运营商网络环境中的SIP应用实现.docx

运营商网络环境中的SIP应用实现Radware 解决方案V1.0Radware China2007-7一、SIP应用背景和趋势3二、SIP 协议简介3三、Radware SIP应用解决方案51.Radware 公司简介52.应用前端解决方案63.应用安全解决方案7四、Radware技术简介81、 AppDirector-实现服务器负载均衡82、 DefensePro 实现入侵和DOS攻击的实时防范104.Radware SIP 支持15五、Radware解决方案在融合网络中的价值18六、总结18一、 SIP应用背景和趋势IP电话的采用由于下列原因飞速发展：IP交换机比传统交换机PBX便宜并且能提供更多的增值服务；VoIP技术克服了语音质量瓶颈；传统的PBX和相关的电信设备已经到了生命周期。因此对于希望从目前的宽带网络架构中得到最大价值的机构和宽带用户而言，VoIP就变得非常具有吸引力。在企业或者在家庭通过宽带网络利用包交换语音替换传统的电路交换的语音是一个市场趋势。VoIP对于企业的关键优势在于低费用、采用统一的网络架构、降低管理和维护成本，并且支持未来需要的各种功能。越来越多的电信和ISP寻求SIP （Session Initiation Protocol）作为未来融合网络的关键架构，并提供多样的服务选择满足客户变化的需求。这些服务包括：通过电子邮件发送语音邮件、短消息、presence、会议、主叫号码、呼叫转移等等。实现VOIP服务的推动力和相关协议之一就是SIP。在过去的几年，SIP赢得了美国主要的运营商比如Level 3、Qwest和MCI和主要的软件公司如Microsoft的关注。另外，SIP也被VOIP社区采用作为VOIP信令的协议选择。SIP越来越流行也使得VOIP系统的价格得以下降。根据多家分析机构的信息，2007年各厂商都将采用SIP协议来替换他们原有的私有协议。二、 SIP 协议简介SIP 是IETF标准，用于在两个或更多最终用户之间建立会话的信令协议。用户会话涉及多种媒体类型，包括语音、聊天、游戏、视频等。 SIP 提供两个主要功能：发现潜在的呼叫参与者，当他们从一个位置到另外一个位置移动的时候联系他们。SIP是用于建立会话的信令协议，而不是用于真实媒体传输的协议。 SIP 用户采用全球可达地址，采用类似邮件地址的格式，比如：037668610my-. 在SIP协议中有两个基本组件：SIP 用户代理和SIP网络服务器。用户代理是呼叫的最终用户设备，比如手机，多媒体手持设备，PC或者PDA等。SIP网络服务器是组成SIP网络架构的不同网络设备，并处理和各种呼叫有关的各种信令。 在SIP网络中有多种不同类型的逻辑SIP服务器。不同服务器类型可能运行在同一物理机器上，也可能分别运行在不同的机器上。下列是不同SIP服务器的类型： SIP Proxy Server: 中继呼叫信令。SIP 代理服务器接受SIP用户代理发送的会话请求，查询SIP注册服务器和SIP重定向服务器关于被叫端的IP地址和位置信息。如果会话接收人和发起人在同一域中，SIP代理直接转发会话邀请到接收方的用户代理，如果接收人在不同的域，SIP代理则转发给其他的代理服务器。 SIP代理服务器能工作在下列模式： Stateful mode 服务器在整个会话过程中保存呼叫信息。基于状态的服务器用于临近用户代理的本地设备。 Stateless mode 一旦请求和应答发送出去，服务器不再保存任何呼叫信息。无状态服务器用于SIP主干架构。 SIP Registrar: 接受来自用户的注册信息，维护位置服务器里用户的位置信息。 SIP Redirect Server: 转发SIP会话邀请到外部域。 其他SIP服务器提供比如计费，即时消息，在线等。运营商中SIP应用实现 图 1 SIP基本数据流: 属性：1、当一个用户连接到网络，终端设备上的SIP 用户代理向SIP注册服务器发送SIP注册请求； 2、当用户试图和其他用户建立呼叫，终端设备上的SIP 用户代理向SIP代理服务器发送SIP Invite请求。SIP 代理服务器利用重定向服务器发现被叫用户所在域的SIP代理服务器。被叫用户域的代理服务器通过位置服务器发现被叫用户当前采用的IP地址。终端设备之间通过SDP（会话描述协议）的提交/应答模型协商会话能力，比如视频、共享白板等。 3、当会话协商结束，终端设备之间的直接连接就建立起来，可以传输真实数据。 三、 Radware SIP应用解决方案1. Radware 公司简介Radware公司是RAD集团的成员之一，RAD集团目前拥有14个各自独立的公司，在网络及通讯产业领域提供不同的技术，服务不同的市场。Radware 公司于1999年在NASDAQ上市(RDWR)，目前，Radware公司的网络产品行销40多个国家，在全球拥有130家经销商，为广大用户提供了全面的产品和解决方案。Radware 一直致力于提供智能应用交换（IAS）技术，以保证IP网络应用在Internet/Intranet上的最佳运行和服务。Radware 将应用需求和网络设施紧密结合在一起，可无缝分配资源、优化应用系统的运行以及提高网络安全性，最终为用户提供高可靠性的、高性能的、高安全性的网络智能应用解决方案。作为网络智能应用交换（IAS）领域的佼佼者，Radware通过在47层网络交换领域和网络入侵防护（IPS）领域专注的技术研发，不断为市场提供功能强大、稳定高效的网络智能应用解决方案。Radware目前提供3大类网络智能应用解决方案：Radware应用前端连接解决方案；Radware应用安全解决方案；Radware应用访问解决方案；通过最优化的网络资源利用以及完善的安全防护体系架构为广大用户打造全方位、高效率的网络安全空间。Radware 解决方案借助屡获殊荣的产品来构架Radware网络智能应用解决方案用于满足政府、服务提供商以及电子商务机构的网络需求。这些产品包括：LinkProof（LP）、Linkproof-Branch（LPB）、Defense-pro（DP）、AppDirector(AD) 、AppXcel(AX) 、。Radware公司全面的产品组合可服务于端到端的应用业务，同时提供可靠和可扩展的网络流量保证。Radware 可让您对网络环境中从点击到内容的方方面面做到万无一失。Radware在智能应用交换（IAS）技术上一直处于领先地位，Radware的产品获得过众多的业界大奖，这些奖项包扩：PC Magazine Editor's ChoiceNetwork magazine's Product of the YearZD Internet Lab's Net BestSpring Internet World'98Los Angeles, Best of Show Network Computing magazine's Editor's Choice2. 应用前端解决方案对于所有依赖IP网络进行的应用实现，应用的性能和可靠性都是企业IP管理人员时时刻刻需要关注的要点。而对于那些通过IP网络为客户提供接入和服务的服务提供商，应用的可靠和可用性则更是他们生存的基础。为了提高网上交易、IP电话业务等公司核心业务系统的稳定性，性能、安全性，我们在这些关键业务之前部署我们业界屡获大奖应用负载均衡器AppDirector，通过其强大的健康检查功能实时检测业务的健康状态，将用户业务请求分发到最优的服务器实现业务处理。对于需要SSL加速或Web加速的系统可以通过Radware 专业的加速设备AppXcel进行应用加速。帮助整个系统实现完全的负载均担，期间，任何一台服务器出现故障，AD都会在第一时间发现并将用户的请求转发去其他健康的服务器，保证系统最大程度的稳定。所以服务器最大程度上发挥它们的资源效率，最大程度上保护投资，获取最大的回报率。3. 应用安全解决方案Internet和TCP/IP协议等开放系统的流行为网络应用的发展得到了长足发展，但是开放系统同时也带来了大量网络安全方面的问题。所有的企业和运营商在享受Internet带来的巨大商业机会的同时也时刻受到网络中各种潜在安全问题的威胁。Radware的安全解决方案能为我们的用户带来安全方面的保护。我们在关键应用网上应用系统前面部署Radware业界领先的IPSDefensePro(DP)，DP通过透明部署在客户的网络系统中，无需更改网络的路由以及拓扑配置，DP作为最新一代的IPS设备，不但集成了基于特征匹配的入侵，病毒，木马，扫描等传统方式的攻击，并内置了最为先进的基于网络行为模式分析的自适应Dos/DDos攻击防范手段能够自动学习检测网络攻击，无需人工干预智能的将包括未知攻击在内的所以拒绝服务攻击阻断下来。DP还集成了强大的带宽管理功能，对于所以访问关键业务的流量进行整形和带宽智能控制，最大程度上保证网络正常业务的安全。（如下图）四、 Radware技术简介1 、AppDirector-实现服务器负载均衡AppDirector具备先进的 4-7 层策略和粒状控制应用能力，实现对大范围金融网上应用(包括 VoIP、流媒体、Citrix、和安全的LDAP 应用等)的访问进行端到端的应用感知优化。全面集成的流量分级和数据流管理、健康检测和故障隔离、流量重定向、带宽管理、入侵防范和 DoS 防护，让您的网络更好地适应和响应动态应用和业务需要。健康状况检查AppDirector可靠的健康状况检查可以保证用户获得最佳的服务。AppDirector可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障，用户即被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息。为了确保服务正常运行，AppDirector监控从 Web 服务器、中间件服务器到后端数据库服务器的整个路径上工作状态，确保整个数据路径上的服务器都处于正常状态。如果存在一个故障服务器，AppDirector则不会将用户分配到这个发生故障路径的服务器，从而保证为用户提供透明的数据完整性保障。交易完整性的可靠保证为了保证用户在访问具有会话连续性业务时不会被负载均衡器分配到不同的服务器上，AppDirector在提供本地负载均衡的同时，还可以具备基于cookie,session ID,SIP,SSL ID,source IP等方式将用户的请求定位在相同的服务器上。完全的容错与冗余AppDirector的配置提供设备间的完全容错，以确保网络最大的可用性。两台AppDirector设备工作在冗余模式下，通过网络相互检查各自的工作状态，为其所管理的应用保障完全的网络可用性。它们可工作于“主用-备用”模式或“主用-主用”模式，在“主用-主用”模式下，因为两个设备都处于工作状态，从而最大限度地保护了投资。并且所有的信息都可在设备间进行镜像，从而提供透明的冗余和完全的容错，确保在任何时候用户都可以获得从点击到内容的最佳服务。通过正常退出服务保证稳定运行当需要进行服务器升级或系统维护时，AppDirector保证稳定的服务器退出服务以避免服务中断。当选定某台服务器要从服务器退出服务后，AppDirector将不会将任何新的用户分配到该服务器。但是，它可以要退出服务的服务器上完成对当前用户的服务。从而保证了无中断的优质服务，以及服务器组的简易管理能力。智能的服务器服务恢复将重新启动的服务器应用到服务中时，避免新服务器因突然出现的流量冲击导致系统故障是非常重要的。所以，在将新服务器引入服务器组时，AppDirector将逐渐地增加分配到该服务器的流量，直至达到其完全的处理能力。从而不仅保证用户在服务器退出服务时，同时还保证服务器在启动期间以及应用程序开始时，均能获得不间断服务。通过负载均衡优化服务器资源AppDirector执行复杂的负载均衡算法，在多个本地和远程服务器间动态分配负载。这些算法包括循环、最少用户数、最小流量、Native Windows NT 以及定制代理支持。除了这些算法，AppDirector还可以为每个服务器分配一个可以配置的性能加权，从而提高服务器组的性能。应用交换AppDirector根据 IP 地址、应用类型和内容类决定流量分配。这样，管理员就可以为不同类型的应用程序分配不同的服务器资源。应用交换支持不同协议上的各种应用，包括 TCP、UDP、IP、Telnet、Rshell、TFTP、流、被动 FTP、HTTP、e-mail、DNS、VOIP 等等。Radware 还为运行于动态端口并要求同步的应用设计了特殊支持功能。URL交换AppDirector完全支持 URL 交换，根据 URL 和 HTTP 信息分配流量。每个 URL 都可以重定向到某服务器，或在多个服务器之间进行负载均衡，从而提供优化的 Web 交换性能。根据 URL 文本中包含的信息，AppDirector可以保持客户持续性，从而保证内容的个性化。内容交换内容交换使管理员可以根据交易的内容来分配服务器资源。例如，CGI 脚本可以位于一个单独的服务器组，当发生对该内容的请求时，会话就被重定向到其中某个服务器。AppDirector的内容交换能力可以广泛支持 SSL ID 和 Session ID， 保持客户持续性，保证最佳流量管理和应用内容个性化。2、DefensePro 实现入侵和DOS攻击的实时防范DefensePro 采用了多层安全架构，分别检测和抵抗不同类型的攻击，确保只有“清洁”流量进入收保护的区域。Dosshield实现已知攻击工具防范DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量，提供了实时的、数千兆位速度 的DoS防范。该机制会对照DefensePro 攻击数据库中的DoS攻击特征列表（潜在攻击）来比较流量样本。一旦达到了某个潜在攻击的激活阈值，该潜在攻击的状态就会变为Currently Active （当前活动），这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征，相应的数据包就会被丢弃。如果没有匹配的特征，则会将数据包转发给网络。借助高级的取样机制检测DoS 攻击，DoSShield只在出现了严重带宽滥用的情况下，才会判断攻击的存在，它会外科手术般地采用逐包过滤除去攻击流量。而当攻击不再活跃时，DoS Shield也能检测到相应状态并停止逐包过滤的操。这样不仅可实现完全的DoS和DDos 防范能力，而且还保持了大型网络的高吞吐量。Dosshield的主要优势：监听和采样机制，只有在出现严重攻击时才采取防范措施，保证了大型网络的高性能和高吞吐量；基于特征码的防范策略，对正常应用无影响，保持了极低的误判率。DoS Shield作为第一道防范体系，负责在抵御已知Flood攻击的同时传输其他流量，而这些其他流量中还可能包含未知的新型攻击，它们将由第二道防范体系Behavioral DoS 模块来实现防护。Behavioral DoS基于网络行为模式实现自动攻击防范借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术，Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒，避免危害的发生。Radware's 自适应Behavioral DoS防范模块自动学习网络上的行为模式，建立正常基准，并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。 通过概率分析，该模块使用一系列提取自数据包包头和负荷的参数，例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum值等共17 个参数，来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量，该模块还会采用“与”“或”逻辑运算来尽量精确攻击的防范策略。 所有上述流程都由DefensePro自动完成，无需人为干预，能够在数千兆位的网络环境中精确防范已知攻击、Zero-day Dos/DDos攻击和自我繁殖网络蠕虫。Behavioral DoS 防护模块的攻击检索机制即不使用特征码，也不依赖于用户定义的行为策略和阀值。它还可以自动适应网络中的正常流量变化，因此它不会影响网络中的正常应用行为。B-DoS 能够非常有效的抑制以下已知和未知的攻击：l SYN Floodl TCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods) l UDP Floodsl DNS floods (基于UDP 53端口)l UDP Flood 和 ICMP反向散射(unreachable 信息) l ICMP Floodsl IGMP Floods l Zero-Day 高速自我繁殖蠕虫(SQL Slammer, Blaster, Welchia, 等) Behavioral DoS的主要优势：l Zero-day Dos/DDos的未知攻击防范，无需认为手工干涉；l 对DoS攻击的完全防范，较低的CPU资源消耗；l 自适应的行为判别模式，将误判率降至最低；l 完全自适应功能，无需策略配置，无需维护成本。入侵防范防范各类应用攻击为了确保DoSShield和Behavioral DoS模块不会遗漏任何攻击并危害运用户网络应用的关键应用系统，Radware还提供另一道防护屏障入侵防范。 通过对比入侵特征库，DefensePro阻止攻击数据包来建立最后一道屏障。入侵特征库罗列一系列会对网络造成严重破坏的应用层攻击，通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击，NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。DefensePro会对数据包进行逐一检查，并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1600多种攻击特征。为了防范新的攻击形式，数据库会不断被更新。对于未知形式的攻击，可以使用协议异常检查功能来检测。通过检查协议的异常性，可以检测异常的数据包碎片，而这大多数情况下标识了恶意活动。快速的攻击特征比较为了支持数千兆位的特征扫描速度，DefensePro专门采用了基于ASIC的强大加速器 StringMatch EngineTM。StringMatch Engine支持并行的特征搜索操作，可对照特征数据库进行高速的检测和数据包比较。同使用Intel Pentium 4 CPU进行串行特征搜索相比，其字符串搜索速度提高了300倍。实时抑制攻击当检测到恶意活动时，DefensePro可能以任何组合形式立即执行以下的这些操作：丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护，以免它们遭到蠕虫、病毒和其它形式的攻击。入侵防范的主要优势：l 基于特征的入侵识别，能够准确地识别和抑制攻击；l 专用的硬件加速器，确保了告诉的检测和防范以及网络吞吐量。带宽管理在提供强大的安全功能同时，DefensePro 的带宽管理功能。DefensePro能够根据网络数据包的源/目的地址、应用端口和内容（IP header或IP Data）区分流量，还可以限制相同用户的并发会话和每个会话的带宽，从而阻止和控制各种流量的带宽应用。其它安全相关功能除了上述四个功能模块外，DefensePro还提供以下功能：黑白名单（Black and White List）访问控制列表Syn Flood防范为了提供全面的SynFlood攻击防范能力，除了Dosshield和Behavioral Dos之外，DefensePro采用SynCookie技术基于源地址监视来发现恶意攻击源，并提供多重级别的防范措施。异常流量（Anomalies）防范为了逃避安全设备的检查，黑客通常会采用拆包并将攻击分成多个数据包碎片传输。此类攻击被称作Anomalies。针对此类攻击，DefensePro提供了也体动相应的防范能力：l 异常协议类；l Buffer Overflow类；l HTTP碎片类状态检测（Stateful inspection）DefensePro提供针对协议滥用等攻击，提供状态检测攻击防范能力，可以防范的攻击例如：l TCP Flooding：SYN-ACK (反射攻击), TCP数据包风暴；l Stealth 扫描：通过发送TCP fin / rst /ack / syn-fin数据包，以图发现开放的端口；l DNS reply flooding： 使用大量的DNS响应数据包攻击服务器；l ICMP Echo reply flooding： 使用大量的echo reply数据包攻击服务器（Smurf）；l 防扫描（AntiScanning）黑客在发起攻击之前，通常会试图确定目标上开放的TCP/UDP端口，而一个开放的端口通常意味着某种应用，操作系统或者后门。DefensePro提供此类探测的防范能力。DefensePro的安全报告当DefensePro检测到攻击时，它会将该安全事件报告。在报告中包含有全面的流量信息，比如源IP地址和目标IP地址、TCP/UDP 端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息，或者通过系统日志渠道、SNMP 陷阱或电子邮件将安全事件信息发送到外部。 还可以根据网络中的实时安全状况，以雷达图的方式提供当前的攻击严重程度以及数量等信息。3、 Radware SIP 支持1、 AppDirector 保证了运营商级的VoIP服务；2、 AppDirector 保证了融合服务的高可靠性和高性能；AppDirector能通过同一IP地址管理不同的SIP服务 他能根据要求的SIP服务或者其他SIP参数区分流量，并转发到相关的SIP服务器。这种方式能节约公网IP地址，并通过增加更多的服务到现存的SIP服务IP地址得到透明扩展。AppDirector 持续监控SIP服务器的健康状态。当检测到SIP服务器由于故障或维护宕机，AppDirector 自动切换到其他可用的SIP服务器。3、 AppDirector 保证准确计费出帐保证SIP服务。AppDirector 通常通过基于SIP呼叫号码保持SIP会话。AppDirector确保同一SIP呼叫里面的所有信令数据包发送到同一服务器。由于SIP协议只用于会话信令而不是真实数据传输，保持SIP会话能让同一服务器看到同一SIP会话的发起和终结。对于基于时长计费的的SIP服务来说是非常关键的。4、 AppDirector/DefensePro 能保护SIP服务器免遭SIP漏洞攻击和DoS攻击。随着数据和语音的融合，网络架构的安全性也成了关注要点。对于提供VoIP服务的运营商和企业而言，威胁最大的攻击是那些能导致语音质量下降的攻击，这会导致服务不可用。最简单导致语音质量下降的方式就是采用拒绝服务攻击（DoS）或分布式拒绝服务攻击（DDoS）。AppDirector/DefensePro 完整的安全功能集确保语音服务不会受到DoS攻击或其他针对SIP协议漏洞的攻，允许可靠持续提供的VoIP服务。图2表示了SIP环境中AppDirector的使用。很多服务，包括SIP，通过单一公网IP地址提供服务。AppDirector 把来自客户的请求转发到提供服务的Farm, 并为每个呼叫选择性能最优的服务器。对于已经存在的呼叫，AppDirector确保选择已处理呼叫的服务器。SIP和地址翻译SIP负载均衡的一个主要问题是地址翻译。SIP网络中的地址翻译非常复杂，因为IP地址不仅出现在IP包头，也存在SIP数据包的其他部位。采用AppDirector管理SIP流量，完全可以避免地址翻译。在SIP服务器上配置环路地址为四层策略虚拟IP地址。对于每个SIP请求，AppDirector选择最优的服务器，转发SIP请求到该服务器，同时保持目的IP地址不变。由于服务器设置了环路地址，从服务器应答客户端的数据包的源地址为VIP。环路地址设置能和本地三角传输一起使用，服务器应答直接发送给客户端，无需经过AppDirector转发。但是在SIP网络环境中本地三角传输并非是必须的。服务器的应答能通过AppDirector转发或者直接发送给客户端。SIP 会话保持SIP会话保持是通过查询SIP数据包中的内容，主要的主叫号码Call ID。管理员能采用下列之一或者两者来实现会话保持。HASHING：采用HASHING分发方法，AppDirector 根据基于主叫号码Call-ID哈希出来的结果选择可用的服务器。SessionIDs：通过SessionIDs，AppDirector 通过SIP包头的字段的值，比如Call-ID、分支标记等。基于SIP的Farm 选择AppDirector能通过单一IP地址（单一URI）提供不同服务。不同的SIP Farm提供不同的服务，AppDirector 根据每个SIP请求包头内容选择相应的SIP Farm。比如在下列情况，起初单一的服务器同时作为SIP代理服务器和SIP注册服务器。用户通过同一IP地址访问两个SIP服务。随着用户的增长，需要一个服务器用作注册服务器，另外一个服务器用作代理服务器。采用AppDirector能方便实现这个功能。两个服务通过同一IP地址或URI提供服务，因此这个改变对用户是透明的。同样可以同一公网地址增加服务。另外，当匹配特定策略，AppDirector 能重定向SIP请求到其他SIP服务器或Farm,。这个重定向是通过302 SIP代码实现的。这个功能是非常有用的，比如SIP注册服务器移到了其他服务器，或者由同一AppDirector管理，或者由其他AppDirector管理，更或者根本不由AppDirector管理。更复杂的情况是重定向特定域的注册请求到其他SIP注册服务器。比如重定向所有Radware用户的注册请求到一个新加入网络的注册服务器。SIP健康检查AppDirector 采用SIP健康检查确保SIP服务器在线或健康。SIP健康检查是通过SIP OPTIONS方法来实现的。这个方法是用于查询SIP代理服务器或SIP用户代理支持的SIP功能。SIP OPTIONS方法并非多媒体会话发起顺序的必须部分，他也不是资源要求很高的。SIP 安全AppDirector提供了完整的方法保护SIP协议和防范DoS攻击。另外带宽管理策略确保VoIP服务的持续。AppDirector 提供多层保护：网络层：AppDirector包括了创新的网络行为分析技术，尤其对下列已知和未知（zero day）的网络攻击有效：SYN FloodTCP Flood (Fin + Ack, Reset floods,Psh+Ack)UDP FloodRTP FloodICMP FloodIGMP Flood零日高速或低速自我复制蠕虫（比如SQL Slammer, Blaster, Welchia等）网络攻击前探测（网络扫描）采用先进的统计分析，模糊逻辑和闭反馈过滤机制，Radware的网络行为分析模块能自动并主动防止已知或零日网络泛滥DoS攻击和自复制蠕虫。传输层：AppDirector通过行为技术提供传输层保护，包括通常针对服务器的DOS攻击和带宽管理模块。AppDirector能检测、阻止或限制任何种类对于服务器的资源滥用比如DNS查询泛滥、TCP资源误用攻击比如TCP连接建立泛滥攻击和伪造SYN 泛滥攻击。SIP层：Radware SIP行为层保护包括一个新技术分析到服务器和从服务器返回的SIP数据，源和目的参数（比如SIP Fram标记和SIP To标记），每中SIP消息和返回代码产生的频率，系统决定是否存在SIP应用。新的SIP行为分析机制能发现已知和未知的SIP攻击，阻止攻击发起和恶意行为发起源的SIP用户。这种保护方法能防止攻击同时保证正常应用。另外Radware也提供基于特征值的保护，防止针对已知操作系统漏洞的攻击和其他单包攻击。五、 Radware解决方案在融合网络中的价值SIP 为企业和运营商提供了一套简单的工具建立融合网络，允许统一语音和数据架构，显著降低网络管理和维护费用。AppDirector的数据和VoIP智能交换功能帮助企业和运营商建立高可用、优化性能和透明扩展和保护网络避免DDoS攻击，确保语音和数据服务的持续。对运营商的优点：通过统一所有基于IP的通信服务到一个简单的、开放的、标准的SIP应用框架，运营商能降低为客户设计和实施新的基于IP的服务的服务。SIP简化了IP电话服务的实现，并提供了和其他互联网服务的无缝集成。AppDirector的SIP会话保持是支付VoIP服务的保证。AppDirector允许SIP服务器健康SIP会话的发起和终结。通过这种方式实现了基于时长的计费。简化SIP网络设计和配置。保证高可用，优化VoIP服务实现。保护SIP网络免受DoS攻击和其他SIP协议漏洞攻击。提供透明扩展VoIP服务。同一设备为语音和数据融合网络提供了可用性、性能和安全性。对企业的优点：VoIP给企业带来的好处包括实现的灵活性、统一的网络架构，降低维护和管理成本、提高生产率并支持丰富的功能。AppDirector能帮助企业充分享受VoIP带来的好处，无需由于故障或安全威胁牺牲语音服务的可靠性。简化SIP网络配置和维护；保证VoIP语音服务的可用性；保护SIP服务器免收DoS和针对SIP协议的攻击；提供VoIP服务的透明扩展；同一设备为语音和数据融合网络提供了可用性、性能和安全性。六、 总结高可用性、高性能的完美体现：部署Radware应用交换机保证最终用户对Internet实现不中断的访问：Radware应用交换机能够连续监视每个 Internet 连接的状态。自动检测各种故障，如链路、路由器、DNS 服务器和其它故障。通过检查确保用户只使用那些高效运转的接入链路。可以根据优先权、IP 地址、内容和其它用户指定的参数转发数据包特定内容选择最佳链路时，会综合考虑与请求内容的网络就近性、链路的实时负载与链路的成本。端到端QoS保证：Radware 应用交换机的内置带宽管理功能，可以按照47层的特性识别不同类型的流量，通过带宽保证和限制，为关键业务提供服务质量保证。端到端应用安全：Radware 应用交换机的内置应用安全功能，在公司的Internet接入部位实现实时的IPS（入侵防范），隔离和阻止来自Internet和企业内部的攻击和有害流量，确保关键应用的安全。基于SIP的服务是运营商的显著机会。但这些服务的可靠性和质量完全依赖于SIP服务器架构。通过紧密集成Apsolute应用智能模块，AppDirector确保了SIP服务器的可用性，优化SIP性能，保证最大的安全性，避免各种潜在安全威胁伤害SIP服务。采用AppDirector，运营商确保SIP服务能安全、快速、可靠实现。