Radware可实现的防护
1. 抵抗常规的攻击
CDN本身具有很强的抗攻击能力,它不但可以为网络中的服务器提供负载均衡功能,还提供了以下防攻击手段来保护网络中的服务器:
l通过对无效连接的管理来防止使用没有开放的服务进行攻击;
l实现源路由的跟踪,防止IP欺骗
l不用Ack缓冲应答未确认的SYN,防止SYN风暴;
l防止连续和接管的攻击;
l不运行SMTPd,FTPd,Telnetd等易受到攻击的进程;
l具有较高的安全性;
由于以上这些固有的安全特性及抗攻击能力,大大提高网络的安全性。
2. 攻击防护
通过对WSD设备的简单设置,即可完成多种攻击防护。
如后门防护:
只要在复选框中选择BackdoorTrojanProtection即可。
3. 病毒流量消除
通过SynApps种的带宽管理策略设置,即可完全屏蔽Nimda病毒。过程简单描述如下:
设置新的Service,名称为Nimda。该Service检测HTTP数据包中是否含有Nimda病毒的特征码:cmd.exe。
设置规则屏蔽病毒。
次序源目标方向操作优先级带宽限制服务
1AnyAnyTwoWayBlockRealtime0Nimda
该规则即可双向防止Nimda病毒的传播。
Radware应用安全(SynApps)实现原理简介
SynApps架构的应用安全模块分为5个部分:
1. 检测引擎(分类器):负责对网络流量(目前为IP 流量)进行分类,并将其与设备上安装的安全策略进行匹配。然后由Response Engine(响应引擎)执行操作。
2. 跟踪模块:不是所有的攻击都是由具有特定模式或者信息的数据包来启动的。一些攻击是由一系列数据包产生的,这些共同存在的数据包才会导致攻击发生。
因此,SynApps使用基于5个独立组件的历史机制,以不同的方式来识别每一个组件:
l 通过源IP 识别
l 通过目标IP 识别
l 通过源和目标IP 识别
l 通过过滤器类型识别
3. TCP 检查系统:始终跟踪每个TCP 会话(源和目标IP 以及源和目标端口)并被用来识别TCP 端口扫描。
4. 响应引擎:根据策略产生的规则结果执行相应的操作。这些操作类型包括:
l 丢弃数据包(Drop, Reject)
l 转发数据包(Forward)
l 发送重置(丢弃数据包并向发送者发送Reset(重置))
l 发送RST/ACK 和RST(如果检测到端口扫描,它会向目标发送RST/ACK 数据包以及向源发送者发送RST)以“愚弄”扫描器
l SNMP Trap(用于Report Module)
l Syslog 操作(日志机制– 通过SNMP)
5. 报告模块:通过SNMP traps、syslog 消息和设备的统计表生成报告和警报。
设备发送(或者保留在其表中)的消息包含下列内容之一:
l 攻击开始信息(开始日期或时间、攻击名称、源地址、目标地址)
l 攻击结束信息(结束日期或时间、攻击名称、源地址、目标地址)
l 发生的攻击信息(攻击发生的日期或时间、攻击名称、源地址、目标地址)
1. 抵抗常规的攻击
CDN本身具有很强的抗攻击能力,它不但可以为网络中的服务器提供负载均衡功能,还提供了以下防攻击手段来保护网络中的服务器:
l通过对无效连接的管理来防止使用没有开放的服务进行攻击;
l实现源路由的跟踪,防止IP欺骗
l不用Ack缓冲应答未确认的SYN,防止SYN风暴;
l防止连续和接管的攻击;
l不运行SMTPd,FTPd,Telnetd等易受到攻击的进程;
l具有较高的安全性;
由于以上这些固有的安全特性及抗攻击能力,大大提高网络的安全性。
2. 攻击防护
通过对WSD设备的简单设置,即可完成多种攻击防护。
如后门防护:
只要在复选框中选择BackdoorTrojanProtection即可。
3. 病毒流量消除
通过SynApps种的带宽管理策略设置,即可完全屏蔽Nimda病毒。过程简单描述如下:
设置新的Service,名称为Nimda。该Service检测HTTP数据包中是否含有Nimda病毒的特征码:cmd.exe。
设置规则屏蔽病毒。
次序源目标方向操作优先级带宽限制服务
1AnyAnyTwoWayBlockRealtime0Nimda
该规则即可双向防止Nimda病毒的传播。
Radware应用安全(SynApps)实现原理简介
SynApps架构的应用安全模块分为5个部分:
1. 检测引擎(分类器):负责对网络流量(目前为IP 流量)进行分类,并将其与设备上安装的安全策略进行匹配。然后由Response Engine(响应引擎)执行操作。
2. 跟踪模块:不是所有的攻击都是由具有特定模式或者信息的数据包来启动的。一些攻击是由一系列数据包产生的,这些共同存在的数据包才会导致攻击发生。
因此,SynApps使用基于5个独立组件的历史机制,以不同的方式来识别每一个组件:
l 通过源IP 识别
l 通过目标IP 识别
l 通过源和目标IP 识别
l 通过过滤器类型识别
3. TCP 检查系统:始终跟踪每个TCP 会话(源和目标IP 以及源和目标端口)并被用来识别TCP 端口扫描。
4. 响应引擎:根据策略产生的规则结果执行相应的操作。这些操作类型包括:
l 丢弃数据包(Drop, Reject)
l 转发数据包(Forward)
l 发送重置(丢弃数据包并向发送者发送Reset(重置))
l 发送RST/ACK 和RST(如果检测到端口扫描,它会向目标发送RST/ACK 数据包以及向源发送者发送RST)以“愚弄”扫描器
l SNMP Trap(用于Report Module)
l Syslog 操作(日志机制– 通过SNMP)
5. 报告模块:通过SNMP traps、syslog 消息和设备的统计表生成报告和警报。
设备发送(或者保留在其表中)的消息包含下列内容之一:
l 攻击开始信息(开始日期或时间、攻击名称、源地址、目标地址)
l 攻击结束信息(结束日期或时间、攻击名称、源地址、目标地址)
l 发生的攻击信息(攻击发生的日期或时间、攻击名称、源地址、目标地址)