各個機構所倚重的網絡化業務應用正面臨越來越多的攻擊威脅,因而可能導致重大的財務損失。根據CSI/FBI對《財富》雜志評出的前1000位公司的調查,在2002年,因為蠕蟲、病毒和DoS攻擊,每個機構的平均損失高達170萬美元。為了成功應對呈爆炸性增長而且后果日趨嚴重的應用級別攻擊,各個機構必須重新審視自己的安全策略。
本文闡述了為實現網絡化應用的有效保護而存在的主要挑戰,并且介紹了Radware的DefensePro是如何以3千兆位速度的應用安全來防范惡意入侵和DoS攻擊,從而允許機構正常使用和保護大型環境中的應用的。
需求
對于一個行之有效的安全解決方案,它必須考慮當前在應用和安全上的挑戰。這些挑戰包括:
1. 對分布式應用的依賴性不斷增強 – 各個機構日益依賴基于Web的應用和業務級的分布式應用來開展業務。分支機構和生產部門也會通過廣域網從遠程訪問CRM和ERP等關鍵應用。
2. 網絡化應用容易受到攻擊 – 由于80、139等端口通常是打開的,因此如果不對借助這些端口穿越防火墻進入網絡的流量進行檢測,網絡化應用將非常容易遭到病毒、入侵、蠕蟲和DoS等形式的攻擊。為保護網絡化應用的安全,需要對所有流量進行深入的數據包檢測,以實時攔截攻擊,并且防止安全性侵害進入網絡并威脅各個應用。
3. 呈爆炸性增長的攻擊 – 應用攻擊的數量和嚴重性都在飛快地增長,僅2003年就出現了4200多種攻擊形式,而且這一數字每年都會翻一番。
相應地,這些攻擊造成的損失也呈直線上升趨勢。據報道,2003年8月成為IT歷史上最糟的一個月。在該月,僅Sobig病毒就在全球造成了297億美元的經濟損失。
4. 當前的安全工具無法攔截這些攻擊 – 在應用層的攻擊面前,防火墻、IDS以及防病毒網關等現有的安全工具缺乏相應的處理能力、性能和應用安全智能,從而使各個機構暴露無遺。
因此,一種能用數千兆位的速度對所有流量進行雙向掃描并且可以實時防范各種應用層攻擊(比如蠕蟲、病毒、木馬和Dos攻擊)的內置安全解決方案,無疑已成為當務之急。
Radware DefensePro在業內首先提供了以3千兆位的速度防范入侵和拒絕服務攻擊的安全交換機。該交換機可以實時地隔離、攔截和阻止各種應用攻擊,從而為所有網絡化應用、用戶和資源提供了直接保護。
DefensePro的功能和優點
DefensePro是3千兆位速度的安全交換平臺,它為保護網絡化應用免遭攻擊威脅提供了高速的入侵防范能力和拒絕服務攻擊防范能力。
本節著重介紹了DefensePro的以下性能:
1. 攻擊監測和隔離。
2. 入侵防范。
3. 拒絕服務攻擊防范。
4. 流量控制。
5. 安全更新服務。
6. 安全性報告。
攻擊監測和隔離
網絡管理人員在同攻擊作斗爭時面臨的主要難題之一是,他們無法掃描和檢查應用層的流量。
DefensePro不僅為管理員提供了對網絡流量的全面監視能力,而且還使得他們可以實時識別蠕蟲、病毒和異常的流量模式,從而實現對所有活動威脅的完全監視。
一旦檢測到攻擊,DefensePro就會實施積極的攻擊隔離措施。它會通過帶寬管理對所有受影響的應用、用戶或網段進行動態的帶寬分配限制,從而即時地控制攻擊的影響和危害。
通過控制DoS攻擊所可能占用的最大帶寬并且限制該攻擊的影響,可以確保其它的關鍵業務應用不會受到影響,并且可以繼續獲得為保證業務的平穩運行而所需的帶寬和服務水平。基于類似方式,通訊運營商也可以保證用戶的SLA不會因為對其它用戶發動的DOS攻擊而受到影響。
借助DefensePro的高端口密度,用戶可以同時保護多個網絡段。通過掃描和保護各個網絡段,DefensePro可以防止攻擊在機構的網絡段和各個層級之間傳播。這樣就最大限度減少了感染機會,并且可以控制攻擊帶來的影響和危害。
入侵防范 – 應用級別的保護
對網絡化應用的依賴性不斷增強也使得公司網絡要面臨病毒、入侵、特洛伊木馬和其它攻擊的威脅。這些攻擊會使用80端口和其它打開的應用端口(如139、445等)穿越防火墻而進入公司網絡中。據2003年8月刊的Network World報道,77% 的應用級別攻擊都是通過80端口發動的。
資料來源:Network World,2003年8月
圖1:不同應用級別攻擊的分布圖
DefensePro入侵防范功能可以用3千兆位的速度檢測和攔截1200多種病毒、蠕蟲和特洛伊木馬,從而快速而全面地清除所有惡意入侵:
對各個網絡段的流量進行雙向掃描
DefensePro是為嵌入式部署而設計的,它可以在具有多個網絡段的網絡中對所有流量進行實時掃描。在掃描過程中,DefensePro會對數據包進行逐一檢查,并根據惡意攻擊模式執行特征比較。它可以識別Radware安全數據庫中的1200多種攻擊特征。為了防范新的攻擊形式,該數據庫會不斷被更新。對于未知形式的攻擊,可以使用協議異常檢查功能來檢測。通過檢查協議的異常性,可以檢測異常的數據包碎片,而這大多數情況下標識了惡意活動。
3千兆位速度的攻擊特征比較
為了支持數千兆位的特征掃描速度,DefensePro專門采用了基于ASIC的強大加速器 – StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作,可對照特征數據庫進行高速的檢測和數據包比較。同使用Intel Pentium 4 CPU進行串行特征搜索相比,其字符串搜索速度提高了300倍。
實時抑制攻擊
當檢測到惡意活動時,DefensePro可能以任何組合形式立即執行以下的這些操作:丟棄數據包、重置連接以及向管理位置發送報告。這樣就為該設備之后的應用、操作系統、網絡設備和其它網絡資源提供了全面保護,以免它們遭到蠕蟲、病毒和其它形式的攻擊。
DefensePro具有針對不同網絡或網絡段實施不同安全策略的靈活性,從而可以適應為保護不同應用和服務而所需的各種用戶安全要求(對通訊商而言)和網絡段安全要求(對公司而言)。
防掃描功能
黑客在發起攻擊之前,通常都會設法確定打開的TCP和UDP端口。一個打開的端口可能意味著一種服務、應用或者一個后門。如果端口不是用戶特意打開的,則可能導致嚴重的安全問題。DefensePro的應用安全模塊提供了旨在阻止黑客獲取該信息的全面機制,方法是攔截并修改發送給黑客的服務器應答。
DoS Shield – 徹底防范拒絕服務攻擊
在過去的12個月中,拒絕服務攻擊所導致的損失有顯著的上升勢頭。最近的調查1表明,拒絕服務攻擊(DoS)在2003年導致每個機構平均損失了1427028美元,這個數字比2002年高了5倍。
DefensePro的DoS Shield模塊借助高級的取樣機制和基準流量行為監測來識別異常流量,提供了實時的、數千兆位速度的DoS防范。該機制會對照DefensePro攻擊數據庫中的DoS攻擊特征列表(潛在攻擊)來比較流量樣本。
一旦達到了某個潛在攻擊的激活閾值,該潛在攻擊的狀態就會變為Currently Active(當前活動),這樣就會使用該潛在攻擊的特征文件來比較各個數據包。如果發現匹配的特征,相應的數據包就會被丟棄。如果沒有匹配的特征,則會將數據包轉發給網絡。
借助高級的取樣機制檢測DoS攻擊,不僅可實現完全的DoS和DDoS防范能力,而且還保持了大型網絡的高吞吐量。
除了上述基于攻擊特征的防范方法外,DefensePro還針對各種類型的SYN flood攻擊提供了強大的防護能力(無論該攻擊是使用何種工具發動的)。這種被稱為SYN Cookie防范的機制可執行延遲綁定(終止TCP會話)并且在TCP確認數據包中插入一個ID號來鑒別SYN請求。完成這種三向握手后,DefensePro僅處理含有在此前插入的ID號的請求。這種機制可以保證只有合法的請求才會被發送到服務器,而任何SYN flood攻擊都將在DefensePro處被終止,因而不會蔓延到服務器以及DefensePro自身。
DefensePro的強大架構允許它處理大規模的SYN flood攻擊。在消費者實驗室中執行的測試表明,DefensePro每秒最多可攔截100萬個SYN請求(相當于500Mbps的速度),同時可保持合法流量的轉發。
報告功能
當DefensePro檢測到攻擊時,它會將該安全事件報告。在報告中包含有全面的流量信息,比如源IP地址和目標IP地址、TCP/UDP端口號、物理接口以及攻擊的日期和時間。可以使用設備日志文件和報警表格在內部記錄安全事件信息,或者通過系統日志渠道、SNMP陷阱或電子郵件將安全事件信息發送到外部。Configware Insite的安全報告功能提供了全面的安全報警、報告和統計信息,借此可以查看安全性攻擊摘要,包括前10位攻擊、總的攻擊流量、按IP地址分類的攻擊,等等。
Configware Insite可以在Windows、Linux和Unix操作系統上運行。借助插件,它還可以在HPOV、Unicenter和Tivoli管理應用系統上運行。
流量控制
借助DefensePro的帶寬管理功能,可以動態性地對流量進行控制,以保證所有關鍵任務應用的持續運行和性能(即使在攻擊之下)。通過控制資源和區分流量的重要程度,DefensePro流量控制功能可以限制處于攻擊之下的各個應用所占用的帶寬,同時保證所有安全流量能獲得充足的資源。對機構而言,這樣就保證了ERP和CRM等關鍵任務應用的性能和不間斷運行。
Radware在Web上的安全更新服務
Radware安全更新服務提供了即時的和經常性的安全過濾器更新,這為防范包括病毒、蠕蟲和惡意攻擊特征在內的最新應用安全危害提供了可能,從而可實現對應用、網絡和用戶的完全保護。
所有的DefensePro用戶都可以通過期限為一年或多年的預訂來獲得Radware安全更新服務。
Configware Insite的用戶可以享受到自動更新帶來的便利。這些用戶可以配置Configware Insite,讓它定期輪詢Radware的網站,以檢查是否有新的安全更新。如果有這樣的更新,Configware Insite會自動下載它們,然后通知管理員它已下載了新的攻擊特征。
該安全更新服務包括以下的主要服務要素:
·安全運行中心 (SOC) 24/7地檢視:不間斷地監測、檢測威脅,對威脅進行風險評估以及創建過濾器來抑制威脅
·每周更新:按計劃對特征文件進行定期更新,通常在星期一。可通過Radware Configware Insite自動分發,或用戶主動從www.radware.com下載
·緊急過濾器:通過緊急過濾器,可針對高危的安全性事件作出快速反應
·定制過濾器:針對特定環境下的威脅以及新出現的攻擊報告給SOC的攻擊定制過濾器
架構
DefensePro的4層架構是為滿足企業、電子商務公司以及通訊商在網絡和應用保護方面最緊迫的需求而設計的。本節將介紹DefensePro硬件平臺的四個主要組件,它們分別是:
·交換結構和交換ASIC
·網絡處理器
·StringMatch Engine
·高端的Power PC RISC處理器
圖4:DefensePro架構
44 Gbps的交換結構 & 業內最高的端口密度
DefensePro無阻塞的44千兆位交換背板基于多層的分布式交換架構,使用了可確保1個10GbE端口、7個1千兆位端口以及16個高速以太網端口實現線速交換的交換ASIC。借助業內最高的端口密度和最高的交換性能,一臺DefensePro設備就可以執行對多個網絡段的雙向掃描。其中,每個網絡段將使用兩個端口進行連接(一個入站端口和一個出站端口)。這為公司和通訊商的內部網絡提供了完全的安全性(在所有網絡段中避免蠕蟲、病毒和DoS攻擊蔓延)以及可保護任何網絡配置的靈活性。
最先進的網絡處理器
兩個網絡處理器將并行工作,它們可以用數千兆位的速度同時處理多個數據包(實現了更快的第4至第7層安全交換速度)并且執行所有同數據包處理有關的任務,包括流量轉發和攔截、流量控制以及延遲綁定(以防范SYN flood攻擊)。尤其是,它們可以用每秒100萬個SYN請求的空前速率來防范拒絕服務攻擊和任何已知或未知的SYN flood攻擊。
對第4層攻擊的檢測和防范是由網絡處理器完成的,這有助于提升防范這些攻擊類型時的性能。如果需要執行更深入的數據包檢查(第7層掃描),則會將數據包轉發給StringMatch Engine(專用的硬件卡,是專為提供更快速的特征和模式比較以識別攻擊特征而設計的)。StringMatch的模式比較結果確定了數據包是合法流量還是惡意攻擊。與此結果相對應,網絡處理器會轉發數據包或丟棄數據包然后重置有關會話。
除了清除所有可疑流量外,網絡處理器還支持端到端的流量控制和帶寬分配管理,以確保所有安全流量有穩定的服務水平,并且保證關鍵任務應用的連續性和服務質量(即使在受到攻擊的情況下)。
Radware StringMatch Engine – 基于ASIC的專用安全硬件加速器
Radware StringMatch Engine是一種專用的硬件卡,旨在提供更快速的數據包檢查和特征比較。StringMatch Engine由ASIC(最多8個,可支持256,000個并行的字符串搜索操作)和高端的Power PC RISC處理器(負責安排和運行并行搜索算法)構成。StringMatch engine提供了9千兆位速度的自由范圍搜索和16千兆位速度的固定偏移搜索,其性能無與倫比。
同業內其它安全設備通常使用的800Mhz Pentium III CPU或Pentium 4 CPU相比,Radware StringMatch Engine的內容檢查速度顯得鶴立雞群。StringMatch Engine比800Mhz的Pentium III CPU快1000倍,比Pentium 4 CPU快300倍。
CPU-1 GHZ的安全會話管理
DefensePro的RISC處理器使用的是Motorola PPC 7457。這是業內最快的處理器,它負責管理所有安全性會話并且區分它們的優先級。它不僅可識別所有的活動攻擊并且控制StringMatch Engine和網絡處理器中隔離、攔截和阻止攻擊的活動操作,而且還可以管理所有的安全更新和網絡要求。
借助2個高端的RISC處理器(每個都相當于一個G4工作站)、2個網絡處理器以及端口級別負責流量轉發的44 Gbps交換ASIC,DefensePro安全交換架構提供了無與倫比的性能和計算能力,可以滿足將來在應用安全方面的任何需求。
典型配置
企業配置
此處介紹了最為常見的DefensePro安裝形式。這種在網絡的網關位置進行的嵌入式安裝允許DefensePro以數千兆位的速度執行實時而深入的數據包檢查和雙向掃描,從而保護所有企業流量免遭1200多種應用級別的攻擊(包括蠕蟲、病毒和DoS攻擊)。
在網絡的網關位置防范DoS攻擊,不僅保護了公司資源和基礎體系,而且還保護了公司的安全工具不會超負荷運行,從而即使是在DoS攻擊之下也能保證它們的連續運行。通過實施帶寬管理策略,可以即時隔離攻擊、蠕蟲和病毒,防止它們傳播到各個樓層/網段,從而限制了它們的危害程度,并且確保了保持業務運行所需的可用性和性能。DefensePro的透明特性就好比是一種“智能化的繩索”,通過它,DefensePro可以實現同任何網絡環境的無縫集成。
另外還有一種流行的配置。該配置利用了DefensePro的高端口密度和3千兆位的交換速度。在這樣的配置中,DefensePro同時連接了多個網絡段。每個網絡段使用2個端口。借助該配置,用戶通過一臺設備就可以實現對所有網絡段的雙向掃描,因而改進了隔離效力,并且增強了對源自機構網絡內外的攻擊、蠕蟲和病毒的防范能力。
優點:
實時的入侵防范功能可杜絕蠕蟲、病毒和特洛伊木馬的攻擊
實時防范拒絕服務攻擊和SYN攻擊
保護所有局域網網段和流量的安全
可將攻擊帶來的危害隔離起來
可實現同任何網絡環境的無縫集成
通訊商解決方案
隨著越來越多的蠕蟲、病毒和DoS攻擊都是針對機構和通訊商的網絡服務發起的,因此這些攻擊對業務的連續運行能力造成了嚴重威脅。對借助國內和國際骨干網提供DNS和電子郵件服務以及為企業提供Internet連接的通訊商而言,這些安全性威脅已日益成為一種挑戰。
本節介紹了通訊商所面臨的一些最為緊迫的安全性難題,并且相應地給出了如何在杜絕安全性威脅的情況下提供正常服務的解決方案。
本節介紹的所有安全解決方案都基于DefensePro的以下功能:
·隔離蠕蟲、病毒和DoS攻擊
·為用戶提供安全連接
·過濾骨干鏈路上的惡意代碼
攻擊隔離
公司機構網絡遭受拒絕服務攻擊后造成的巨大財務影響,迫使通訊商尋求相應的對策。這種對策需要確保針對該通訊商的某個用戶發動的DoS攻擊不會影響它向連接在同一存在點(POP)的其他用戶提供的性能和服務。因此,為了履行用戶服務水平協議(SLA)和保證所有POP用戶的網絡能夠連續運行,無疑需要一種攻擊隔離機制。
圖6:區域性POP中的典型DefensePro部署
DefensePro的帶寬管理功能允許通訊商根據每個用戶的SLA來限制其發送或接收流量時可以使用的帶寬,從而提前定義好有關策略。
通過控制蠕蟲、病毒以及DoS攻擊所可能占用的最大POP資源帶寬,可以限制攻擊的蔓延,確保它們不會廣泛傳播并且影響連接在同一POP的其它用戶的服務水平和性能。
優點:
即時的攻擊隔離:防止攻擊蔓延到其它用戶中
·通過實施帶寬管理策略,限制蠕蟲、病毒和DoS攻擊所消耗的帶寬,避免它們影響用戶網絡。
為關鍵任務應用提供更好的服務質量(QoS) – 通過防止DoS攻擊占用大量帶寬以及縮短關鍵任務應用的響應時間,促進企業的業務經營。
履行對用戶的服務水平協議(SLA) – 通過履行服務水平協議 (SLA),通訊商可以維護用戶的滿意度和忠誠度,并且避免因為違反SLA條款而導致的收益損失。
如果用戶希望徹底避免蠕蟲、病毒和DoS攻擊,通訊商可以為它們提供暢通的鏈路服務(如下所述)。
暢通的鏈路服務
當前的服務提供商提供了各種托管的安全服務。DefensePro可以進一步增強這些服務,從而讓它們提供徹底的應用安全。作為這些服務的一部分,通訊商可以即時攔截病毒、惡意攻擊、特洛伊木馬和拒絕服務攻擊,從而為用戶網絡提供對1200多種常見攻擊特征的防范能力。
圖7區域性POP中的典型DefensePro部署
如上述配置所示,DefensePro以透明方式連接在鏈路中。它可以掃描鏈路上的所有流量,并且自動檢測和攔截1200多種惡意攻擊和DoS/DDoS攻擊。
這種配置為通訊商定義享受該服務的用戶(基于他們的IP地址)以及針對各個用戶采用的安全策略類型(為了保護他們的關鍵任務應用)提供了靈活性。
暢通鏈路服務對最終用戶的幫助
用數千兆位的速度實現全面保護 – 防范DoS攻擊和1200多種不同的攻擊特征(包括尼姆達、紅色代碼和SQL slammer)。
保證關鍵任務應用的服務質量 – 通過帶寬管理,不僅保證了關鍵任務應用可獲得正常運行而所需的帶寬,而且還可以限制非關鍵應用(比如KaAza、MP3和實時音頻)所消耗的帶寬。
迅速對新威脅作出反應 – 新攻擊特征的自動更新,為及時防范新的蠕蟲、病毒或其它類型的攻擊創造了條件。
暢通鏈路服務對通訊商的幫助
擴展服務品種 – 通訊商可以通過現有的基礎設施來擴展服務范圍,從而不需要額外投資就可以實現更大的收益。
銷售的是價值而不是成本 – 企業將愿意為所獲得的安全和性能支付額外費用。
拓展新用戶 – 通訊商可以面向新用戶和現有用戶提供這種獨特服務。
高層次服務 – 通訊商可以作為高級解決方案提供商并且更為重要的是作為最佳服務水平的提供商展現自己的特色。
透明方式的安裝 – 不需要更改網絡元素的配置。
請注意:如果將DefensePro作為CPE(Customer Premises Equipment,用戶入口設備)安裝在用戶站點中,也可以提供這種服務。
過濾骨干鏈路上的惡意代碼
通過過濾掉含有病毒或惡意代碼的Internet流量,通訊商可以大幅度減輕其國內、國際和對等連接上的負載。
圖8:中央POP配置
在中央POP位置安裝DefensePro后,將可以掃描所有流經國際鏈路的入站和出站流量。對常見病毒(如紅色代碼和尼姆達)的過濾有助于通訊商節省國際骨干網的容量。比如,僅此一項就為韓國的Hanaro Telecom節省了將近20% 的國際骨干網容量。
以下配置顯示了用于清理國內骨干鏈路的備選解決方案。
圖9:國內骨干鏈路清理配置
優點
降低經營成本 – 通過過濾掉惡意代碼,可以大幅度降低流量規模,并且更充分地利用國際骨干鏈路,這無疑會大幅度地降低成本。
透明方式的安裝 – 不需要更改現有的網絡元素配置。
讓通訊商的服務在網絡中始終保持可用 – 通過以數千兆位的速度實時防范DoS攻擊和1200多種惡意攻擊特征,通訊商可以保證服務的始終可用性。
迅速對新威脅作出反應 – 新攻擊特征的自動更新,為及時防范新的蠕蟲、病毒或其它類型的攻擊創造了條件。
保護DNS和電子郵件服務器
DNS服務器的失效可能對Internet服務造成嚴重影響(因為最終用戶將無法訪問Internet Web服務器),這可以從今年1月份美國主要的DNS服務器所遭受的DNS攻擊得到證明。借助以下配置,通訊商可以防止自己的DNS和郵件服務器遭到蠕蟲、病毒以及DoS攻擊,并且杜絕其郵件或DNS服務器將蠕蟲傳播到用戶網絡和對等DNS系統的可能性。該配置中,DefensePro以透明方式連接在鏈路上。它可以掃描所有前往DNS和郵件服務器的流量,從而自動檢測和防范蠕蟲、病毒、已知的DNS攻擊(比如SQL slammer)以及DoS攻擊和DDoS攻擊。
圖10:國內骨干鏈路清理配置
優點:
用數千兆位的速度執行實時保護 – 可防范所有已知的DNS攻擊(包括SQL slammer和DoS攻擊)。
透明方式的安裝 – 不需要更改網絡元素配置。
迅速對新威脅作出反應 – 新攻擊特征的自動更新,為及時防范新的蠕蟲、病毒或其它類型的攻擊創造了條件。
有關各種通訊商解決方案的完整信息,請參考“通訊商安全解決方案”白皮書。
獨具優勢
從防火墻、VPN網關、IDS到防病毒網關,安全市場集結了各式各樣的安全工具。應用級層的攻擊在當今的網絡攻擊中占了絕大多數,為了抑制這些攻擊,Gartner2建議企業“在作出安全方面的決策時除了考慮簡單的靜態協議過濾外,還要考慮對應用內容進行深入的數據包檢查”。
但從下表可以看到,DefensePro是業內唯一兼具了3Gbps的安全性能和應用安全智能的產品,它可以保護從網絡層直到應用層的所有網絡化應用。
DefensePro獨具的多層安全架構組合了數種攻擊檢測機制(針對1,200多種攻擊特征和協議異常),它們聯同高級的防范工具(如DoS Shield、SYN cookie和應用安全模塊)一起,提供了對惡意攻擊和DoS攻擊的完全防范能力。DefensePro的底層支持技術是4層安全交換架構,其交換ASIC使用了44 GB的線速背板、2個網絡處理器、RISC處理器和專用的基于ASIC的硬件加速卡(StringMatch Engine),可將檢查速度提高1000倍。這使得DefensePro成為高速/高性能環境中的應用安全性能的基準。
2 Gartner企業防火墻幻方圖
其它的獨特優點還包括:
高端口密度 – 允許通過單個設備保護多個網絡段,從而實現即時的投資回報。
簡單的嵌入式安裝 – 借助DefensePro的透明本性,可將它無縫地集成到任何網絡環境中,從而不必對網絡元素的設置進行任何更改即可實現實時保護。
完全的設備安全性 – 其透明性還意味著優異的安全性,因為用戶無法了解網絡中是否有該設備。
攻擊隔離 – 通過集成的流量控制功能,可以預先定義策略,從而防止蠕蟲、病毒和DoS攻擊傳播到其他用戶和網絡段中。
保證關鍵任務應用的服務質量 – 流量控制策略還可以保證關鍵任務應用獲得較高的服務質量,同時限制非業務應用(如P2P應用)所占用的帶寬。
總結
一種能用數千兆位的速度對所有網絡流量進行雙向掃描并且可以實時防范應用級別攻擊(比如蠕蟲、病毒、木馬和Dos攻擊)的內置安全解決方案,無疑已成為當務之急。Radware看到了這種需求。
作為首個可針對實時隔離、攔截和防范各種攻擊提供數千兆位的數據包深入檢查速度和特征比較速度的安全交換機,DefensePro滿足了這種需求
