Radware:如何实现CDN内容发布网系统安全

    CDN网络系统安全作为一个成熟的CDN系统，必须考虑到系统安全的各个方面，确保CDN系统可以防止网络中的攻击对CDN的应用系统造成的影响，尤其是应该重点防止占用网络带宽很大的Nimda、CodeRed、以及DOS/DDOS攻击，从而保证后台应用系统的正常运行。

    CDN的系统安全需求分析

    CDN系统在给用户提供高品质服务的同时，他自己本身也不得不面临Internet中的种种安全问题。同时，CDN还有一些它特殊的安全需要。CDN 的安全方面的主要需求有：

    1. 对服务器的保护

    服务器遭受到攻击并最终导致宕机后，可能会导致服务的停止。服务器通常会受到一些种类的攻击：

    l 拒绝服务攻击(DoS)

    l 分布式拒绝服务攻击(DDoS)

    l 缓冲区溢出(BOF)

    l 探测和对弱点攻击

    l 错误配置

    l 缺省安装

    l 后门– Trojans 等

    2. 病毒防治

    同样，CDN中的服务器也面临着病毒侵扰的问题，尤其是含Nimda、红色代码等病毒的流量大量存在与Internet中，不但会干扰服务器的运行，还占据了宝贵的带宽。

    综上，为了保证CDN系统的稳定有效的运行，必须采取上当的措施或解决方案，来保护服务器不受攻击，消除病毒流量。

    3. 网络的安全防护

    目前，在互联网上存在着各种各样的恶意攻击，如：DDOS、SYN等。他们不但对在互联网上的数据包进行抓取、分析、破解，同时他们还采用恶意抢占带宽的方式，耗尽带宽，使专业的互联网设备因为承受不了沉重的数据请求而被迫退出服务，而对ISP供应商们的服务承诺更无从谈起。因此，对于网络安全方面的隐患也必须考虑

    RadwareCDN网络安全方案

    对于各种各样的网络攻击方式，CDN网络在部署的时候对于一些攻击就已经产生了有效的防御。如在四层交换设备中使用VIP制度实现的NAT地址转换，有效地防止了外部未经授权的客户端访问到内部数据，同时由于使用了缓存技术，在CDN 中，经常性的数据访问被推到网络边缘，因此客户的数据访问经常是由本地的边缘缓存提供，而不是由原服务器的提供，因此，CDN 在技术上对于未经授权的恶意攻击产生了有效的二次阻隔，更有利于CDN 网络的高效运行。

    同时，CDN设备除了必要的端口外，关闭了所有不必要的端口，而且其专业的OS系统均配备的高级的过滤及防范机制，有效的阻止了恶意攻击。而且，CDN网络本身自有的负载均衡的能力对大量的恶性攻击也起到了有效的抵抗作用。对于一些的传统入侵手段以及病毒攻击，同时，建议在CDN 中所应用的Radware WSD 设备上安装SynApps License，由该设备完成攻击的防护，消除Nimda、红色代码等病毒流量。应用安全模块可以保护web 服务器免受1000 多个攻击信号的攻击。此模块的设计使它可以作为服务器、防火墙、cache 服务器或者路由器前面的另一道防线。它提供了基于网络的安全性，并使用了网络信息和基于信息的应用。通过终止所跟踪的可疑会话来实时检测和阻止攻击。

    Radware可实现的防护

    1. 抵抗常规的攻击

    CDN本身具有很强的抗攻击能力，它不但可以为网络中的服务器提供负载均衡功能，还提供了以下防攻击手段来保护网络中的服务器：

    l通过对无效连接的管理来防止使用没有开放的服务进行攻击；

    l实现源路由的跟踪，防止IP欺骗

    l不用Ack缓冲应答未确认的SYN，防止SYN风暴；

    l防止连续和接管的攻击；

    l不运行SMTPd，FTPd，Telnetd等易受到攻击的进程；

    l具有较高的安全性；

    由于以上这些固有的安全特性及抗攻击能力，大大提高网络的安全性。

    2. 攻击防护

    通过对WSD设备的简单设置，即可完成多种攻击防护。

    如后门防护：

    只要在复选框中选择BackdoorTrojanProtection即可。

    3. 病毒流量消除

    通过SynApps种的带宽管理策略设置，即可完全屏蔽Nimda病毒。过程简单描述如下：

    设置新的Service，名称为Nimda。该Service检测HTTP数据包中是否含有Nimda病毒的特征码：cmd.exe。

    设置规则屏蔽病毒。

    次序源目标方向操作优先级带宽限制服务

    1AnyAnyTwoWayBlockRealtime0Nimda

    该规则即可双向防止Nimda病毒的传播。

    Radware应用安全（SynApps）实现原理简介

    SynApps架构的应用安全模块分为5个部分：

    1. 检测引擎（分类器）：负责对网络流量（目前为IP 流量）进行分类，并将其与设备上安装的安全策略进行匹配。然后由Response Engine（响应引擎）执行操作。

    2. 跟踪模块：不是所有的攻击都是由具有特定模式或者信息的数据包来启动的。一些攻击是由一系列数据包产生的，这些共同存在的数据包才会导致攻击发生。

    因此，SynApps使用基于5个独立组件的历史机制，以不同的方式来识别每一个组件：

    l 通过源IP 识别

    l 通过目标IP 识别

    l 通过源和目标IP 识别

    l 通过过滤器类型识别

    3. TCP 检查系统：始终跟踪每个TCP 会话（源和目标IP 以及源和目标端口）并被用来识别TCP 端口扫描。

    4. 响应引擎：根据策略产生的规则结果执行相应的操作。这些操作类型包括：

    l 丢弃数据包(Drop, Reject)

    l 转发数据包(Forward)

    l 发送重置（丢弃数据包并向发送者发送Reset（重置））

    l 发送RST/ACK 和RST（如果检测到端口扫描，它会向目标发送RST/ACK 数据包以及向源发送者发送RST）以“愚弄”扫描器

    l SNMP Trap（用于Report Module）

    l Syslog 操作（日志机制– 通过SNMP）

    5. 报告模块：通过SNMP traps、syslog 消息和设备的统计表生成报告和警报。

    设备发送（或者保留在其表中）的消息包含下列内容之一：

    l 攻击开始信息（开始日期或时间、攻击名称、源地址、目标地址）

    l 攻击结束信息（结束日期或时间、攻击名称、源地址、目标地址）

    l 发生的攻击信息（攻击发生的日期或时间、攻击名称、源地址、目标地址）