深圳电信DNS服务器负载均衡及安全方案建议书.doc

《深圳电信DNS服务器负载均衡及安全方案建议书.doc》由会员分享，可在线阅读，更多相关《深圳电信DNS服务器负载均衡及安全方案建议书.doc（57页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、1DefensePro 安全解决方案安全解决方案Radware 广州代表处广州代表处2004.52目目 录录1.Radware 公司介绍公司介绍.3 2.需求分析需求分析.6 2.1网络安全面临的问题.6 3.DefensePro 安全解决方案建议安全解决方案建议.7 3.1系统总体结构图.7 3.2Radware DefensePro 介绍.8 3.3网络应用安全解决方案.18 3.3.1攻击的形式.18 3.3.2Radware SynApps 的安全解决方案.19 4.产品说明产品说明.29 4.1SynApps.29 4.2Radware DefensPro 硬件平台.33 4.2.1

2、Application Switch II 交换机.33 4.2.2Application Switch III 交换机.36 4.3Radware 设备管理.44 4.3.1SNMP 网络管理系统.44 4.3.2Configware Insite.45 设备管理.45 站点配置和管理.45 模板和向导.47 跨多台设备的智能化管理.47 统计信息的查看和性能监视.48 报警.51 总结.51 4.3.3标准的网络浏览器.51 4.3.4利用 Telnet 或 CLI 方式：.52 4.3.5SSH 管理手段 .5231. Radware 公司介绍公司介绍RadwareRadware 公司公

3、司是 RAD 集团的成员之一，RAD 集团目前拥有 14 个各自独立的公司，在网络及通讯产业领域提供不同的技术，服务不同的市场。1999 年在 NASDAQ 上市(RDWR)，用户遍及 40 多个国家,在全球有 130 家经销商.Radware 逐步成为负载均衡设备市场上毫无疑问的领导者。 随着 Internet 及 Intranet 市场快速持续增长，有关网络流量及 IP 服务品质的相关问题日趋严重。Radware 公司作为全球领先的网络智能应用交换解决方案提供商，其任务就是通过最优化的资源的使用率，在 Internet、Intranet 或 Extranet 应用中提供既经济、功能又强大的

4、网络应用环境。该类方案能确保动态网络的稳定性，包括提供最优的连续性、个性化的安全服务。InternetInternet 智能应用交换智能应用交换(Intelligent Application Switch -IAS) 解决方案提供全局和本地网络资源之间的智能 IP 负载均衡，使我们能够确保网络的确定性。无论网络大小，我们的全线 IAS 设备都能够提供完整的、端到端的流量管理解决方案。Radware IAS 技术在优化服务资源和控制成本的同时消除了创建安全网络环境的不确定性。Radware 产品系列中包括为满足 IP 应用服务器、防火墙、cache 服务器和 WAN 链接而开发和设计的产品。我

5、们的产品结合市场上丰富的功能设置，提供了完全可扩展的解决方案。通过使用 Radware 获奖的 Web Server Director 系列和 Cache Server Director，网络在保持 100% 正常运行时间的同时，可获得高可用性、容错和冗余性能，并使用 FireProof 和 LinkProof 来管理防火墙群集和多归路网络的流量。它们都可以舒缓服务器、快取服务器及防火墙服务器的拥塞状况，提高可存取性及可管理性。RadwareRadware IASIAS 设备优化了所有公司、电子商务企业和全球主要 ISP 的网络性能。并与主要的企业解决方案提供商合作，为客户提供最先进的技术和服

6、务。Radware 的负载均衡设备可与 cutting-edge 技术及大多数可知的重要算法协同运作，优秀的容错及备援性能带来了最佳的可用性，并且避免网络中单点故障的发生。 4Radware 拥有最强大的市场分销渠道，产品目前应用于许多财富 500 强企业中，同时还提供给了全球各大主要的互联网络服务供应商(ISP)上。随着电子商务的继续发展和 IP 流量的增加，Radware 将继续开发创新的解决方案来提高生产力、消除您网络基础结构中的不确定性，并提供从点击到内容的最完美的服务。Radware 在负载均衡系统上的技术领先地位可由在 Web Server Director 产品线上所获得的众多奖

7、项证明，这些奖项包含 PC Magazine Editors Choice、 Network magazines Product of the Year、 ZD Internet Labs Net Best、 Spring Internet World98、Los Angeles, Best of Show 及 Network Computing magazines Editors Choice。 Radware 主要产品Radware 主要提供八大产品系列，其中：WebWeb ServerServer DirectorDirector （WSDWSD）可以有效地均衡 IP 负载，优化网络性能

8、。WSD 在Internet 和服务器集群(Server Farms)之间具有战略性的地位，它可以监视所有的用户请求并在可用的应用资源之间进行智能化的负载分配，从而可以提供极好的容错、冗余、优化和可扩展性能。 DefenseProDefensePro 是 3GBps 位速度的安全交换平台，它为保护网络化应用免遭攻击威胁提供了高速的入侵防范能力和拒绝服务攻击防范能力。DefensePro 提供以下功能： 攻击监测和隔离；入侵防范；拒绝服务攻击防范；流量控制；安全更新服务；安全性报告。ContentContent InspectionInspection DirectorDirector (CID

9、(CID ) )提供了容错和充分优化的防病毒扫描和内容过滤功能，从而实现了高性能、高性价比和高度可扩展的内容安全。CacheCache ServerServer Director(CSD)Director(CSD) 是一种智能化的 Internet 高速缓存服务器管理和负载均衡系统。该系统是专门为在网络中使用高速缓存服务器阵列的企业而设计的，5CSD 可以提供优化的 Internet 访问和存储资源使用率，同时，也使整个服务器群的性能得以最大程度的发挥。 FireProofFireProof 是一种动态负载均衡系统，可有效地管理多个防火墙和其它安全设备上的流量。它使用一系列先进的内建式负载均衡

10、算法，该算法能够监视客户的数量和每个防火墙上的负载，而 FireProof 则可以在各单元之间动态地平均分配流量，同时还可以进行双向的流量管理。 LinkProofLinkProof 是一种全面的、易于使用的内容交通管理解决方案，适用于具有多个链接的网络。在今天，越来越多的电子商务公司、二级 ISP 和企业都开始求助于“multihoming”设计来确保百分之百的 Internet 访问连续性。LinkProof 可以确保完全的网络可用性并提供完全可扩展的解决方案。随着网络需求的增长，该解决方案也能随之成长。LinkProof 可以向那些需要“永远在线“的 multihoming 网络提供一种

11、创新的完全内容流管理解决方案。 PeerPeer DirectorDirector 是专为控制、管理和优化 Internet 路由而设计的。Peer Director 可以使服务提供商和大型企业通过在不同 Internet 链路中实施流量重定向策略、来控制他们的 Internet 路由。因此它可以减低管理成本和 Internet 连接成本。提高 Internet 性能。同时管理员可以更好的对连接链路进行控制。CertainT100CertainT100 能够在不降低网络性能的情况下为用户提供快速的 SSL 交易. CertainT100 SSL 加密/解密功能与 Radware 的流量管理解决

12、方案相结合,在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。SynAppsSynApps ArchitectureArchitecture 是唯一能够无缝和动态分配网络资源的产品,从而确保所有网络应用的可用性,最佳性能和增强的安全性.它将应用状态监控、流量重定向、带宽管理、应用安全和 DOS shield 组合在功能强大的 ASIC 交换平台中，为综合性的应用服务管理提供了强大的、灵活的和可扩展的解决方案。详情查询，请垂讯：瑞得韦尔中国公司大中国区广州代表处： Tel: 8620-8511-8612 Fax: 8620-38781852Mobile: E-Mail:62.

13、需求分析需求分析2.1网络安全面临的问题网络安全面临的问题各个机构所倚重的网络化业务应用正面临越来越多的攻击威胁，因而可能导致重大的财务损失。根据 CSI/FBI 对财富杂志评出的前 1000 位公司的调查，在 2002年，因为蠕虫、病毒和 DoS 攻击，每个机构的平均损失高达 170 万美元。为了成功应对呈爆炸性增长而且后果日趋严重的应用级别攻击，各个机构必须重新审视自己的安全策略。对于一个行之有效的安全解决方案，它必须考虑当前在应用和安全上的挑战。这些挑战包括：1. 对分布式应用的依赖性不断增强 各个机构日益依赖基于 Web 的应用和业务级的分布式应用来开展业务。分支机构和生产部门也会通过

14、广域网从远程访问CRM 和 ERP 等关键应用。2. 网络化应用容易受到攻击 由于 80、139 等端口通常是打开的，因此如果不对借助这些端口穿越防火墙进入网络的流量进行检测，网络化应用将非常容易遭到病毒、入侵、蠕虫和 DoS 等形式的攻击。为保护网络化应用的安全，需要对所有流量进行深入的数据包检测，以实时拦截攻击，并且防止安全性侵害进入网络并威胁各个应用。3. 呈爆炸性增长的攻击 应用攻击的数量和严重性都在飞快地增长，仅 2003年就出现了 4200 多种攻击形式，而且这一数字每年都会翻一番。相应地，这些攻击造成的损失也呈直线上升趋势。据报道，2003 年 8 月成为 IT历史上最糟的一个月

15、。在该月，仅 Sobig 病毒就在全球造成了 297 亿美元的经济损失。4. 当前的安全工具无法拦截这些攻击 在应用层的攻击面前，防火墙、IDS 以及防病毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能，从而使各个机构暴露无遗。因此，一种能用数千兆位的速度对所有流量进行双向扫描并且可以实时防范各种7应用层攻击（比如蠕虫、病毒、木马和 Dos 攻击）的内置安全解决方案，无疑已成为当务之急。3. DefensePro 安全解决方案建议安全解决方案建议公司分支机构众多，各个机构之间通过网络连接，传送电子邮件，办公应用和企业的业务应用，然而，由于 Internet 的连接，以及人员的流动，

16、为企业网络安全带来了不确定性，如果一台电脑受到攻击或感染病毒，当安全补丁还未发布，安全防范措施来不及实施时，很快攻击就会波及到整个企业网，一旦发生这种情况，因业务停顿带来的损失非常巨大。如何实时防止蠕虫病毒和恶意代码的攻击，变得尤其迫切。因此，根据以上用户的需求分析，我们提出以下 Radware DefensePro 安全解决方案。3.1系统总体结构图系统总体结构图公司原有网络结构示意图如下所示：8Cisco 7500Cisco GSRCisco GSR Cisco GSRCisco 6509BackBoneCisco 6509UserUserUserUser由三台 Cisco GSR 组成骨

17、干核心网，7500 连接到 Internet 出口，各个工作区由Cisco Catalyst 6509 实现汇聚。根据以上结构分析，网络内部可能存在攻击扩散的位置主要分为两部分：第一是Internet 出口部分，直接面临外部网络的威胁，如果这部分受到攻击，则有可能对整个企业内部网造成威胁；第二部分是各个工作区的汇聚点之间，如果一个工作区内部受到病毒感染或攻击，也会蔓延到整个企业网。针对以上结构特点，Radware 建议用户使用多台 DefensePro 来保护企业的网络：针对 Internet 出口部分使用一台 ASII DefensePro，保护企业网络免受外部病毒和攻击；在各个汇聚点之间使

18、用两台 ASIII DefensePro，通过使用 Muti-Segment 技术实现分布式应用，虚拟多台安全设备，防止病毒和攻击在各个工作区之间扩散。如下图：9Cisco 7500Cisco GSRCisco GSR Cisco GSRCisco 6509BackBoneCisco 6509UserUserUserUserDefenseProDefenseProMuti-Segment 技术实现示意图：10UsersRouterServersL2/3 Switch子网1 子网2子网3DefensePro单台 DefensePro 设备真实的物理连接如下图所示：113.2Radware Def

19、ensePro 介绍介绍Radware DefensePro 在业内首先提供了以 3 千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击，从而为所有网络化应用、用户和资源提供了直接保护。DefensePro 的功能和优点DefensePro 是 3 千兆位速度的安全交换平台，它为保护网络化应用免遭攻击威胁提供了高速的入侵防范能力和拒绝服务攻击防范能力。本节着重介绍了 DefensePro 的以下性能：1. 攻击监测和隔离。2. 入侵防范。3. 拒绝服务攻击防范。4. 流量控制。5. 安全更新服务。6. 安全性报告。攻击监测和隔离攻击监测和隔离网络管理

20、人员在同攻击作斗争时面临的主要难题之一是，他们无法扫描和检查应用层的流量。DefensePro 不仅为管理员提供了对网络流量的全面监视能力，而且还使得他们可以实时识别蠕虫、病毒和异常的流量模式，从而实现对所有活动威胁的完全监视。一旦检测到攻击，DefensePro 就会实施积极的攻击隔离措施。它会通过带宽管理对所有受影响的应用、用户或网段进行动态的带宽分配限制，从而即时地控制攻击的影响和危害。通过控制 DoS 攻击所可能占用的最大带宽并且限制该攻击的影响，可以确保其它的关键业务应用不会受到影响，并且可以继续获得为保证业务的平稳运行而所需的带宽和服务水平。基于类似方式，通讯运营商也可以保证用户的

21、 SLA 不会因为对其它用户发动的 DOS 攻击而受到影响。借助 DefensePro 的高端口密度，用户可以同时保护多个网络段。通过扫描和保12护各个网络段，DefensePro 可以防止攻击在机构的网络段和各个层级之间传播。这样就最大限度减少了感染机会，并且可以控制攻击带来的影响和危害。入侵防范入侵防范- 应用级别的保护应用级别的保护对网络化应用的依赖性不断增强也使得公司网络要面临病毒、入侵、特洛伊木马和其它攻击的威胁。这些攻击会使用 80 端口和其它打开的应用端口（如 139、445 等）穿越防火墙而进入公司网络中。据 2003 年 8 月刊的 Network World 报道，77%

22、的应用级别攻击都是通过 80 端口发动的。图 1：不同应用级别攻击的分布图DefensePro 入侵防范功能可以用 3 千兆位的速度检测和拦截 1200 多种病毒、蠕虫和特洛伊木马，从而快速而全面地清除所有恶意入侵：对各个网络段的流量进行双向扫描对各个网络段的流量进行双向扫描DefensePro 是为嵌入式部署而设计的，它可以在具有多个网络段的网络中对所有流量进行实时扫描。在扫描过程中，DefensePro 会对数据包进行逐一检查，并根据恶意攻击模式执行特征比较。它可以识别 Radware 安全数据库中的 1200 多种攻击特征。为了防范新的攻击形式，该数据库会不断被更新。对于未知形式的攻击，

23、可以使用协议异常检查功能来检测。通过检查协议的异常性，可以检测异常的数据包碎片，而这大多数情况下标识了恶意活动。3 千兆位速度的攻击特征比较千兆位速度的攻击特征比较为了支持数千兆位的特征扫描速度，DefensePro 专门采用了基于 ASIC 的强大加速器-StringMatch EngineTM 。StringMatch Engine 支持并行的特征搜索操作，可13对照特征数据库进行高速的检测和数据包比较。同使用 Intel Pentium 4 CPU 进行串行特征搜索相比，其字符串搜索速度提高了 300 倍。实时抑制攻击实时抑制攻击当检测到恶意活动时，DefensePro 可能以任何组合形

24、式立即执行以下的这些操作：丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护，以免它们遭到蠕虫、病毒和其它形式的攻击。DefensePro 具有针对不同网络或网络段实施不同安全策略的灵活性，从而可以适应为保护不同应用和服务而所需的各种用户安全要求（对通讯商而言）和网络段安全要求（对公司而言） 。防扫描功能防扫描功能黑客在发起攻击之前，通常都会设法确定打开的 TCP 和 UDP 端口。一个打开的端口可能意味着一种服务、应用或者一个后门。如果端口不是用户特意打开的，则可能导致严重的安全问题。De fensePro 的应用安全模块提供

25、了旨在阻止黑客获取该信息的全面机制，方法是拦截并修改发送给黑客的服务器应答。DoS Shield - 彻底防范拒绝服务攻击彻底防范拒绝服务攻击在过去的 12 个月中，拒绝服务攻击所导致的损失有显著的上升势头。最近的调查 1 表明，拒绝服务攻击（DoS ）在 2003 年导致每个机构平均损失了 1427028 美元，这个数字比 2002 年高了 5 倍。DefensePro 的 DoS Shield 模块借助高级的取样机制和基准流量行为监测来识别异常流量，提供了实时的、数千兆位速度的 DoS 防范。该机制会对照 DefensePro 攻击数据库中的 DoS 攻击特征列表（潜在攻击）来比较流量样本

26、。一旦达到了某个潜在攻击的激活阈值，该潜在攻击的状态就会变为 Currently Active （当前活动） ，这样就会使用该潜在攻击的特征文件来比较各个数据包。如果14发现匹配的特征，相应的数据包就会被丢弃。如果没有匹配的特征，则会将数据包转发给网络。借助高级的取样机制检测 DoS 攻击，不仅可实现完全的 DoS 和 DDoS 防范能力，而且还保持了大型网络的高吞吐量。除了上述基于攻击特征的防范方法外，DefensePro 还针对各种类型的 SYN flood 攻击提供了强大的防护能力（无论该攻击是使用何种工具发动的） 。这种被称为SYN Cookie 防范的机制可执行延迟绑定（终止 TCP

27、 会话）并且在 TCP 确认数据包中插入一个 ID 号来鉴别 SYN 请求。完成这种三向握手后，DefensePro 仅处理含有在此前插入的 ID 号的请求。这种机制可以保证会被只有合法的请求才发送到服务器，而任何 SYN flood 攻击都将在DefensePro 处被终止，因而不会蔓延到服务器以 DefensePro 自身。DefensePro 的强大架构允许它处理大规模的 SYN flood 攻击。在消费者实验室中执行的测试表明，Def ensePro 每秒最多可拦截 100 万个 SYN 请求（相当于500Mbps 的速度） ，同时可保持合法流量的转发。报告功能报告功能当 Defens

28、ePro 检测到攻击时，它会将该安全事件报告。在报告中包含有全面的流量信息，比如源 IP 地址和目标 IP 地址、TCP/UDP 端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息，或者通过系统日志渠道、SNMP 陷阱或电子邮件将安全事件信息发送到外部。Configware Insite 的安全报告功能提供了全面的安全报警、报告和统计信息，借此可以查看安全性攻击摘要，包括前 10 位攻击、总的攻击流量、按 I P 地址分类的攻击，等等。Configware Insite 可以在 Windows、Linux 和 Unix 操作系统上运行。借助插件，它还可以

29、在 HPOV、Unicenter 和 Tivoli 管理应用系统上运行。流量控制流量控制借助 DefensePro 的带宽管理功能，可以动态性地对流量进行控制，以保证所有关键任务应用的持续运行和性能（即使在攻击之下） 。通过控制资源和区分流量的重要程度，DefensePro 流量控制功能可以限制处于攻击之下的各个应用所占用的带宽，同时保证所有安全流量能获得充足的资源。对机构而言，这样就保证了 ERP 和 CRM 15等关键任务应用的性能和不间断运行。Radware 在在 Web 上的安全更新服务上的安全更新服务Radware 安全更新服务提供了即时的和经常性的安全过滤器更新，这为防范包括病毒、

30、蠕虫和恶意攻击特征在内的最新应用安全危害提供了可能，从而可实现对应用、网络和用户的完全保护。所有的 DefensePro 用户都可以通过期限为一年或多年的预订来获得 Radware 安全更新服务。Configware Insite 的用户可以享受到自动更新带来的便利。这些用户可以配置Configware Insite ，让它定期轮询 Radware 的网站，以检查是否有新的安全更新。如果有这样的更新，ConfigwareInsite 会自动下载它们，然后通知管理员它已下载了新的攻击特征。该安全更新服务包括以下的主要服务要素： 安全运行中心(SOC) 24/7 地检视：不间断地监测、检测威胁，对

31、威胁进行风险评估以及创建过滤器来抑制威胁 每周更新：按计划对特征文件进行定期更新，通常在星期一。可通过 Radware ConfigwareInsite 自动分发，或用户主动从 下载 紧急过滤器：通过紧急过滤器，可针对高危的安全性事件作出快速反应 定制过滤器：针对特定环境下的威胁以及新出现的攻击报告给 SOC 的攻击定制过滤器架构架构DefensePro 的 4 层架构是为满足企业、电子商务公司以及通讯商在网络和应用保护方面最紧迫的需求而设计的。本节将介绍 DefensePro 硬件平台的四个主要组件，它们分别是： 交换结构和交换 ASIC 网络处理器 StringMatch Engine

32、高端的 Power PC RISC 处理器1644 Gbps 的交换结构& 业内最高的端口密度DefensePro 无阻塞的 44 千兆位交换背板基于多层的分布式交换架构，使用了可确保 1 个 10GbE 端口、7 个 1 千兆位端口以及 16 个高速以太网端口实现线速交换的交换 ASIC 。借助业内最高的端口密度和最高的交换性能，一台 DefensePro 设备就可以执行对多个网络段的双向扫描。其中，每个网络段将使用两个端口进行连接（一个入站端口和一个出站端口） 。这为公司和通讯商的内部网络提供了完全的安全性（在所有网络段中避免蠕虫、病毒和 DoS 攻击蔓延）以及可保护任何网络配置的灵活性。

33、最先进的网络处理器最先进的网络处理器两个网络处理器将并行工作，它们可以用数千兆位的速度同时处理多个数据包（实现了更快的第 4 至第 7 层安全交换速度）并且执行所有同数据包处理有关的任务，包括流量转发和拦截、流量控制以及延迟绑定（以防范 SYN flood 攻击） 。尤其是，它们可以用每秒 100 万个 SY N 请求的空前速率来防范拒绝服务攻击和任何已知或未知的 SYN flood 攻击。对第 4 层攻击的检测和防范是由网络处理器完成的，这有助于提升防范这些攻击类型时的性能。如果需要执行更深入的数据包检查（第 7 层扫描） ，则会将数据包转发给 StringMatch Engine（专用的硬

34、件卡，是专为提供更快速的特征和模式比较以识别攻击特征而设计的） 。StringMatch 的模式比较结果确定了数据包是合法流量还是恶17意攻击。与此结果相对应，网络处理器会转发数据包或丢弃数据包然后重置有关会话。除了清除所有可疑流量外，网络处理器还支持端到端的流量控制和带宽分配管理，以确保所有安全流量有稳定的服务水平，并且保证关键任务应用的连续性和服务质量（即使在受到攻击的情况下） 。Radware StringMatch Engine - 基于基于 ASIC 的专用安全硬件加速器的专用安全硬件加速器Radware StringMatch Engine 是一种专用的硬件卡，旨在提供更快速的数据

35、包检查和特征比较。StringMatch Engine 由 ASIC（最多 8 个，可支持 256,000 个并行的字符串搜索操作）和高端的 Power PC RISC 处理器（负责安排和运行并行搜索算法）构成。StringMatch engine 提供了 9 千兆位速度的自由范围搜索和 16 千兆位速度的固定偏移搜索，其性能无与伦比。同业内其它安全设备通常使用的 800Mhz Pentium III CPU 或 Pentium 4 CP U 相比，Radware StringMatch Engine 的内容检查速度显得鹤立鸡群。StringMatch Engine 比 800Mhz 的 Pe

36、ntium III CPU 快 1000 倍，比 Pentium 4 CPU 快 300 倍。CPU-1 GH Z 的安全会话管理的安全会话管理DefensePro 的 RISC 处理器使用的是 Motorola PPC 7457。这是业内最快的处理器，它负责管理所有安全性会话并且区分它们的优先级。它不仅可识别所有的活动攻击并且控制 StringMatch Engine 和网络处理器中隔离、拦截和阻止攻击的活动操作，而且还可以管理所有的安全更新和网络要求。借助 2 个高端的 RISC 处理器（每个都相当于一个 G4 工作站） 、2 个网络处理器以及端口级别负责流量转发的 44 Gbps 交换

37、ASIC ，DefensePro 安全交换架构提供了无与伦比的性能和计算能力，可以满足将来在应用安全方面的任何需求。典型配置企业配置此处介绍了最为常见的 DefensePro 安装形式。这种在网络的网关位置进行的嵌18入式安装允许 DefensePro 以数千兆位的速度执行实时而深入的数据包检查和双向扫描，从而保护所有企业流量免遭 1200 多种应用级别的攻击（包括蠕虫、病毒和 DoS 攻击） 。在网络的网关位置防范 Do S 攻击，不仅保护了公司资源和基础体系，而且还保护了公司的安全工具不会超负荷运行，从而即使是在 DoS 攻击之下也能保证它们的连续运行。通过实施带宽管理策略，可以即时隔离攻

38、击、蠕虫和病毒，防止它们传播到各个楼层/网段，从而限制了它们的危害程度，并且确保了保持业务运行所需的可用性和性能。DefensePro 的透明特性就好比是一种“智能化的绳索“，通过它，DefensePro 可以实现同任何网络环境的无缝集成。另外还有一种流行的配置。该配置利用了 DefensePro 的高端口密度和 3 千兆位的交换速度。在这样的配置中，DefensePro 同时连接了多个网络段。每个网络段使用 2 个端口。借助该配置，用户通过一台设备就可以实现对所有网络段的双向扫描，因而改进了隔离效力，并且增强了对源自机构网络内外的攻击、蠕虫和病毒的防范能力。优点：实时的入侵防范功能可杜绝蠕虫

39、、病毒和特洛伊木马的攻击实时防范拒绝服务攻击和 SY N 攻击保护所有局域网网段和流量的安全可将攻击带来的危害隔离起来可实现同任何网络环境的无缝集成独具优势独具优势从防火墙、VPN 网关、IDS 到防病毒网关，安全市场集结了各式各样的安全工具。应用级层的攻击在当今的网络攻击中占了绝大多数，为了抑制这些攻击，Gartner2 建议企业“在作出安全方面的决策时除了考虑简单的静态协议过滤外，还要考虑对应用内容进行深入的数据包检查“。但从下表可以看到，DefensePro 是业内唯一兼具了 3Gbps 的安全性能和应用安全智能的产品，它可以保护从网络层直到应用层的所有网络化应用。19DefensePro 独具的多层安全架构组合了数种攻击检测机制（针对 1,200 多种攻击特征和协议异常） ，它们联同高级的防范工具（如 DoS Shield、SYN cookie 和应用安全模块）一起，提供了对恶意攻击和 DoS 攻击的完全防范能力。DefensePro 的底层支