Radware CID 针对 Trend Micro WSA 负载均衡和优化解决方案
description
Transcript of Radware CID 针对 Trend Micro WSA 负载均衡和优化解决方案
Radware CID 针对 Trend Micro WSA 负载均衡和优化解决方案
Radware 北京
售前咨询 梁世鹏
CID 安全优化解决方案
Content Inspection Director
CID 提供了容错、高吞吐 & 可扩展的防病毒扫描、 URL 过滤 & 反垃圾邮件服务,并且将企业和组织的内容安全策略进行优化和整合。
安全网关产品的传统的部署模式 1
URL FilteringAnti-virus E-Mail Filter
扩展性差不能通过增加设备来增加吞吐量
性能瓶颈
防病毒网关的性能问题
单点故障
透明模式
安全网关产品的传统的部署模式 2
URL FilteringAnti-virus E-Mail Filter
代理模式 •用户必须设置代理•如果有多个代理怎么办???
CID 基于交换的安全架构解决方案
Firewall
Anti-Spam URL Filter Anti-Virus
Anti-Spam
Firewall
IDS
IDS
URL Filter Anti-Virus
cache
cache
LAN
提升整体安全系统的可用性
Anti-Virus Farms
Anti-Spam Farms
CID
URL Filtering Farms
1 ,负载均衡级别可用性:通过对安全设备例行的健康检查,实时发现故障设备,实时屏蔽,对用户透明
2 ,系统级可用性:同一类型的所有设备全部故障,自动旁路
3 , CID自身可用性:通过 VRRP 实现两台 CID 设备冗余,设备切换速度快,会话不中断
可信、不可信数据的预区分
Anti-Virus Farms
Anti-Spam Farms
CID
URL Filtering Farms
直通
文件类型: image rm
avi mp3
500% 检测提速
CID – 可信数据
内部网防火墙可信数据
可信数据
判定点 判定点
防病毒网关
CID
CID – 不可信数据
防火墙不可信数据
判定点
HTTP HTTP/FTP
FTP 邮件
防病毒网关
CID
URL 过滤 AV 邮件过滤
灵活的用户的策略管理-实例
学生
教师
灵活的用户的策略管理-实例
学生
教师
URL 过滤 AV 邮件过滤
Flow 管理
Anti-Virus Farms
Anti-Spam Farms
CID
URL Filtering Farms
Policy A User 1
User 2 Policy B
透明布署任何内容过滤工具
- 一站式体系的厂家无关性
- 完全定制的内容检查服务
- 无缝扩展新的安全设备而不用担心设备之间的兼容性
无缝的第三方安全设备集成
Radware Content Security Partners
CID 的增值功能
带宽管理
Traffic Classifier
Priority1
Priority 3
Priority 2
Priority 4
Priority 5
Citrix
CRM/ERP
Kaaza
Prioritization of all traffic & bandwidth control ensures performance & QoS for mission critical applications
安全防护
入侵防护• 病毒• 蠕虫• 特洛伊木马• 反扫描和协议异常
防 DOS/DDOS/SYN 攻击• Delay binding
• Syn cookie
• 攻击特征匹配
CID 与 IWSA 配合的 配置步骤
测试例网络拓扑
CID 配置步骤
1. 创建一个 regular IP VLAN ,加入多个端口。2. 为上述 VLAN 配置一个 IP
3. 配置缺省网关和回执路由4. 配置 IWSA Farm
5. 配置 IWSA Farm 所包含的 server ( IWSA )6. 配置 缺省网关 FW Farm
7. 配置 FW Farm 所包含的 server (防火墙)8. 配置内网网络对象,和 QQ server 网络对象9. 配置 policy 1 , port = 80 命中 IWSA Farm
10.配置 policy 2 , 目的 IP = QQ server 组 命中 FW Farm
其他设备相关配置
1 , IWSA 网关指向 CID
2 ,所有内网用户网关指向防火墙
OICQ 问题以及解决办法故障现象:
部分 OICQ 客户无法登陆 故障原因:
QQ 用户登录时首先使用UDP8000 访问服务器登录,如果失败,继续使用 HTTP80 进行访问,由于内容完全加密,服务器回应的数据包会被 IWSA阻断,导致登录失败。
解决方案统计所有 QQ server 地址,制定 policy ,命中 QQ server 地址的都旁路 IWSA
某些网站无法登录的问题及解决办法
故障现象:点击登录后报告登录成功,但却返回了网站首页,仍然显示非登录状态
故障原因:CID 基于最少会话数来分发会话到不同的 IWSA ,由于登录会话和登录后会话分配到不同的 IWSA ,导致业务失败
解决方案修改 CID 的负载均衡算法为基于目的 IP 的 HASH算法,保证访问同一个站点的所有会话都导向同一个 IWSA 。
CID 与内容安全设备配合的两种网络拓扑
内容过滤设备工作在代理方式内容过滤设备 1 内容过滤设备 2
内容过滤设备工作在“透明”方式内容过滤设备 1 内容过滤设备 2
CID 案例分析
××银行测试案例
××运营商 Cache 负载均衡
Web Server1
Mailserver1
Mailserver2
Nokia
Cluster
Active WSD
Backup-WSD
DMZWeb
Server2
Bluecoat 1
Intranet
Internet
Bluecoat 2 Cisco 6509-1
Cisco 6509-2
Clients
Access HTTP
With Proxy
问题:•2 bluecoat 部署在 DMZ 区•客户端必须手动设置 proxy
Web Server1
Mailserver1
Mailserver2
Nokia FW
Cluster
Active WSD
Backup-WSD
DMZ
Web
Server2
Bluecoat 1
Intranet
Internet
Bluecoat 2
Cisco 6509-1 Cisco 6509-2
Clients
Gw : NOKIA FW
Radware CID-1 Radware CID-2
××运营商 Cache 负载均衡
×× 邮件系统
•CID 通过单臂方式连接6509.
•CID 提取所有的 SMTP流量到 Spam server farm.
•WSD 完成邮件服务器的负载均衡
××钢铁制造企业
DSLDSL 宽带接入Radius Client (BRAS)
Proxy (ISP)/ Radius
Radius Client (BRAS)
Radware CID Radware CID
加速防病毒
防火墙
IPS
加速
防病毒
IPS
防火墙
增值服务平台 增值服务平台
运营商增值服务解决方案
方案的关键点:
Radware CID 产品串联在 ADSL或者专线用户的 internet链路上,
通过识别 ADSL或者专线用户 IP ,然后 CID把对应 IP 的所有数据包按照既定的 FLOW策略,导向到不同的安全或者加速设备上处理,处理完毕,再交由 CID 发往 internet