【解决方案】Radware电信IDC网络整体解决方案_电信idc网络解决方案

【解决方案】Radware电信IDC网络整体解决方案由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“电信idc网络解决方案”。

Radware电信IDC网络整体解决方案 一个典型的数据中心网络拓扑结构图如下图所示：

上述典型的数据中心网络大致由4 部分组成：

    网络出口连接部分

网络安全部分

网络骨干交换部分

托管用户接入部分

一、网络存在问题

1.广域网链路存在的缺陷

Internet连接部分是指数据中心通过ISP运营商的链路连接到Internet，用于为数据中心托管用户对外的网上公共信息发布，为Internet 用户访问数据中心提供可靠连接。

 链路的单点失效性：采用单一Internet连接链路存在单点失效性，一旦该链路出现故障将造成整个网络的瘫痪；

 链路性能的瓶颈：单一Internet连接链路的带宽资源是有限的，无法满足企业内部全体用户对网络访问Internet时带宽不断增长的需求，同时也无法大量的Internet上的用户对企业的访问；

 网络安全防护能力弱：目前Internet上的各种各样的网络攻击层出不穷，路由器自身对网络攻击的防护能力非常有限，DOS/DDOS 网络攻击会对广域网络由器产生严重的影响；

2.网络安全防护存在的缺陷

网络安全部分通常由防火墙、虚拟专网（ＶＰＮ）和防病毒网关设备构成，用于制定内部信息资源的不同访问策略，保护数据中心的应用免受来自Internet的网络攻击。

网络安全设备缺乏高可用性：虽然某些数据中心采用了多台安全设备互相备份的解决方案，解决了单点失效的问题，但这些设备无法同时工作，导致投资严重浪费，备用设备只有等待主用设备失效以后才起作用，投资回报及性价比极低；

网络安全设备性能的瓶颈：网络安全设备由于要对进出网络的数据包进行安全性检查，与网络路由器和网络交换机相比，性能通常会降低很多，例如防病毒设备的网络吞吐量通常只有3－10Mbps。由于安全设备缺乏高可用性，因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。

安全体系架构存在漏洞：防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制，并且可以对基于状态的协议进行协议状态检查，因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如： 蠕虫入侵、病毒入侵、后门攻击。

3.骨干交换及托管用户应用的缺陷

网络骨干交换提供了托管用户的接入，托管用户的应用实现对外WWW等信息发布系统，业务应用系统和后台数据库系统组成。

网络应用的可靠性较差：应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况，从而无法保证网络应用的7x24 小时的持续性服务。

网络应用的性能瓶颈：在网络应用系统中，通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡，因此经常会出现某台服务器由于访问量过大而宕机，造成网络应用性能的不稳定，从而影响到整个网络应用系统的性能。

网络应用的安全性较差：现有网络中的安全性防护机制的特点是：

现有的安全性防护机制通常是针对来自外网的攻击；

缺乏针对来自内网的攻击防护机制；

现有的安全性防护机制通常是针对整体网络层面的攻击防护，即针对网络IP层、TCP/UDP层的网络4层以下的攻击防护；   

二、数据中心网络应用需求分析

1.广域网链路需求分析：数据中心网络出口连接方面的需求－多链路负载均衡技术

目前在国内由于多家ISP的竞争，Internet 接入链路的成本大幅降低，多链路Internet的接入已成为许多数据中心在的选择网络连接方面的需求。因此在数据中心Internet网络出口连接方面将存在如下要求：

提高Internet网络链路的可用性：当网络中心具有多条Internet链路后，应提高Internet网络链路可用性的智慧检查，防止出现由于某一条Internet链路的失效造成整体网络的不可访问。

提高Internet链路的网络吞吐量：提高数据中心的Internet网络链路的吞吐量，申请多条Internet链路。

提高Internet网络链路的抗网络攻击的能力：Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路，因此应加强在Internet链路上的攻击防护。

2.网络安全防护需求分析：网络安全方面的需求－防火墙、IDS、防病毒设备负载均衡技术的需求

为了保证数据中心的网络在网络安全防护方面的高可用性、高性能和安全性，数据中心在网络安全方面的需求可以分为以下几部分：

提高网络安全设备的可用性：网络中应具备安全设备的的可用性检查，避免单一的网络安全设备的单点失效性。

提高网络安全设备性能：在网络中采用多台网络安全设备，避免网络安全设备带来的瓶颈，提高网络传输速度。

完善网络安全体系架构：各种各样的网络攻击层出不穷，导致防火墙的负荷在不断提高，再相对于网络物理带宽的大幅度提高，防火墙逐渐成为了网络的瓶颈，本案希望使用一组（2个以上）防火墙采用负载均衡技术提供安全服务，以提升性能。

3.网络应用需求分析

网络应用方面的需求－应用服务器负载均衡技术的需求

为了保证数据中心的网络应用的高可用性、高性能和安全性，数据中心的网络应用存在下列需求：

提高网络应用的可靠性：自动的网络应用可用性检查，保证网络应用的7x24 小时的持续性服务。

提高网络应用的性能：如果网络中仅有单台服务器提供网络应用的服务，很难保证网络应用的性能，可以考虑增加相应的服务器数量，配合负载均衡技术来提高网络网络应用的性能。

网络应用的安全性较差：制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制；

4.提供差分服务（增值服务）的需求

数据中心应该能根据托管用户的经济能力提供差分服务，以提高市场竞争力。

三、Radware解决方案

根据大型数据中心网络应用现状分析和用户的需求分析，结合Radware产品的技术实现和特点数据中心方案设计，如下图所示：

Radware解决方案简介：

建议在数据中心网络各层面上共采用了12台Radware的设备，其中包括:       2台DefensePRO(通过端口静态绑定，最多可以虚拟成11台设备)，2台LinkProof、2台FireProof、2台CID、2台WSD、2台CT100。

LinkProof实现多链路的负载均衡和防火墙的负载均衡

如上图所示，我们建议在网络接入处，部署LinkProof，实现对多条internet接入链路（最多100条）的负载均衡，可以同时实现outbound流量（内部办公用户访问internet）和inbound流量（internet用户访问数据中心内部服务器）双向的负载均衡。同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择，大大提高用户访问的服务质量和访问效率。LinkProof可以配合FireProof实现多台防火墙（最多100台）的负载均衡，防火墙可以是不同厂家，不同型号，不同性能，大大提供防火墙的扩展性和可用性。

我们建议的安全解决方案部分，包括3款产品，DefensePro，FireProof，CID,每台设备简要功能描述如下：

DefensePro实现实时的攻击防御：部署DefensePro，可以识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式，保护内部用户和服务器的安全。

FireProof实现防火墙的负载均衡：部署FireProof，配合LinkProof实现多台防火墙（最多100台）的负载均衡，防火墙可以是不同厂家，不同型号，不同性能，大大提供防火墙的扩展性和可用性。

CID实现cache服务器、防病毒网关负载均衡：CID位于FireProof和核心交换机之间，与组织内原有的Cache，防病毒网关等内容检测安全设备协同提高服务质量。一方面把如上设备由inline方式改名为CID的旁路方式，减少了网络的单点故障。另一方面，CID实现对多台设备的负载均衡，保证了该类网络设备的高可用性，高扩展性和高性能。

CID部署在这里，还可以为数据中心实现差分服务，使得数据中心可以为用户提供可选择的Cache重定向服务，保证高级用户的ＷＷＷ服务响应速度；还可以为高级用户制定防病毒服务，使得高级用户可以免遭病毒的攻击，而普通用户的数据则由ＣＩＤ透明传输，不经由Cache 服务器或防病毒服务器，只享受普通的业务托管服务。

我们建议的应用解决方案部分，包括2款产品，WSD，CT100,每台设备简要功能描述如下：

WSD实现服务器的负载均衡：WSD位于核心交换机和各种IP应用服务器之间，主要实现所有基于IP协议的各种服务器的负载均衡功能，通过部署WSD,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量，从而实现了服务器所承载的业务的100％的高可用性和高性能。ＷＳＤ部署在这里，还可以为数据中心实现差分服务，使得数据中心可以为用户提供可选择的服务器负载均分服务，保证高级用户的服务响应速度及应用可靠性。

CT100实现SSL加速和HTTP（HTTPS）页面的加速

SSL加速功能：CertainT 100与WSD配合，为用户提供SSL加密加速服务。利用WSD 的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源，使服务器的性能提高２００倍以上，并且使服务器的投资发挥最大效益。

HTTP（HTTPS）页面的加速：CertainT 100通过WEB压缩和HTTP连接复用技术，大大提升internet用户对服务器的访问速度。较大地节省了internet的接入带宽，大大地降低了WEB服务器的处理资源消耗。

ＣＴ－１００部署在这里，还可以为数据中心实现差分服务，使得数据中心可以为用户提供可选择的ＳＳＬ加速服务和ＨＴＴＰ压缩服务，保证高级用户的服务响应速度。对于普通用户而言，ＣＴ－１００则不起作用，普通用户的ＳＳＬ加解密都放置到其服务器中完成。

四、方案中Radware详细技术介绍

DefensePro －实现入侵和DOS攻击的实时防范 Radware DefensePRO的功能描述

1.第一手防御

2.入侵实时防范

3.全部实时防范DOS攻击

4.强大的设备管理和安全管理

DefensePro 是为嵌入式部署而设计的，它可以在具有多个网络段的网络中对所有流量进行实时扫描。在扫描过程中，DefensePro 会对数据包进行逐一检查，并根据恶意攻击模式执行特征比较。它可以识别Radware 安全数据库中的1500多种攻击特征。为了防范新的攻击形式，该数据库会不断被更新。对于未知形式的攻击，可以使用协议异常检查功能来检测。通过检查协议的异常性，可以检测异常的数据包碎片，而这大多数情况下标识了恶意活动。当检测到恶意活动时，DefensePro 可能以任何组合形式立即执行以下的这些操作：丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护，以免它们遭到蠕虫、病毒和其它形式的攻击。

DefensePRO的解决方案的优势

从防火墙、VPN 网关、IDS 到防病毒网关，安全市场集结了各式各样的安全工具。但是，目前应用级层的攻击在当今的网络攻击中占了绝大多数，为了抑制这些攻击，需要千兆位元的实时防御入侵和DOS攻击的IPS设备。作为业界领先的实时防御设备，Radware的DefensePRO与其它同类IPS的解决方案相比，有如下优势：

1.3Gbps性能

DefensePro 是业内唯一兼具了3Gbps 的安全性能和应用安全智能的产品，它可以保护从网络层直到应用层的所有网络化应用。DefensePro 独具的多层安全架构组合了数种攻击检测机制，它们联同高级的防范工具，如DoS Shield、SYN cookie和应用安全模块一起，提供了对恶意攻击和DoS攻击的完全防范能力。

2.部署简便

简单的嵌入式安装-，借助DefensePro 的透明性，可将它无缝地集成到任何网络环境中，从而不必对网络设置、网络拓扑进行任何更改即可实现实时保护。

3.多网段防护实现攻击隔离

DefensePRO具有IPS业界最高的端口密度，通过把物理端口两两划分，可以使用单个设备保护多个网络段，从而实现实时的投资回报。通过多网段的防护，使网络入侵和攻击被限制在一个个网络区段之内，不致于因为单台计算机发出的蠕虫、病毒和DoS 攻击传播到其它用户和网络段中。

4.设备自身的安全性

DefensePRO的业务端口不设置IP地址，相当于一条智慧电缆，这种透明性保证了设备自身的安全性，因为用户无法了解网络中是否有该设备。所以也就无法对DefensePRO本身实施攻击。

5.保证关键任务应用的服务质量

通过DefensePRO精细的流量控制策略，可以保证关键任务应用获得较高的服务质量，同时限制非业务应用（如P2P 应用）所占用的带宽。

6.快速更新

Radware DefensePRO在拦截的攻击特征库更新速度方面，在安全产品业界处于领先地位。安全市场需要一种能用数千兆位元的速度对所有网络流量进行双向扫描并且可以实时防范应用级别攻击（比如蠕虫、病毒、木马和Dos 攻击）的内置安全解决方案，无疑已成为当务之急。Radware 看到了这种需求。作为首个可针对实时隔离、拦截和防范各种攻击提供数千兆位的数据包深入检查速度和特征比较速度的安全交换机，DefensePro 满足了这种需求。

Radware 多链路解决方案的优势 1.提高Internet网络链路的可用性

全路径健康检查：检测ISP链路的可用性，即健康状况，LinkProof提供了全路径健康检查的功能，最多能够完成10跳路由健康的检测，从而保证整条数据链路的通常，提高服务质量。

故障恢复和预热定时器：LinkProof提供故障恢复和预热定时器，用户可以自定义定时器的延迟时间，从而确保将会话定向到稳定的ISP链路。一旦ISP恢复正常，LinkProof能逐渐增加发送到该ISP的流量。

冗余配置：LinKProof使用Radware已被证明的冗余机制，其中设备的状态监视通过网络来实现，从而祢补了设备故障和网络故障。

2.提高Internet网络链路的性能

就近性(Proximity)

就近性检测方法：对于流入的流量，LinkProof使用与流出流量相同的就近性判断机制。LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算，选择最佳的流入流量传输路径，进行最终的解析地址。

优化就近性检测方法：可根据各个环境的独特需要方便地自定义就近性检测方法。这种自定义包括多种操作，比如增加分配给动态就近性表的内存、更改动态就近性表的内容有效期、为Radware 就近性设备提供DNS 名称以及仅使用静态就近性表等。

流量分组

流量分组使得LinkProof可以根据不同类型的流量而选择不同的链路。网络管理员可以根据目标地址、源地址和应用类型定义流量组。这使得流量分配更加灵活和方便。

3.提高抵抗攻击的能力

Radware Linkproof 在加载了SYNAPP II/III后，可以有效地防御黑客入侵及抵抗DDOS 攻击。应用安全模块可以保护 web 服务器免受 1400 多个攻击信号的攻击。此模块的设计使它可以作为 Radware 设备管理的各种资源前面的另一道防线，这些资源包括服务器、防火墙、cache 服务器或者路由器。此模块使用网络信息和基于信息的应用。通过终止所跟踪的可疑会话来实时检测和阻止攻击。在任何管理设备上都不需要使用软件代理。

FireProof ―实现防火墙负载均衡和IDS的负载均衡

1.高可靠的容错与冗余确保最长运行时间

2.独特的负载均衡算法确保防火墙的最佳性能

3.最大化性能的虚拟专用网络

4.高可扩展性可以有效保护投资

5.通过应用交换实现有效的防火墙管理

6.全程路径连通性检测

7.应用交换体系结构确保增强性能

8.实时、高性能的应用级别安全性

9.拒绝服务攻击防范功能

10.安全的服务可见性和控制

11.千兆位元速度的入侵拦截服务

12.提供了具有容错性和可扩展的入侵检测的功能。

Radware CID解决方案的优势

1.高可用性

高可用性的内容检查功能：高可用性的内容检查功能提供了容错防病毒扫描和对恶意内容的不间断防范。CID 可监视防病毒网关和URL 设备的健康状况，检测实时故障并将流量复位向到性能最佳的资源，从而确保了内容安全性服务的完全可用性和不停机操作。

2.高性能

千兆位元速度的防病毒服务

内容预选功能

3.高扩展性

高度可扩展的防病毒服务

组合式的防病毒服务支持：

4.完全的安全性

基于策略的流量管理

千兆位元速度的入侵检测和DoS 防范

全方位监视防病毒服务 Radware 网络应用系统负载均衡解决方案优势

Radware的网络应用系统负载均衡解决方案提高了网络应用系统的可靠性。

Radware WSD为了确保系统应用的可靠性，采用以下几种手段：

1.健康检查

        IP/TCP 层（3 层到 4 层）监视

应用层（7 层）监视

内容监视

Scripting 工具

先进的全程监视

WSD设备的冗余

服务器的平滑停机

服务器的逐渐开机

2.Radware的网络应用系统负载均衡解决方案提高了网络应用系统的性能

Radware WSD 为了确保系统应用的高性能，采用了以下手段：

    本地服务器的负载均衡

基于URL的负载均衡

基于内容的负载均衡

本地同全局服务器结合的负载均衡

3.Radware的网络应用系统负载均衡解决方案提高了网络应用系统的安全性

Radware WSD为了确保系统应用的安全性，在负载均衡设备上可以集成安全防护的功能模块，来防御针对应用的攻击。面对日益严峻的网络安全形势，Radware借助其在内容交换领域的技术优势，实现了基于高速交换机的入侵防范解决方案。WSD的SynApps应用安全模块能够实时侦测和阻止1400多种的黑客恶意攻击和常见的恶性病毒，确保网络资源的安全，并支持用户自定义和实时更新的能力。

CT100 ―实现SSL加解密和HTTP/HTTPS加速

Radware 的SSL加速解决方案采用了WSD＋CT 100 的方式, 其中四层交换机WSD位于路径中间，而SSL加速设备CT100位于旁路的位置。Radware的CertainT 100能够在不降低网络性能的情况下为用户提供快速的SSL交易。CertainT 100 SSL加密/解密功能与Radware的流量管理解决方案相结合，在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。