Radware解決方案

    在網絡的骨干鏈路上，串接Radware電信級ASIC硬件內容安全交換機CID，相關的內容安全設備連接在CID上，CID提供最高3G的業務資料的處理能力以及44G的二層數據轉發能力。 CID按照預先設定的策略，將相關檢測流量轉發到相關的內容安全設備上進行內容檢查，然后根據流程控制策略轉發到下一站實現流量的靈活治理和轉發。CID可以通過對各個安全系統的健康檢查檢測各系統服務器的工作狀況，保證將用戶流量轉發到最優的設備上去，同時避免了內容安全設備發生故障引起的網絡中斷，即使所有的網絡安全設備宕機，CID可以將所有業務流量BYPASS過去，保證網絡暢通。

    CID根據策略只將需要處理的流量轉發到特定的內容安全設備檢查，其它流量直接default處理，并配合例如設定信任流量等技術，大大降低了內容安全設備處理容量的負載，大大提升了系統的性能。

    CID對于內容安全系統提供了縱向和橫向的靈活擴展功能，所謂縱向是指單個內容安全系統，例如AV系統中單臺服務器無法滿足客戶大流量的病毒防范的要求，只需要在AVfarm中添加相關AVserver即可，對于用戶是透明的。所謂橫向是指，當客戶需要從一個內容安全系統（例如一個AV系統）擴展到兩個系統（AV+URL過濾）時，CID可以流量的定義流程控制，實現多個系統的流量治理。

    CID本身可以通過可選的Synapps模塊，提供對于1500多種常見蠕蟲，后門，惡意代碼等應用攻擊的防范以及動態帶寬治理和DOS,SYN攻擊的防御。大大保護了客戶網絡和內容安全系統的安全性。

    方案特點

    針對客戶內容安全系統，通過CID提供以下幾個方面的優化服務：

    l 靈活豐富的健康檢查以及CID的bypass功能大大提升了系統可用性

    l 對內容安全設備的豐富的負載均衡算法加快了內容檢查或防病毒設備的運行速度，同時對于可信流量的處理提高了整個內容安全系統的性能

    l CID提供了內容安全系統單系統和多系統縱向橫向的靈活擴展性

    l 應用安全和Dos Shield保證用戶和內容安全設備的完全安全

    非凡需要強調的是，ContentInspectionDirector與所有類型的內容檢查和防病毒設備完全兼容，例如McAfee、Trend Micro、Aladdin 等。

    1. 高可用性

    在網絡的信道上配置了防病毒網關，因此假如防病毒網關發生故障將導致Internet連接中斷，造成巨大的停機損失。ContentInspectionDirector的先進的健康檢查系統能夠保證將內容定向到最合適的資源，從而確保所有內容檢查設備的高可用性，預防Internet 連通性損失和減少停機時間。

    將幾個內容檢查設備集中為一個服務器群，并在它們之間進行負載均衡。因此與單個設備相比可以處理更多的容量，例如配置5個防病毒網關可以將內容檢查容量至少提高5倍。并提供完全透明的擴展能力，保護內容安全系統的原有投資。

    2. 高性能

    配置具有預先篩選算法的CID可以將內容檢查速度提高500%。預先篩選算法能夠區分可信和可疑內容，在內容檢查設備（如防病毒網關）轉發可疑內容進行檢查的同時，可信內容可以繞過檢查設備。因為80%的Internet 內容都為可信內容，所以從防病毒設備卸載可信內容，將使檢查速度提高5 倍。而在郵件系統應用中，防病都網關只需檢測SMTP，POP3等流量，單獨的防病毒網關的工作效率大幅度提高，可以有效的節約此類設備的開銷和用量。

    3. 靈活的高擴展性

    創建內容檢查設備群組，使用戶在容量增加時能夠很輕易地添加內容檢查設備，可以透明添加內容檢查設備，無需中斷服務或者停機。

    CID提供獨一無二的多個內容安全系統之間的靈活流程控制，提供了方便快捷的用戶流程治理和控制。

    多個內容安全系統的流程控制

    4. 完全的應用安全和Dos Shield

    CID上可以部署Radware特有的應用安全模塊，防范1500多種惡意攻擊和惡性病毒。DosShield能夠在高吞度量的網絡中抵御Dos和DDos攻擊。保護后臺客戶和內容安全設備的系統安全，實時攔截大量攻擊流量，降低內容安全設備處理的數據量。

    5. 網絡部署

    CID設備針對要害業務或要害用戶特定流量進行轉發或處理。通常CID是部署在網絡的要害業務服務器之前保護特定業務，例如MAIL服務器前部署CID配合反垃圾郵件和AV網關進行郵件的檢查。此時，CID是部署在核心交換機和要害業務匯聚交換機之間。另外一種針對重要用戶進行特定流量的轉發配合AV,CACHE,URL過濾等設備進行安全防護或流量緩存。測試CID是部署在核心交換機跟防護墻直接，或核心交換機和接入路由器直接。

    工作模式

    CID有兩種工作模式智能橋模式和路由模式。

    1. 智能橋模式

    CID上下聯埠處于同一個Regular/ipVLAN中，CID只需要跟上下聯設備處于同一個網段，不改變現有網絡的路由設置，連接在CID上的AV,CACHE等設備也處于同一網段中，并且默認路由都指向接入路由器。（如圖所示）所有流過CID的資料包都可以進行相應的策略匹配根據預設的策略進行轉發和處理。

    2. 路由模式

    CID還可以工作在路由模式，即上下聯網段處于不同的子網，此時需要改變現有網絡的路由配置，在網絡里增加一跳。同時AV等網關處于另外的子網，并且默認網關都指向CID，CID上設定靜態路由進行路由轉發。同樣，所有流量都通過CID的策略進行轉發和處理。

    RadwareCID解決方案的優勢

    1．高可用性

    高可用性的內容檢查功能

    高可用性的內容檢查功能提供了容錯防病毒掃描和對惡意內容的不間斷防范。

    CID可監視防病毒網關和URL設備的健康狀況，檢測實時故障并將流量復位向到性能最佳的資源，從而確保了內容安全性服務的完全可用性和不停機操作。

    2．高性能

    n 千兆位元速度的防病毒服務

    千兆位元速度的防病毒服務提供了最佳性能的內容過濾。CID借助21個埠級別的交換ASIC實現了線速轉發，同時借助最高容量44GB 的ASIC 背板矩陣(ASIII平臺)實現了無阻塞應用交換和最先進的RISC處理，功能強大的兩片NP處理器，提供了高流量和更高性能的防病毒和URL 過濾功能。

    n 內容預選功能

    內容預選功能提高了內容的吞吐速度，從而避免了在性能和安全性之間作出兩難選擇。

    CID通過預選所有的網絡流量以區分出信任的檔和有疑問的文件，將可信任的文件繞過防病毒網關和URL設備的流量，從而提高了內容檢查的吞吐速度（幅度可達500%），避免了瓶頸問題并加快了內容傳遞速度，最終保證了最佳的用戶體驗

    3．高擴展性

    n 高度可擴展的防病毒服務

    高度可擴展的防病毒服務答應無限制地而且經濟地擴充內容檢查能力。

    防病毒服務器之間的負載平衡優化了內容檢查服務，并使得用戶可以按照自己的需要進行性能擴充，從而充分利用現有的基礎設施，并削減部署新的防病毒服務器的成本（幅度可達40%）。

    n 組合式的防病毒服務支持

    組合式的防病毒服務支持提供了可無縫部署和透明集成的最佳增殖網絡過濾功能。

    CID可優化任何防病毒過濾工具或URL過濾工具的性能，從而提供了靈活和可自定義的安全架構，用戶可以完全自由地選擇供貨商，同時不花費任何集成費用。

    4．完全的安全性

    n 1．基于策略的流量治理

    基于策略的流量治理提供了量身定做的內容安全性。

    基于策略的治理答應用戶定義最適于處理每種流量、用戶和內容的特定安全工具，由此可使安全工具獲得最大化的性能和更高的效率。

    n 千兆位元速度的入侵檢測和DoS 防范

    千兆位元速度的入侵檢測和DoS防范可不間斷地保護應用程序和網絡資源的完整性。

    實時的應用安全性檢測和對BOFserviceoverflows、特洛伊木馬、尼姆達、紅色代碼、Goner 以及1500 多種攻擊特征的防范可有效阻止網絡入侵。此外，DoS 防護功能還可通過阻止使服務性能衰竭的拒絕服務攻擊來保護整個網絡資源的安全。

    n 全方位監視防病毒服務

    ConfigwareInsite提供了對防病毒性能的統一治理、查看和控制，可以按用戶、應用程序和文件類型分類來查看實時的或過去的內容過濾操作。