Transcript 阅读全文
Radware CID 针对 Trend Micro WSA 负载均衡和优化解决方案 Radware 北京 售前咨询 梁世鹏 CID 安全优化解决方案 Content Inspection Director CID 提供了容错、高吞吐 & 可扩展的防病毒扫描、URL 过 滤 & 反垃圾邮件服务,并且将企业和组织的内容安全策略 进行优化和整合。 安全网关产品的传统的部署模式1 透明模式 性能瓶颈 Anti-virus 防病毒网关 的性能问题 E-Mail Filter 扩展性差 不能通过增加设备 来增加吞吐量 URL Filtering 单点故障 安全网关产品的传统的部署模式2 代理模式 •用户必须设置代理 •如果有多个代理怎么办??? Anti-virus E-Mail Filter URL Filtering CID基于交换的安全架构解决方案 cache Anti-Spam URL Filter Firewall Anti-Virus IDS LAN IDS cache Anti-Spam URL Filter Anti-Virus Firewall 提升整体安全系统的可用性 Anti-Virus Farms CID Anti-Spam Farms URL Filtering Farms 1,负载均衡级别可用性:通过对安全设备例行的健康检查,实时发现故障设 备,实时屏蔽,对用户透明 2,系统级可用性:同一类型的所有设备全部故障,自动旁路 3,CID自身可用性:通过VRRP实现两台CID设备冗余,设备切换速度快,会 话不中断 可信、不可信数据的预区分 500% 检测提速 直通 文件类型: image rm avi mp3 Anti-Spam Farms Anti-Virus Farms CID URL Filtering Farms CID – 可信数据 防病毒网关 可信数据 可信数据 防火墙 CID 判定点 内部网 CID – 不可信数据 防病毒网关 HTTP HTTP/ FTP FTP 邮件 不可信数据 防火墙 CID 判定点 灵活的用户的策略管理-实例 URL过滤 AV 邮件过滤 教师 学生 灵活的用户的策略管理-实例 URL过滤 AV 邮件过滤 教师 学生 Flow 管理 Policy A Anti-Virus Farms User 1 CID Policy B Anti-Spam Farms User 2 URL Filtering Farms 无缝的第三方安全设备集成 透明布署任何内容过滤工具 - 一站式体系的厂家无关性 - 完全定制的内容检查服务 - 无缝扩展新的安全设备而不用担心设备之间的兼容性 Radware Content Security Partners CID 的增值功能 带宽管理 Prioritization of all traffic & bandwidth control ensures performance & QoS for mission critical applications Citrix Priority1 CRM/ERP Priority 2 eMail Priority 3 Priority 4 Traffic Classifier Kaaza Priority 5 安全防护 入侵防护 • 病毒 • 蠕虫 • 特洛伊木马 • 反扫描和协议异常 防DOS/DDOS/SYN攻击 • Delay binding • Syn cookie • 攻击特征匹配 CID 与IWSA配合的 配置步骤 测试例网络拓扑 CID配置步骤 1. 创建一个regular IP VLAN,加入多个端口。 2. 为上述VLAN配置一个IP 3. 配置缺省网关和回执路由 4. 配置IWSA Farm 5. 配置IWSA Farm 所包含的server (IWSA) 6. 配置 缺省网关 FW Farm 7. 配置FW Farm 所包含的server (防火墙) 8. 配置内网网络对象,和QQ server网络对象 9. 配置policy 1, port=80 命中 IWSA Farm 10. 配置policy 2, 目的IP=QQ server组 命中 FW Farm 其他设备相关配置 1,IWSA 网关指向 CID 2,所有内网用户网关指向防火墙 OICQ问题以及解决办法 故障现象: 部分OICQ客户无法登陆 故障原因: QQ用户登录时首先使用 UDP8000访问服务器登录,如 果失败,继续使用HTTP80 进 行访问,由于内容完全加密, 服务器回应的数据包会被IWSA 阻断,导致登录失败。 解决方案 统计所有QQ server地址,制定 policy,命中QQ server地址的 都旁路IWSA 某些网站无法登录的问题及解决办法 故障现象: 点击登录后报告登录成功,但 却返回了网站首页,仍然显示 非登录状态 故障原因: CID基于最少会话数来分发会 话到不同的IWSA,由于登录 会话和登录后会话分配到不同 的IWSA,导致业务失败 解决方案 修改CID的负载均衡算法为基 于目的IP的HASH算法,保证 访问同一个站点的所有会话都 导向同一个IWSA。 CID 与内容安全设备 配合的两种网络拓扑 内容过滤设备工作在代理方式 内容过滤设备1 内容过滤设备2 内容过滤设备工作在“透明”方式 内容过滤设备1 内容过滤设备2 CID 案例分析 ××银行测试案例 ××运营商Cache负载均衡 Mailserver1 Internet 问题: Active WSD •2 bluecoat 部署在 DMZ区 Web Server1 Bluecoat 1 Nokia Cluster •客户端必须手动 Cisco 6509-1 设置proxy Backup-WSD Cisco 6509-2 Mailserver2 DMZ Clients Intranet Access HTTP With Proxy Bluecoat 2 Web Server2 ××运营商Cache负载均衡 Mailserver1 Internet Web Server1 Active WSD Nokia FW Cluster Bluecoat 1 Bluecoat 2 Backup-WSD Web Mailserver2 Cisco 6509-2 Cisco 6509-1 Radware CID-1 DMZ Radware CID-2 Intranet Clients Gw:NOKIA FW Server2 ×× 邮件系统 •CID通过单臂方式连接6509. •CID提取所有的SMTP流量 到Spam server farm. •WSD完成邮件服务器的负载 均衡 ××钢铁制造企业 运营商增值服务解决方案 Proxy (ISP)/ Radius 方案的关键点: Radware CID产品串联在ADSL或者专线用户 的internet链路上, 通过识别ADSL或者专线用户IP,然后CID把 对应IP的所有数据包按照既定的FLOW策略 ,导向到不同的安全或者加速设备上处理, 处理完毕,再交由CID发往internet 增值服务平台 增值服务平台 加速 防病毒 加速 防病毒 IPS IPS 防火墙 Radware CID Radius Client (BRAS) DSL 宽带接入 Radware CID Radius Client (BRAS) DSL 防火墙