急。Radware看到了这种需求。
作为首个可针对实时隔离、拦截和防范各种攻击提供数千兆位的数据包深入检查速度和特征比较速度的安全交换机,DefensePro满足了这种需求