Radware CID 针对 Trend Micro WSA 负载均衡和优化解决方案

1. Radware CID 针对 Trend Micro WSA负载均衡和优化解决方案 Radware 北京 售前咨询 梁世鹏

2. CID 安全优化解决方案

3. Content Inspection Director CID 提供了容错、高吞吐 & 可扩展的防病毒扫描、URL 过滤 & 反垃圾邮件服务，并且将企业和组织的内容安全策略进行优化和整合。

4. 安全网关产品的传统的部署模式1 透明模式 性能瓶颈 Anti-virus E-Mail Filter URL Filtering 扩展性差 不能通过增加设备来增加吞吐量 防病毒网关的性能问题 单点故障

5. 安全网关产品的传统的部署模式2 代理模式 • 用户必须设置代理 • 如果有多个代理怎么办？？？ Anti-virus E-Mail Filter URL Filtering

6. Firewall Anti-Spam cache URL Filter Anti-Virus LAN CID基于交换的安全架构解决方案 IDS IDS Firewall Anti-Spam Anti-Virus URL Filter cache

7. 提升整体安全系统的可用性 Anti-Virus Farms CID URL Filtering Farms Anti-Spam Farms 1，负载均衡级别可用性：通过对安全设备例行的健康检查，实时发现故障设备，实时屏蔽，对用户透明 2，系统级可用性：同一类型的所有设备全部故障，自动旁路 3，CID自身可用性：通过VRRP实现两台CID设备冗余，设备切换速度快，会话不中断

8. 可信、不可信数据的预区分 500% 检测提速 直通 Anti-Virus Farms 文件类型: image rm avi mp3 CID Anti-Spam Farms URL Filtering Farms

9. 可信数据 可信数据 判定点 判定点 CID – 可信数据 防病毒网关 防火墙 CID 内部网

10. 不可信数据 判定点 CID – 不可信数据 防病毒网关 HTTP HTTP/FTP FTP 邮件 防火墙 CID

11. 灵活的用户的策略管理－实例 邮件过滤 URL过滤 AV 教师 学生

12. 灵活的用户的策略管理－实例 邮件过滤 URL过滤 AV 教师 学生

13. Flow 管理 Policy A User 1 Anti-Virus Farms CID Policy B User 2 Anti-Spam Farms URL Filtering Farms

14. 无缝的第三方安全设备集成 透明布署任何内容过滤工具 - 一站式体系的厂家无关性 - 完全定制的内容检查服务 - 无缝扩展新的安全设备而不用担心设备之间的兼容性 Radware Content Security Partners

15. CID 的增值功能

16. 带宽管理 Prioritization of all traffic & bandwidth control ensures performance & QoSfor mission critical applications Citrix Priority1 Priority 2 CRM/ERP eMail Priority 3 Priority 4 Traffic Classifier Kaaza Priority 5

17. 安全防护 • 防DOS/DDOS/SYN攻击 • Delay binding • Syn cookie • 攻击特征匹配 • 入侵防护 • 病毒 • 蠕虫 • 特洛伊木马 • 反扫描和协议异常

18. CID 与IWSA配合的 配置步骤

19. 测试例网络拓扑

20. CID配置步骤 • 创建一个regular IP VLAN，加入多个端口。 • 为上述VLAN配置一个IP • 配置缺省网关和回执路由 • 配置IWSA Farm • 配置IWSA Farm 所包含的server （IWSA） • 配置 缺省网关 FW Farm • 配置FW Farm 所包含的server （防火墙） • 配置内网网络对象，和QQ server网络对象 • 配置policy 1， port＝80 命中 IWSA Farm • 配置policy 2， 目的IP＝QQ server组 命中 FW Farm

21. 其他设备相关配置 • 1，IWSA 网关指向 CID • 2，所有内网用户网关指向防火墙

22. OICQ问题以及解决办法 • 故障现象： • 部分OICQ客户无法登陆 • 故障原因： • QQ用户登录时首先使用UDP8000访问服务器登录，如果失败，继续使用HTTP80 进行访问，由于内容完全加密，服务器回应的数据包会被IWSA阻断，导致登录失败。 • 解决方案 • 统计所有QQ server地址，制定policy，命中QQ server地址的都旁路IWSA

23. 某些网站无法登录的问题及解决办法 • 故障现象： • 点击登录后报告登录成功，但却返回了网站首页，仍然显示非登录状态 • 故障原因： • CID基于最少会话数来分发会话到不同的IWSA，由于登录会话和登录后会话分配到不同的IWSA，导致业务失败 • 解决方案 • 修改CID的负载均衡算法为基于目的IP的HASH算法，保证访问同一个站点的所有会话都导向同一个IWSA。

24. CID 与内容安全设备配合的两种网络拓扑

25. 内容过滤设备工作在代理方式 内容过滤设备1 内容过滤设备2

26. 内容过滤设备工作在“透明”方式 内容过滤设备1 内容过滤设备2

27. CID 案例分析

28. ××银行测试案例

29. ××运营商Cache负载均衡 Web Server1 Mailserver1 Internet Bluecoat 1 • 问题： • 2 bluecoat 部署在 DMZ区 • 客户端必须手动设置proxy Active WSD Nokia Cluster Cisco 6509-1 Backup-WSD Bluecoat 2 Cisco 6509-2 Web Server2 Mailserver2 DMZ Clients Access HTTP With Proxy Intranet

30. ××运营商Cache负载均衡 Web Server1 Mailserver1 Internet Active WSD Nokia FW Cluster Backup-WSD Bluecoat 1 Bluecoat 2 Web Server2 Mailserver2 Cisco 6509-2 Cisco 6509-1 DMZ Radware CID-1 Radware CID-2 Clients Gw：NOKIA FW Intranet

31. ×× 邮件系统 • CID通过单臂方式连接6509. • CID提取所有的SMTP流量到Spam server farm. • WSD完成邮件服务器的负载均衡

32. ××钢铁制造企业

33. 运营商增值服务解决方案 Proxy (ISP)/ Radius 方案的关键点： Radware CID产品串联在ADSL或者专线用户的internet链路上， 通过识别ADSL或者专线用户IP，然后CID把对应IP的所有数据包按照既定的FLOW策略，导向到不同的安全或者加速设备上处理，处理完毕，再交由CID发往internet 增值服务平台 增值服务平台 加速 防病毒 加速 防病毒 IPS IPS 防火墙 防火墙 Radware CID Radware CID Radius Client (BRAS) Radius Client (BRAS) DSL 宽带接入 DSL