Radware

Contact Us | How To Buy
You are here: Продукты Сетевая Безопасность DefensePro

Абсолютный иммунитет - DefensePro™

Система объединяет в одном решении и классический IPS и автоматическую защиту от DDoS атак, работающую без вмешательства оператора при отражении атаки. Отличительными особенностями являются высочайшая производительность (атака может достигать 10,000,000 пакетов в секунду и автоматически отбивается в течение 18 сек!) и отсутствие ущерба работе легитимных пользователей.

Решение компании Radware для защиты от DDoS-атак DefensePro представлено тремя линейками:

DefensePro IPS & Behavioaral Protection Models

DefensePro x02

DefensePro OnDemand Switch 3S2 Models

  • DefensePro 8412 (up to 8Gbps)
  • DefensePro 4412 (up to 4Gbps)
DefensePro x02

DefensePro OnDemand Switch 2S Models

  • DefensePro 3016 (up to 3Gbps)
  • DefensePro 2016 (up to 2Gbps)
  • DefensePro 1016 (up to 1Gbps)

DefensePro Behavioral Protection Models

DefensePro x02 DefensePro OnDemand Switch 3S1 Models
  • DefensePro 12412 Behavioral Protection (up to 12Gbps plus)
  • DefensePro 8412 Behavioral Protection (up to 8Gbps)
  • DefensePro 4412 Behavioral Protection (up to 4Gbps)

 

DefensePro включается в разрыв Ethernet-соединения, работает в режиме «in-line», невидим для сетевого оборудования (Transparent L2 Forwarding) и контролирует весь трафик с целью предотвращения DDoS-атак. В такой схеме DefensePro сможет анализировать и сопоставлять весь входящий и весь исходящий трафик по всем Интернет-каналам одновременно, выявлять и предотвращать сканирования, проникновения «сетевых червей» и работу «ботов», уклоняться от DDoS-атак.

Immunity diagram

DefensePro – это специализированная мульти-процессорная платформа, с 6..10 Гбайт оперативной памяти, со встроенными высокопроизводительными сетевыми процессорами компании EZChip Technologies, со специализированными ASIC и FPGA для аппаратного ускорения обработки сетевого трафика.

DefensePro со встроенным IPS содержит также высоко-производительный контекстный процессор NETL7TM компании Netlogic Microsystems для аппаратного ускорения сигнатурного анализа сетевых пакетов.

Обработка сетевого трафика осуществляется поэтапно с использованием различных механизмов защиты. При этом суммарное время задержки сетевого пакета для всех линеек DefensePro не превышает 60 микросекунд.


 

 

 

В DefensePro реализованы следующие механизмы защиты:

  • Behavioral DDoS Protection
  • TCP SYN Flood Protection
  • Connection Limit
  • HTTP Mitigator
  • Behavioral Server-Cracking Protection
  • Bandwidth Management
  • Signature Protection
  • Stateful Inspection
  • Anti-Scanning Protection
  • Stateful Firewall (ACL)


Одно из достоинств DefensePro – это возможность увеличения производительности по мере необходимости. Например, на начальном этапе организация приобретает DefensePro 1016 с производительностью 1Gbps при минимальном бюджете. В дальнейшем при росте нагрузки может увеличить производительность DefensePro до 2Gbps или 3Gbps простой докупкой лицензии. Для модели с начальной производительностью 4Gbps, производительность может быть наращена лицензиями до 12Gbps, без замены оборудования, остановки услуги и без какой-либо переконфигурации устройства.

Ниже представлена таблица с характеристиками всех моделей DefensePro:
Таблица 1

Features DefensePro x016
IPS & Behavioral Protection		 DefensePro x412
IPS & Behavioral Protection		 DefensePro x412
Behavioral Protection
1016 2016 3016 4412 8412 4412 8412 12412
Throughput 1 Gbps 2 Gbps 3 Gbps 4 Gbps 8 Gbps 4 Gbps 8 Gbps 12 Gbps
Max Concurrent Sessions 2,000,000 3,300,000 4,000,000
Maximum DDoS Flood Attack Prevention Rate (PPS) 1,000,000 10,000,000 10,000,000
Latency < 60 Micro Seconds < 60 Micro Seconds < 60 Micro Seconds
Inspection Ports
10/100/1000 Copper Ethernet 12 8 8
GE (SFP) 4 4 4
10GE (XFP) - 4 4
Management Ports
10/100/1000 Copper Ethernet 2 2 2
RS-232 1 1 1
Mode of Operation
Network Operation Transparent L2 Forwarding
Tunneling Protocols Support VLAN Tagging, L2TP, MPLS, GRE, GTP
Physical
Dual Power Supply Optional Yes Yes
Safety Certifications EN, UL, CSA, IEC #60950-1
Other Certifications CE, FCC, VCCI, CB, TUV, UL/cUL, CCC, C-Tick, RoHS

О механизмах защиты

  • Behavioral DDoS Protection

Самый действенный механизм защиты от DDoS-атак. В основе поведенческой защиты – глубокая инспекция пакетов вплоть до 7-го уровня (Deep Packet Inspection), накопление и анализ статистики, обучение и адаптивное построение многомерной модели распределения трафика для штатных условий работы защищаемых сетей и сетевых сервисов, выявление DDoS-атак на основе отклонений и аномалий, блокирование нелегитимного трафика методом динамической фильтрации сетевых пакетов с автоматической генерацией сигнатур DDoS-атаки в реальном времени (модуль Fuzzy Logic). При этом, уровень блокирования легитимных обращений крайне низок.

анализ статистикиМеханизм поведенческой защиты имеет большое количество настраиваемых параметров, поддерживает периоды обучение в течение дня, недели и месяца, позволяет создавать отдельные политики для каждой защищаемой сети и для каждого сетевого сервиса. При обнаружении признаков DDoS-атаки время на принятие решения, построение динамических фильтров и генерацию сигнатур DDoS-атаки составляет 12 секунд. В процессе подавления DDoS-атаки механизм поведенческой защиты отслеживает количественные и качественные параметры трафика и при снижении сетевой активности ниже критических порогов снимает динамические фильтры и деактивирует сигнатуры. Если же применение построенных динамических фильтров и сгенерированных сигнатур не привело к снижению нелегитимного трафика ниже пороговых значений, то DefensePro осуществляет анализ дополнительных параметров трафика с последующим ужесточением фильтрации и перегенерацией сигнатур. Одно из важных преимуществ механизма поведенческой защиты DefensePro – противодействие атакам «нулевой минуты», для которых еще не созданы статические сигнатуры и не может быть применен IPS.

  • TCP SYN Flood Protection

Высокопроизводительный – 1 Mpps и 10 Mpps для платформ ODS2 и ODS3 соответственно – механизм защиты от SYN-атак с подменой IP-адреса отправителя (спуфинг). В основе – механизм SYN Cookies, поддерживаемый сетевыми процессорами.

  • Signature Protection

Классический IPS с аппаратной поддержкой статических сигнатур, разработанных и постоянно обновляемых компанией Radware, а также сигнатур пользователя. Присутствует в двух основных линейках DefensePro. Высокопроизводительный аппаратный IPS является оптимальным методом противодействия известным уязвимостям в ПО и DDoS-атакам, реализуемым на базе широко распространенных утилит и конструкторов. Использование DefensePro со встроенным IPS позволит компании исключить риски проникновения «сетевых червей», детектировать работу «ботов» на компьютерах сотрудников, защитить сетевые сервисы от атак на выявленные, но еще не закрытые уязвимости в ПО, противодействовать типовым DDoS-атакам.

  • Stateful Inspection

Данный механизм проверяет протоколы TCP, ICMP, DNS, HTTPS, SMTP, IMAP, POP3, FTP и SSH на полное соответствие спецификациям RFC. Механизм предотвращает атаки, основанные на нарушении последовательностей пакетов указанных протоколов.

  • Bandwidth Management

Данный механизм позволяет для заданного протокола, защищаемой сети или сетевого сервиса выделить минимально гарантированную полосу пропускания и, при необходимости, ограничить полосу максимально допустимым значением. DefensePro содержит гибкие механизмы онлайнового мониторинга трафика, оперативного информирования об инцидентах, построения развернутых отчетов.