radware ddos ssl security solution全方位防護網 - 首頁 · defensepro appwall protected...
TRANSCRIPT
May 15, 2017
Radware台灣區技術顧問
Radware DDoS & SSL Security Solution全方位防護網Vincent Huang
Radware公司簡介
關於Radware
3
應用可用性解決方案的市場領導者
年營收大於$200M
全球超過 10,000多個的企業和運營商客戶 眾多的全球技術合作夥伴
榮獲2016年最佳可管理安全服務大獎
DDoS攻擊威脅的演變
DDoS威脅和攻擊的全球發展趨勢
攻擊和威脅的第一動機是網
路勒索
歐洲及亞洲的狀態尤為嚴重
39% 的企業遭受過基於SSL的攻擊
相比於2015年增長了10%
企業重要服務的可用性和資料的安全性
這也是駭客的主要攻擊目標
IoT僵屍網路開啟了1Tbps攻擊的大
門
50%的企業感覺到了IoT帶來的攻擊
浪潮
5
贖金勒索是網路攻擊的頭號目的
49% 的被勒索者選擇了付錢了事
網路攻擊背後的動機 (2016)
41%
27% 26% 26% 24% 20% 21%11%
0%
20%
40%
60%
80%
100%
Q.8: 你認為企業之所以遭受攻擊是因為以下哪些原因?
小流量應用層DDoS攻擊為常見攻擊手法
82% 的攻擊流量低於 100Mbps(應用層攻擊)
DDoS 攻擊在歐洲和亞洲更加普遍
63%
19%10%
5% 3%0%
20%
40%
60%
80%
100%
10M or less 10M to 100M 100M to 1G 1G to 10G 10G & above
10Mbps or less, …
10Mbps to 100Mbps, 19%
100MGbps to 1Gbps,
10%
IoT 僵屍網路開啟了1Tbps攻擊的大門
2016 Oct -4th2016 Oct -21st
DDoS攻擊影響範圍廣泛
IPS/IDSInternet Pipe Firewall Load Balancer/ADC Server Under Attack SQL Server
INTERNET PIPE(Saturation)25%
FIREWALL23%
IPS/IDS7%
ALANCERLOAD B(ADC)
6%THE SERVERUNDER ATTACK
35%SQLSERVER
4%
Internet線路阻塞:風險指數高,但有所下降,從最高33%下降到25%
網路設備癱瘓:防火牆設備、ADC設備、IPS/IDS設備亦有被癱瘓風險
伺服器癱瘓:服務系統最重要的核心元件,亦為最常被攻擊的設備
Radware DDoS防護完整解決方案(AMS)
Radware安全解決方案元件
12
集中的管理和報表系統APSolute Vision
Web應用防火牆AppWall, 雲端WAF服務
DoS防護 行為分析 IPS WAFSSL加解密雲端 DDoS 防護
雲端 DDoS 防護服務Hybrid, Always-On, On-Demand
+2Tbps 緩解能力
資安攻擊緩解設備DefensePro
防護能力 200Mbps – 350Gbps
Radware應急回應團隊24x7 安全專家
ADC應用傳遞控制器Alteon
40Gbps SSL加解密效能
Radware完整DDoS解決方案
Internet 企業內部
13
Data Center
WAF
2Tbps
DefensePro Alteon ADC
Radware Cloud DDoS Protection Service
Alteon ADC
大流量DDoS攻擊塞滿Internet頻寬
DefensePro – DDoS攻擊緩解設備
DefensePro - 多功能的資安防護防護設備
15
DDoS protection Behavioral analysis IPS
多層次防護架構
Behavioral-based protections
DMEDDoS Mitigation Engine
(400Gbps)
L7 Regex Acceleration
ASICMulti Purpose Multi Cores CPU’s
& Reputation Engine
Hardware Architecture – Tailored for Attack Mitigation
16Radware Confidential
Radware獨有的行為分析技術
行為分析技術可避免對合法流量產生影響
進階行為分析
Radware
簡單速率分析
Non-Radware
0.0%
50.0%
100.0%
SYN SYN-ACK ACK Data RST FIN-ACK
TCP Flag Distribution Analysis
0.0%
50.0%
100.0%
SYN SYN-ACK ACK Data RST FIN-ACK
TCP Flag Distribution Analysis
流量行為分析機制
Rate Analysis
Flash Crowd
RST Flood Attack
Rate Analysis
18
透過攻擊特徵阻擋攻擊
基於複合式參數特徵碼的智慧資料流程攔截技術
解決了基於簡單來源IP位址攔截技術的眾多問題
(如:無法阻擋假造來源IP or 誤攔合法使用者等)
Non-Radware
封鎖來源 IP地址 X.X.X.X
Radware
透過攻擊特徵過濾攻擊流量
19
對合法與非法來源限流
自動化即時特徵碼生成技術
即時特徵碼生成
Radware
18 秒鐘
人工特徵碼配置
Non-Radware
30 分鐘
人工撰寫特徵碼只少需要 30 分鐘的時間.Radware的即時特徵碼生成時間最多只要18秒鐘的時間.
20
160Gbps處理能力
合法流量+ 攻擊流量
最大 160Gbps的處理能力
合法流量
使用專用硬體對攻擊進行處理
400Gbps攻擊流量
1MPPS2MPPS
160Gbps攻擊流量
設備處理攻擊時會消耗處理合法流量的能
力
對攻擊的處理不會影響合法流量的處理性
能
Non-Radware Radware
21
DefensePro各級平台
x412 Series Enterprise Platform
x06 Series Branch / Small
Enterprise Platform
x420 Series Managed Service
Platform
Inspection Ports: 4x Copper, 2x1GBW: 200M-2GMitigation BW: 3GSize: 1U
Inspection Ports: 8x Copper, 4x1G, 4x10G BW: 2G-12GMitigation BW: 14GSize: 2U
Inspection Ports: 20x10G, 4x40GBW: 10G-40GMitigation BW: 60GSize: 2U
x4420 Series Cloud & Carrier Platform
Inspection Ports: 20x10G, 4x40G, 4x100GBW: 50G-160GMitigation BW: 350GSize: 2U
22
Radware SSL安全解決方案
外對內SSL DDoS攻擊解決方案
Cloud Enterprise Data Center
DefenseProProtected ServerR1
24
SSL Suspicious Traffic
Encrypted Traffic
Decrypted traffic
HTTP Challenge to ClientHTTP Response from Client
Client Authenticated
RedirectTraffic from authenticated Client Traffic sent encrypted to the server
Alteon
內對外SSL流量檢查解決方案(1/2)
WAN Perimeter LAN
Security Appliances (i.e. APT)
Client facing SSL handshake(server emulation)
Server facing SSL handshake(client emulation)
Alteon
內對外SSL流量檢查解決方案(2/2)
WAN Perimeter LAN
APT
IDS
Anti-Malware
Per application with specific SSL inspection policy
Alteon
Radware雲端DDoS清洗服務
Radware全球雲端安全網路
通過Anycast路由技術於源頭攔截攻擊流量
超過2Tbps 的全球攻擊緩解能力
Radware 雲端DDoS清洗中心
Radware 雲端WAF服務中心
通過專門的清洗中心分離攻擊流量和乾淨流量
28
Radware雲端DDoS防護服務方案
Hybrid Cloud
Always-on Cloud
29
On-Demand Cloud雲端DDoS防護服務
Radware雲端DDoS防護服務方案
Hybrid Cloud
Always-on Cloud
30
On-Demand Cloud雲端DDoS防護服務
Hybrid雲端DDoS防護方案
Protected OrganizationRadware Cloud DDoS Protection service
ERT團隊與客戶確認將流量導向至雲端清洗中心
Defense Messaging
同步必要的攻擊資訊到雲端上
31
本地端設備即可將攻擊阻擋下來
AppWallDefensePro Protected OnlineServices
Internet
大流量DDoS攻擊阻塞Internet頻寬
DefensePros
同步必要的攻擊資訊到雲端上
Hybrid雲端DDoS防護方案
Protected OrganizationRadware Cloud DDoS Protection Service
Internet
Clean traffic
32
Defense Messaging
ERT團隊與客戶確認將流量導向至雲
端清洗中心DefensePros
AppWallDefensePro Protected OnlineServices
Radware雲端DDoS防護服務方案
Hybrid Cloud
Always-on Cloud
33
On-Demand Cloud雲端DDoS防護服務
Always-On雲端DDoS防護方案
34
Protected OrganizationRadware Cloud DDoS Protection service
Internet
Clean traffic
平時即將所有的流量導向至雲端清洗中心,透過清洗中心處理所有的
DDoS攻擊流量
DefensePro
沒有本地端設備
DefensePros
Protected OnlineServices
AppWall
Radware雲端DDoS防護服務方案
Hybrid Cloud
Always-on Cloud
35
On-Demand Cloud雲端DDoS防護服務
Protected OrganizationRadware Cloud DDoS Protection service
36
Internet
DDoS攻擊發生
On-Demand雲端DDoS防護方案
DefensePros
Protected OnlineServices
AppWall
平時透過NetFlow流量資訊進行監控
Protected OrganizationRadware Cloud DDoS Protection service
Internet
Clean traffic
37
ERT團隊與客戶確認將流量導向至雲端
清洗中心
On-Demand雲端DDoS防護方案
DefensePros
Protected OnlineServices
AppWall
Radware雲端DDoS防護服務方案比較
Hybrid Cloud
Always-on Cloud
38
On-Demand Cloud
7/24 DDoS Protection
Minimal induced latency in peacetime
Unlimited # of attacks and duration
ERT Standard or Premium (managed service)
7/24 Always On Cloud Protection
Additional latency and cost for always routed traffic
Unlimited # of attacks and duration
ERT Premium service level
Lowest cost; Simplest deployment
Detection based on link utilization thresholds or flow stats
Limitation on annual number of diversions
ERT Standard service only
For organizations that can deploy CPE in their data center
For organizations that have apps on public cloud or cannot deploy CPE in their data center
For organizations that that are less sensitive to real-time detection of application-level and SSL-based DDoS attacks
總結
Radware獨家行為分析技術
自動化特徵碼防護機制
完整的SSL攻擊解決方案
多層次DDoS防護機制
Radware DDoS防護完整解決方案
