Radware CID 针对 Trend Micro WSA 负载均衡和优化解决方案

Radware 北京

售前咨询 梁世鹏

CID 安全优化解决方案

Content Inspection Director

CID 提供了容错、高吞吐 & 可扩展的防病毒扫描、 URL 过滤 & 反垃圾邮件服务，并且将企业和组织的内容安全策略进行优化和整合。

安全网关产品的传统的部署模式 1

URL FilteringAnti-virus E-Mail Filter

扩展性差不能通过增加设备来增加吞吐量

性能瓶颈

防病毒网关的性能问题

单点故障

透明模式

安全网关产品的传统的部署模式 2

URL FilteringAnti-virus E-Mail Filter

代理模式 •用户必须设置代理•如果有多个代理怎么办？？？

CID 基于交换的安全架构解决方案

Firewall

Anti-Spam URL Filter Anti-Virus

Anti-Spam

Firewall

IDS

IDS

URL Filter Anti-Virus

cache

cache

LAN

提升整体安全系统的可用性

Anti-Virus Farms

Anti-Spam Farms

CID

URL Filtering Farms

1 ，负载均衡级别可用性：通过对安全设备例行的健康检查，实时发现故障设备，实时屏蔽，对用户透明

2 ，系统级可用性：同一类型的所有设备全部故障，自动旁路

3 ， CID自身可用性：通过 VRRP 实现两台 CID 设备冗余，设备切换速度快，会话不中断

可信、不可信数据的预区分

Anti-Virus Farms

Anti-Spam Farms

CID

URL Filtering Farms

直通

文件类型: image rm

avi mp3

500% 检测提速

CID – 可信数据

内部网防火墙可信数据

可信数据

判定点 判定点

防病毒网关

CID

CID – 不可信数据

防火墙不可信数据

判定点

HTTP HTTP/FTP

FTP 邮件

防病毒网关

CID

URL 过滤 AV 邮件过滤

灵活的用户的策略管理－实例

学生

教师

灵活的用户的策略管理－实例

学生

教师

URL 过滤 AV 邮件过滤

Flow 管理

Anti-Virus Farms

Anti-Spam Farms

CID

URL Filtering Farms

Policy A User 1

User 2 Policy B

透明布署任何内容过滤工具

- 一站式体系的厂家无关性

- 完全定制的内容检查服务

- 无缝扩展新的安全设备而不用担心设备之间的兼容性

无缝的第三方安全设备集成

Radware Content Security Partners

CID 的增值功能

带宽管理

Traffic Classifier

Priority1

Priority 3

Priority 2

Priority 4

Priority 5

Citrix

CRM/ERP

Kaaza

Prioritization of all traffic & bandwidth control ensures performance & QoS for mission critical applications

eMail

安全防护

入侵防护• 病毒• 蠕虫• 特洛伊木马• 反扫描和协议异常

防 DOS/DDOS/SYN 攻击• Delay binding

• Syn cookie

• 攻击特征匹配

CID 与 IWSA 配合的 配置步骤

测试例网络拓扑

CID 配置步骤

1. 创建一个 regular IP VLAN ，加入多个端口。2. 为上述 VLAN 配置一个 IP

3. 配置缺省网关和回执路由4. 配置 IWSA Farm

5. 配置 IWSA Farm 所包含的 server （ IWSA ）6. 配置 缺省网关 FW Farm

7. 配置 FW Farm 所包含的 server （防火墙）8. 配置内网网络对象，和 QQ server 网络对象9. 配置 policy 1 ， port ＝ 80 命中 IWSA Farm

10.配置 policy 2 ， 目的 IP ＝ QQ server 组 命中 FW Farm

其他设备相关配置

1 ， IWSA 网关指向 CID

2 ，所有内网用户网关指向防火墙

OICQ 问题以及解决办法故障现象：

部分 OICQ 客户无法登陆 故障原因：

QQ 用户登录时首先使用UDP8000 访问服务器登录，如果失败，继续使用 HTTP80 进行访问，由于内容完全加密，服务器回应的数据包会被 IWSA阻断，导致登录失败。

解决方案统计所有 QQ server 地址，制定 policy ，命中 QQ server 地址的都旁路 IWSA

某些网站无法登录的问题及解决办法

故障现象：点击登录后报告登录成功，但却返回了网站首页，仍然显示非登录状态

故障原因：CID 基于最少会话数来分发会话到不同的 IWSA ，由于登录会话和登录后会话分配到不同的 IWSA ，导致业务失败

解决方案修改 CID 的负载均衡算法为基于目的 IP 的 HASH算法，保证访问同一个站点的所有会话都导向同一个 IWSA 。

CID 与内容安全设备配合的两种网络拓扑

内容过滤设备工作在代理方式内容过滤设备 1 内容过滤设备 2

内容过滤设备工作在“透明”方式内容过滤设备 1 内容过滤设备 2

CID 案例分析

××银行测试案例

××运营商 Cache 负载均衡

Web Server1

Mailserver1

Mailserver2

Nokia

Cluster

Active WSD

Backup-WSD

DMZWeb

Server2

Bluecoat 1

Intranet

Internet

Bluecoat 2 Cisco 6509-1

Cisco 6509-2

Clients

Access HTTP

With Proxy

问题：•2 bluecoat 部署在 DMZ 区•客户端必须手动设置 proxy

Web Server1

Mailserver1

Mailserver2

Nokia FW

Cluster

Active WSD

Backup-WSD

DMZ

Web

Server2

Bluecoat 1

Intranet

Internet

Bluecoat 2

Cisco 6509-1 Cisco 6509-2

Clients

Gw ： NOKIA FW

Radware CID-1 Radware CID-2

××运营商 Cache 负载均衡

×× 邮件系统

•CID 通过单臂方式连接6509.

•CID 提取所有的 SMTP流量到 Spam server farm.

•WSD 完成邮件服务器的负载均衡

××钢铁制造企业

DSLDSL 宽带接入Radius Client (BRAS)

Proxy (ISP)/ Radius

Radius Client (BRAS)

Radware CID Radware CID

加速防病毒

防火墙

IPS

加速

防病毒

IPS

防火墙

增值服务平台 增值服务平台

运营商增值服务解决方案

方案的关键点：

Radware CID 产品串联在 ADSL或者专线用户的 internet链路上，

通过识别 ADSL或者专线用户 IP ，然后 CID把对应 IP 的所有数据包按照既定的 FLOW策略，导向到不同的安全或者加速设备上处理，处理完毕，再交由 CID 发往 internet