构建网络的多层立体防御措施

核心提示：目前网络安全面临的挑战主要集中在应用层随着针对网络应用层的病毒、黑客以及漏洞攻击的不断爆发，解决的办法也应该是从应用层着手，构建网络的多层立体防御措施，传统的防火墙、防病毒网关都是基于2～3层网络设计的，存在着巨大的安全漏洞及隐患，据悉，很多运营商40%-50%的流量都被BT下载等应用“吃”掉，

目前网络安全面临的挑战主要集中在应用层

随着针对网络应用层的病毒、黑客以及漏洞攻击的不断爆发，解决的办法也应该是从应用层着手。传统的防火墙、防病毒网关都是基于2～3层网络设计的，存在着巨大的安全漏洞及隐患。为了解决这些隐患，目前很多厂商开始针对应用层开发安全产品。

专注于网络应用层业务的Radware公司近年来开始从传统的负载均衡服务解决方案向网络应用层安全方案拓展。近日，在广西北海举行的Radware大中华区合作伙伴会议上，记者就注意到Radware的名片上全都印上了“反恐专家”的标志。Radware全球副总裁应文华对此表示，黑客最早的攻击是为了满足自己的虚荣心，而现在的黑客正向网络黑帮组织的行为发展，因此公司在去年就重点提出了网络也需要反恐的理念，所谓反恐就是反攻击。因此，Radware公司的解决方案除了基础的服务器群、高速缓存服务器、防火墙以及链路的负载均衡方案外，还重点提供防入侵和DOS攻击的IPS等网络应用层安全方案。

做防火墙不能做的

应文华强调，要想实现完全的安全只有一层的安全措施是不可能做到的，必须有多层立体防御的安全意识。采用应用层安全手段的好处有三点：首先它能够以千兆速度来处理威胁、攻击，也就是说它比普通的防火墙路径检测的速度要快得多；其二是它能够监测应用层。防火墙靠路径检测不能够阻止病毒攻击，因为防火墙不能检测应用层。而应用交换可以针对应用层检测，就能阻止针对应用的攻击；三是能够以较快的速度来扫描整个网络或者是好几个网络，或者是网络的所有网源。病毒总是遍布整个网络的，防住某几个点的意义并不大，必须使病毒在全网络都无处藏身，才能阻止病毒的威胁。

Radware在应用层安全的做法是推出了能够加载在全线智能应用交换产品中的SynApps应用安全控制模块。该模块通过对数据包进行应用层级别的深入分析，按照特征数据进行匹配跟踪，并可以通过终止所跟踪的可疑会话来实时检测和阻止25大类1500多种病毒攻击对网络的入侵。而且，Radware目前还在4～7层智能应用交换技术的基础上研发了能够为各类防火墙、防病毒网关提供智能化流量控制及完整内容防护的入侵防护（IPS）网络安全产品DefensePro，这使得Radware在4～7层上的产品线更为丰富。

IPS不再延迟

对网络流量进行深层控制和防御的IPS将消耗更多的系统资源，不可避免地容易成为网关部分的瓶颈。Radware在主导网络应用层方面就采用了独特的硬件架构。据悉，Radware的应用软件不是在普通的CPU上运行的，而实际上直接在Radware独特的硬件上使用，即将推出10G流量的IPS设备。这样，其DefensePro IPS系列可以与传统防火墙等产品共同搭建一个从二 层到七层的全方位、智能化的网络安全防护体系。 此外，DefensePro的特点还具备独特的带宽管理机制。据悉，很多运营商40%-50%的流量都被BT下载等应用“吃”掉，而基于应用层的带宽管理控制可以有效解决这一问题。

应文华：完全的安全必须有多层立体防御的安全意识