Системы безопасности/ вторжений/защиты от DDoS атак/коммутации и виртуализации прикладного уровня → Radware →

DefensePro, Bandwidth Management, IPS

Награжденный множественными призами Radware DefensePro - система предотвращения вторжения в реальном времени (IPS) и устройство защиты от DoS, которое поддерживает непрерывность вашего бизнеса, защищая инфраструктуру и приложения от существующих угроз, которые не могут быть обнаружены традиционной системой IPS, таких как: неправильное использование сетевых и прикладных ресурсов, распространение malware, взломы и информационное воровство. IPS DefensePro предоставляет полную защиту от традиционных, основанных на уязвимости, атак с превентивным обновлением сигнатур, таких как: «червей», Trojans, ботов, атаки основанные на SSL и атаки VoIP. В отличие от рыночных альтернатив, которые полагаются только на статические сигнатуры, DefensePro обеспечивает уникальный метод на основе поведенческого анализа с помощью таких механизмов как Bandwidth Management, Stateful Inspection и других, и автоматически генерирует сигнатуры в реальном времени, чтобы предотвращать атаки не основанные на уязвимостях приложений. Эти атаки включают: сетевые и прикладные флуды (Flood), HTTP floods, распространение malware, взломы Веб-приложений, атаки «brute force», взломы, и др. IPS DefensePro делает все это, не блокируя трафик законных (легитимных) пользователей и без потребности вмешательства оператора.

Абсолютный иммунитет - DefensePro

Система DefensePro объединяет в одном решении и классический IPS и автоматическую защиту от DDoS атак, работающую без вмешательства оператора при отражении атаки. Отличительными особенностями являются высочайшая производительность (DDoS атака может достигать 10,000,000 пакетов в секунду и автоматически отбивается в течение 18 сек!) и отсутствие ущерба работе легитимных пользователей.

Решение компании Radware для защиты от DDoS-атак DefensePro представлено тремя линейками:

DefensePro IPS & Behavioaral Protection Models

         DefensePro OnDemand Switch 3S2 Models

•  DefensePro 8412 (up to 8Gbps)
•  DefensePro 4412 (up to 4Gbps

         DefensePro OnDemand Switch 2S Models

•   DefensePro 3016 (up to 3Gbps)
•   DefensePro 2016 (up to 2Gbps)
•   DefensePro 1016 (up to 1Gbps)

DefensePro Behavioral Protection Models 

          DefensePro OnDemand Switch 3S1 Models

•    DefensePro 12412 Behavioral Protection (up to 12 Gbps  plus)
•    DefensePro 8412 Behavioral Protection (up to 8Gbps)
•    DefensePro 4412 Behavioral Protection (up to 4Gbps)

DefensePro включается в разрыв Ethernet-соединения, работает в режиме «in-line», невидим для сетевого оборудования (Transparent L2 Forwarding) и контролирует весь трафик с целью предотвращения DDoS-атак. В такой схеме DefensePro сможет анализировать и сопоставлять весь входящий и весь исходящий трафик по всем Интернет-каналам одновременно, выявлять и предотвращать сканирования, проникновения «сетевых червей» и работу «ботов», уклоняться от DDoS-атак.

DefensePro – это специализированная мульти-процессорная платформа, с 6..10 Гбайт оперативной памяти, со встроенными высокопроизводительными сетевыми процессорами компании EZChip Technologies, со специализированными ASIC и FPGA для аппаратного ускорения обработки сетевого трафика.

DefensePro со встроенным IPS содержит также высоко-производительный контекстный процессор NETL7TM компании Netlogic Microsystems для аппаратного ускорения сигнатурного анализа сетевых пакетов. Обработка сетевого трафика осуществляется поэтапно с использованием различных механизмов защиты. При этом суммарное время задержки сетевого пакета для всех линеек DefensePro не превышает 60 микросекунд.

В DefensePro реализованы следующие механизмы защиты:

• Behavioral DDoS Protection
• TCP SYN Flood Protection
• Connection Limit
• HTTP Mitigator
• Behavioral Server-Cracking Protection
• Bandwidth Management
• Signature Protection
• Stateful Inspection
• Anti-Scanning Protection
• Stateful Firewall (ACL)

Одно из достоинств DefensePro – это возможность увеличения производительности по мере необходимости. Например, на начальном этапе организация приобретает DefensePro 1016 с производительностью 1Gbps при минимальном бюджете. В дальнейшем при росте нагрузки может увеличить производительность DefensePro до 2Gbps или 3Gbps простой докупкой лицензии. Для модели с начальной производительностью 4Gbps, производительность может быть наращена лицензиями до 12Gbps, без замены оборудования, остановки услуги и без какой-либо переконфигурации устройства.

Ниже представлена таблица с характеристиками всех моделей DefensePro:
Таблица 1

О механизмах защиты

Behavioral DDoS Protection

Самый действенный механизм защиты от DDoS-атак. В основе поведенческой защиты – глубокая инспекция пакетов вплоть до 7-го уровня (Deep Packet Inspection), накопление и анализ статистики, обучение и адаптивное построение многомерной модели распределения трафика для штатных условий работы защищаемых сетей и сетевых сервисов, выявление DDoS-атак на основе отклонений и аномалий, блокирование нелегитимного трафика методом динамической фильтрации сетевых пакетов с автоматической генерацией сигнатур DDoS-атаки в реальном времени (модуль Fuzzy Logic). При этом, уровень блокирования легитимных обращений крайне низок.

 Механизм поведенческой защиты имеет большое количество настраиваемых параметров, поддерживает периоды обучение в течение дня, недели и месяца, позволяет создавать отдельные политики для каждой защищаемой сети и для каждого сетевого сервиса. При обнаружении признаков DDoS-атаки время на принятие решения, построение динамических фильтров и генерацию сигнатур DDoS-атаки составляет 12 секунд. В процессе подавления DDoS-атаки механизм поведенческой защиты отслеживает количественные и ачественные параметры трафика и при снижении сетевой активности ниже критических порогов снимает динамические фильтры и деактивирует сигнатуры. Если же применение построенных динамических фильтров и сгенерированных сигнатур не привело к снижению нелегитимного трафика ниже пороговых значений, то DefensePro осуществляет анализ дополнительных параметров трафика с последующим ужесточением фильтрации и перегенерацией сигнатур. Одно из важных преимуществ механизма поведенческой защиты DefensePro – противодействие атакам «нулевой минуты», для которых еще не созданы статические сигнатуры и не может быть применен IPS.

TCP SYN Flood Protection

Высокопроизводительный – 1 Mpps и 10 Mpps для платформ ODS2 и ODS3 соответственно – механизм защиты от SYN-атак с подменой IP-адреса отправителя (спуфинг). В основе – механизм SYN Cookies, поддерживаемый сетевыми процессорами.

 Signature Protection

Классический IPS с аппаратной поддержкой статических сигнатур, разработанных и постоянно обновляемых компанией Radware, а также сигнатур пользователя. Присутствует в двух основных линейках DefensePro. Высокопроизводительный аппаратный IPS является оптимальным методом противодействия известным уязвимостям в ПО и DDoS-атакам, реализуемым на базе широко распространенных утилит и конструкторов. Использование DefensePro со встроенным IPS позволит компании исключить риски проникновения «сетевых червей», детектировать работу «ботов» на компьютерах сотрудников, защитить сетевые сервисы от атак на выявленные, но еще не закрытые уязвимости в ПО, противодействовать типовым DDoS-атакам.

Stateful Inspection

Данный механизм проверяет протоколы TCP, ICMP, DNS, HTTPS, SMTP, IMAP, POP3, FTP и SSH на полное соответствие спецификациям RFC. Механизм предотвращает атаки, основанные на нарушении последовательностей пакетов указанных протоколов.

Bandwidth Management

Данный механизм позволяет для заданного протокола, защищаемой сети или сетевого сервиса выделить минимально гарантированную полосу пропускания и, при необходимости, ограничить полосу максимально допустимым значением. DefensePro содержит гибкие механизмы онлайнового мониторинга трафика, оперативного информирования об инцидентах, построения развернутых отчетов.