Radware CID 针对 Trend Micro WSA 负载均衡和优化解决方案
Radware 北京
售前咨询 梁世鹏
CID 安全优化解决方案
Content Inspection Director
CID 提供了容错、高吞吐 & 可扩展的防病毒扫描、 URL 过滤 & 反垃圾邮件服务,并且将企业和组织的内容安全策略进行优化和整合。
安全网关产品的传统的部署模式 1
URL FilteringAnti-virus E-Mail Filter
扩展性差不能通过增加设备来增加吞吐量
性能瓶颈
防病毒网关的性能问题
单点故障
透明模式
安全网关产品的传统的部署模式 2
URL FilteringAnti-virus E-Mail Filter
代理模式 •用户必须设置代理•如果有多个代理怎么办???
CID 基于交换的安全架构解决方案
Firewall
Anti-Spam URL Filter Anti-Virus
Anti-Spam
Firewall
IDS
IDS
URL Filter Anti-Virus
cache
cache
LAN
提升整体安全系统的可用性
Anti-Virus Farms
Anti-Spam Farms
CID
URL Filtering Farms
1 ,负载均衡级别可用性:通过对安全设备例行的健康检查,实时发现故障设备,实时屏蔽,对用户透明
2 ,系统级可用性:同一类型的所有设备全部故障,自动旁路
3 , CID自身可用性:通过 VRRP 实现两台 CID 设备冗余,设备切换速度快,会话不中断
可信、不可信数据的预区分
Anti-Virus Farms
Anti-Spam Farms
CID
URL Filtering Farms
直通
文件类型: image rm
avi mp3
500% 检测提速
CID – 可信数据
内部网防火墙可信数据
可信数据
判定点 判定点
防病毒网关
CID
CID – 不可信数据
防火墙不可信数据
判定点
HTTP HTTP/FTP
FTP 邮件
防病毒网关
CID
URL 过滤 AV 邮件过滤
灵活的用户的策略管理-实例
学生
教师
灵活的用户的策略管理-实例
学生
教师
URL 过滤 AV 邮件过滤
Flow 管理
Anti-Virus Farms
Anti-Spam Farms
CID
URL Filtering Farms
Policy A User 1
User 2 Policy B
透明布署任何内容过滤工具
- 一站式体系的厂家无关性
- 完全定制的内容检查服务
- 无缝扩展新的安全设备而不用担心设备之间的兼容性
无缝的第三方安全设备集成
Radware Content Security Partners
CID 的增值功能
带宽管理
Traffic Classifier
Priority1
Priority 3
Priority 2
Priority 4
Priority 5
Citrix
CRM/ERP
Kaaza
Prioritization of all traffic & bandwidth control ensures performance & QoS for mission critical applications
安全防护
入侵防护• 病毒• 蠕虫• 特洛伊木马• 反扫描和协议异常
防 DOS/DDOS/SYN 攻击• Delay binding
• Syn cookie
• 攻击特征匹配
CID 与 IWSA 配合的 配置步骤
测试例网络拓扑
CID 配置步骤
1. 创建一个 regular IP VLAN ,加入多个端口。2. 为上述 VLAN 配置一个 IP
3. 配置缺省网关和回执路由4. 配置 IWSA Farm
5. 配置 IWSA Farm 所包含的 server ( IWSA )6. 配置 缺省网关 FW Farm
7. 配置 FW Farm 所包含的 server (防火墙)8. 配置内网网络对象,和 QQ server 网络对象9. 配置 policy 1 , port = 80 命中 IWSA Farm
10.配置 policy 2 , 目的 IP = QQ server 组 命中 FW Farm
其他设备相关配置
1 , IWSA 网关指向 CID
2 ,所有内网用户网关指向防火墙
OICQ 问题以及解决办法故障现象:
部分 OICQ 客户无法登陆 故障原因:
QQ 用户登录时首先使用UDP8000 访问服务器登录,如果失败,继续使用 HTTP80 进行访问,由于内容完全加密,服务器回应的数据包会被 IWSA阻断,导致登录失败。
解决方案统计所有 QQ server 地址,制定 policy ,命中 QQ server 地址的都旁路 IWSA
某些网站无法登录的问题及解决办法
故障现象:点击登录后报告登录成功,但却返回了网站首页,仍然显示非登录状态
故障原因:CID 基于最少会话数来分发会话到不同的 IWSA ,由于登录会话和登录后会话分配到不同的 IWSA ,导致业务失败
解决方案修改 CID 的负载均衡算法为基于目的 IP 的 HASH算法,保证访问同一个站点的所有会话都导向同一个 IWSA 。
CID 与内容安全设备配合的两种网络拓扑
内容过滤设备工作在代理方式内容过滤设备 1 内容过滤设备 2
内容过滤设备工作在“透明”方式内容过滤设备 1 内容过滤设备 2
CID 案例分析
××银行测试案例
××运营商 Cache 负载均衡
Web Server1
Mailserver1
Mailserver2
Nokia
Cluster
Active WSD
Backup-WSD
DMZWeb
Server2
Bluecoat 1
Intranet
Internet
Bluecoat 2 Cisco 6509-1
Cisco 6509-2
Clients
Access HTTP
With Proxy
问题:•2 bluecoat 部署在 DMZ 区•客户端必须手动设置 proxy
Web Server1
Mailserver1
Mailserver2
Nokia FW
Cluster
Active WSD
Backup-WSD
DMZ
Web
Server2
Bluecoat 1
Intranet
Internet
Bluecoat 2
Cisco 6509-1 Cisco 6509-2
Clients
Gw : NOKIA FW
Radware CID-1 Radware CID-2
××运营商 Cache 负载均衡
×× 邮件系统
•CID 通过单臂方式连接6509.
•CID 提取所有的 SMTP流量到 Spam server farm.
•WSD 完成邮件服务器的负载均衡
××钢铁制造企业
DSLDSL 宽带接入Radius Client (BRAS)
Proxy (ISP)/ Radius
Radius Client (BRAS)
Radware CID Radware CID
加速防病毒
防火墙
IPS
加速
防病毒
IPS
防火墙
增值服务平台 增值服务平台
运营商增值服务解决方案
方案的关键点:
Radware CID 产品串联在 ADSL或者专线用户的 internet链路上,
通过识别 ADSL或者专线用户 IP ,然后 CID把对应 IP 的所有数据包按照既定的 FLOW策略,导向到不同的安全或者加速设备上处理,处理完毕,再交由 CID 发往 internet
Top Related