Radware数据中心IDC网络安全解决方案

1. IDC行业背景和网络应用现状

1.1 IDC行业背景

随着因特网及其相关应用产业的发展，内容更丰富服务更深层次的网络服务提供商（Network Service Provider,NSP）横空出世，互联网数据中心 (简称IDC)作为NSP业务的一个重要的网络服务平台，它通过与某一骨干网高速连接，借助丰富的网络资源向网站企业和传统企业提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP,EC等业务。IDC是对入驻Hosting企业、商户或网站服务器群托管的场所；是各种模式电子商务赖以安全运作的基础设施。同时大型企业也纷纷建设自有的IDC作为其商业联盟、分销商、供给商、客户等实施价值链治理的平台。

IDC拥有广阔的市场前景，全球范围内的网络数据中心（IDC）的业务量正以40%的增长速率发展。据Salomom SmithBurney研究显示，亚洲IDC市场2005年已经达44.5亿美元，其中中国的IDC市场将达到7亿美元。众多的电信企业、ISP、甚至房地产企业等等都想来分一杯羹。但对运营企业来说，IDC应更注重的是服务，包括做好基本服务(指带宽、空间、供电和空调等物理要素)、治理服务(指对客户托管服务器的监测、报告和安全治理等)和应用服务(为客户提供更高层次的解决方案，如网站建设和电子商务等)，以特色服务谋求生存之道。其中要非凡强调的是增值服务包括为客户提供安全性分析、数据流分析、资源占用分析以及许多有差分的服务提供模式等。

1.2 IDC网络应用现存问题

一个典型的数据中心网络拓扑结构图如下图所示：

1.2.1 Internet连接部分存在的缺陷

多链路缺乏高可用性与性能瓶颈

对企业IDC来说，现有多条出口链路在部署普通路由器的情况下没有办法提供出口以及入口IDC的流量的均分负载，没办法实现容错切换，没有办法完整的把整个多条链路的带宽高效率的利用起来，而对运营商IDC来说则不存在这个问题。

Internet连接路由器网络安全防护能力弱

目前Internet上的各种各样的网络攻击层出不穷，路由器自身对网络攻击的防护能力非常有限，IPS以及DOS/DDOS 网络攻击会对Internet连接路由器及内部网络产生严重的影响，是整个IDC业务陷入非常糟糕的运行环境中。

1.2.2 网络安全防护部分存在的缺陷

网络安全设备缺乏高可用性

虽然某些数据中心采用了多台安全设备互相备份的解决方案，解决了单点失效的问题，但这些设备的备份协议封闭，且无法同时工作，导致投资严重浪费，备用设备只有等待主用设备失效以后才起作用，投资回报及性价比极低。同时维护困难，扩展性非常差。

网络安全设备性能的瓶颈

网络安全设备由于要对进出网络的数据包进行安全性检查，与网络路由器和网络交换机相比，性能通常会降低很多，例如防病毒设备的网络吞吐量通常只有3－10Mbps，并且由于大部分的安全设备只能做为网关类型设备存在，导致串接到网络中的安全设备成为整个流量路径上的瓶颈所在。

1.2.3 网络应用接入层存在的缺陷

网络应用的可靠性较差：

应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况，从而无法保证网络应用的7x24 小时的持续性服务。

网络应用的性能瓶颈：

在网络应用系统中，通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡，因此经常会出现某台服务器由于访问量过大而宕机，造成网络应用性能的不稳定，从而影响到整个网络应用系统的性能。

2. Radware 解决方案

2.1 IDC方案简述

根据上述数据中心网络应用现状分析以及结合用户的需求分析，结合Radware产品的技术实现和特点，我们建议的数据中心方案设计如下图所示：

而对运营商IDC建设来说，他们可能并不需要LinkProof，因为他们是直接通过高速的路由器通过高速的接口（一般是10G为单位）接到自身的基础网络中，多链路的负载均衡一般通过路由协议的等价路由方式完成。

从上面的设计可以看出，采用Radware产品与技术的IDC的解决方案分为几大部分：

应用接入解决方案

应用安全解决方案

应用前端解决方案

2.1.1 IDC应用接入解决方案简述

对企业用户来说，从整个IDC网络的性能以及稳定性出发，加上中国各个运营商之间的性能瓶颈的客观现实，IDC网络需要从多个运营商那里租用多条Internet专线来实现用户访问体验的最优化，部署LinkProof实现对多条Internet接入链路（最多100条）的负载均衡，可以同时实现Outbound流量（内部办公用户访问Internet）和Inbound流量（Internet用户访问数据中心内部服务器）双向的负载均衡。

同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择，大大提高用户访问的服务质量和访问效率。

而对于没有自己基础网络的运营商，比如国内的广电、长宽等企业，他们在建设IDC为用户提供服务的同时，也可以选择使用LinkProof来接入多个其他大型的运营商，这样一来就可以为入住的企业客户提供多链路接入的增殖服务，提高客户的满足度以及应用的流畅性。

2.1.2 IDC应用安全解决方案简述

IDC安全解决方案包括两个部分，一是实现整个网络的IPS以及DDoS防御的DefensePro，另一个是实现多种安全设备的优化工作的SecureFlow。

部署DefensePro，可以识别并实时抵御1600多种蠕虫、病毒、DoS/DDoS攻击和异常的流量模式，从而保护整个IDC网络内部用户和服务器的安全。

部署SecureFlow位于网络出口路由器和核心交换机之间，与IDC内原有的防火墙、URL过滤网关以及防病毒网关等内容检测安全设备协同提高服务质量。

一方面把如上设备由Inline方式改名为SecureFlow的旁路方式，减少了网络的单点故障。另一方面，SecureFlow实现对多台设备的负载均衡，保证了该类网络设备的高可用性，高扩展性和高性能。

SecureFlow部署在这里，还可以为数据中心实现差分的增殖服务，使得数据中心可以为高级用户制定防病毒、邮件过滤以及防火墙等高级安全服务，使得高级用户可以免遭病毒的攻击，而普通用户的数据则由SecureFlow透明传输，只享受普通的业务托管服务。

2.1.3 IDC应用前端解决方案简述

应用前端解决方案部分，包括如下两个部分：

AppDirector实现服务器的负载均衡

AppDirector位于核心交换机和各种IP应用服务器之间，主要实现所有基于IP协议的各种服务器的负载均衡功能，通过部署AppDirector,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量，实现了服务器所承载的业务的100％的高可用性和高性能。

AppDirector部署在这里，还可以为数据中心实现差分服务，使得数据中心可以为用户提供可选择的服务器负载均分服务，保证高级用户的服务响应速度及应用可靠性。

AppXcel实现SSL加速和HTTP（HTTPS）页面的加速

AppXcel与AppDirector配合，为用户提供SSL加密加速服务。利用AppDirector的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源，使服务器的性能提高２００倍以上，并且使服务器的投资发挥最大效益。

HTTP（HTTPS）页面的加速

AppXcel通过WEB压缩和HTTP连接复用技术，大大提升Internet用户对服务器的访问速度。较大地节省了Internet的接入带宽，大大地降低了WEB服务器的处理资源消耗。

AppXcel部署在这里，还可以为数据中心实现差分服务，使得数据中心可以为用户提供可选择的ＳＳＬ加速服务和ＨＴＴＰ压缩服务，保证高级用户的服务响应速度。对于普通用户而言，AppXcel则不起作用，普通用户的ＳＳＬ加解密都放置到其服务器中完成。

2.2 相关产品功能介绍

2.2.1 Radware AppDirector产品功能介绍

Radware AppDirector的负载均衡功能包括以下几种：

本地服务器的负载均衡

Radware AppDirector根据 IP 地址、应用类型和内容类决定流量分配，通过负载均衡，在多个本地和远程服务器间动态分配负载。这些算法包括循环、最少用户数、最小流量、Native Windows NT 以及定制代理支持等。除了这些算法，AppDirector还可以为每个服务器分配一个可以配置的性能加权，从而提高服务器组的性能。

基于URL的负载均衡

Radware AppDirector 完全支持 URL 交换，根据 URL 和 HTTP 信息分配流量。每个 URL 都可以复位向到某服务器，或在多个服务器之间进行负载均衡，从而提供优化的 Web 交换性能。根据 URL 文本中包含的信息，APPDIRECTOR 可以保持客户持续性，从而保证内容的个性化。

基于内容的负载均衡

Radware AppDirector 支持内容交换，内容交换使治理员可以根据交易的内容来分配服务器资源。例如，CGI 脚本可以位于一个单独的服务器组，当发生对该内容的请求时，会话就被复位向到其中某个服务器。AppDirector的内容交换能力可以广泛支持 SSL ID 和 Session ID， 保持客户持续性，保证最佳流量治理和应用内容个性化。

本地同全局服务器结合的负载均衡

Radware AppDirector除了可以对本地的服务器进行负载均衡，也可以对分布在不同地点的服务器进行负载均衡，一旦选定了最佳可用站点，用户就被透明地使用三种方法之一进行复位向：HTTP复位向、RTSP复位向、Radware 专利的Triangulation%26#8482; 方法复位向与DNS复位向。用户还可以选择这些方法的组合用于多阶段流量分配。复位向选项可以保证用户从最佳站点透明、稳定地获得服务。

在对服务器进行负载均衡的同时，为了确保系统应用的可靠性，采用以下几种手段：

健康检查

Radware AppDirector可靠的健康状况检查可以保证用户获得最佳的服务。AppDirector可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。假如发现故障，用户即被透明地复位向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息。

AppDirector设备的冗余

在消除了服务器的单点故障的同时，Radware AppDirector的配置提供设备间的完全容错，以确保网络最大的可用性。两个设备通过网络相互检查各自的工作状态，为其所治理的应用保障完全的网络可用性。它们可工作于"主用-备用"模式或"主用-主用"模式，在"主用-主用"模式下，因为两个设备都处于工作状态，从而最大限度地保护了投资。并且所有的信息都可在设备间进行镜像，从而提供透明的冗余和完全的容错，确保在任何时候用户都可以获得从点击到内容的最佳服务。

服务器的平滑停机

当需要进行服务器升级或系统维护时，AppDirector保证稳定的服务器退出服务以避免服务中断。当选定某台服务器要从服务器退出服务后，AppDirector将不会将任何新的用户分配到该服务器。但是，它可以要退出服务的服务器上完成对当前用户的服务。从而保证了无中断的优质服务，以及服务器组的简易治理能力。

服务器的逐渐开机

将重新启动的服务器应用到服务中时，避免新服务器因忽然出现的流量冲击导致系统故障是非常重要的。所以，在将新服务器引入服务器组时，AppDirector将逐渐地增加分配到该服务器的流量，直至达到其完全的处理能力。从而不仅保证用户在服务器退出服务时，同时还保证服务器在启动期间以及应用程序开始时，均能获得不间断服务。

2.2.2 Radware AppXcel产品功能介绍

AppXcel 是一种高效能的应用加速器，它利用一套综合性 AoIP 加速技术来提高应用性能，包括压缩、缓存、连接池、TCP 优化、SSL 卸载和无线加速，可实现最快的应用程序和事务响应时间，在局域网、广域网和互联网中提供最佳的最终用户体验。AppXcel 答应经济、透明地扩展服务器资源，并能优化服务器资源，把基于 web 的应用速度提高多达 500%，从而实现立竿见影的投资回报。

AppXcel 可通过压缩 web 内容、优化图像、HTTP 连接多路复用以及控制带宽使用，大大缩短事务响应时间。 通过从服务器卸载 SSL 和持久性功能（处理器和服务器密集的运算），AppXcel 能够释放 CPU 以处理其它的请求，因而避免了购买额外的硬件来满足应用处理需求。AppXcel 集群可进一步提高事务可扩展性，最高提供 1,600,000 TPS，支持无限的事务增长。

AppXcel 使用高吞吐率的专用平台，可实现最快的每秒 SSL 事务处理速度，并支持治理证书的并发连接。AppXcel 采用客户端和服务器端 SSL 嗅探，提供加密流量的完整事务可见性和安全性，不仅能够防范 SSL 病毒隧道，同时可以针对所有类型客户端（包括台式机、PDA 和智能电话）上的支持 web、基于 SSL 的应用程序保证端到端的应用智能性能调谐。

通常情况下，AppXcel同AppDirector配合使用，AppDirector进行服务器以及AppXcel的负载均衡，AppXcel进行SSL的加速。

2.2.3 Radware DefensePro产品功能介绍

DefensePro主要用于提供第一手的安全防护。DefensePro组合了能够检测和拦截1500 多种攻击特征的实时入侵防范功能，从而实现对要害任务资源进行彻底保护，从而确保您的网络获得真正安全。

针对网络的保护，DefensePro主要起到如下作用：

隔离：实时地监视和识别攻击，并主动将攻击隔离起来。

拦截：用数千兆位元的速度拦截入侵、病毒和蠕虫，实现应用安全。

预防：识别并阻止已知和未知的DDoS拒绝服务攻击，实时保护网络的安全 。

2.2.3.1 入侵防范- 应用级别的保护

DefensePro 入侵防范功能可以用最高达6G的吞吐量的速度检测和拦截1600多种病毒、蠕虫和特洛伊木马，从而快速而全面地清除所有恶意入侵。

为了支持数千兆位的特征扫描速度，DefensePro 专门采用了基于ASIC 的强大加速器-StringMatch EngineTM 。StringMatch Engine 支持并行的特征搜索操作，可对照特征数据库进行高速的检测和数据包比较。同使用Intel Pentium 4 CPU 进行串行特征搜索相比，其字符串搜索速度提高了300倍。

2.2.3.2 全面防范DOS攻击

DoS Shield――所有已知的DoS/DDoS攻击的防御

DefensePro 的DoS Shield模块借助高级的取样机制和基准流量行为监测来识别异常流量，提供了实时的、数千兆位元速度的DoS 防范。该机制会对照DefensePro 攻击数据库中的DoS 攻击特征列表（潜在攻击）来比较流量样本。

一旦达到了某个潜在攻击的启动阈值，该潜在攻击的状态就会变为Currently Active （当前活动），这样就会使用该潜在攻击的特征文件来比较各个数据包。假如发现匹配的特征，相应的数据包就会被丢弃。假如没有匹配的特征，则会将数据包转发给网络。

借助高级的取样机制检测DoS 攻击，不仅可实现完全的DoS 和DDoS 防范能力，而且还保持了大型网络的高吞吐量。

BDoS――基于行为分析模式的未知DoS/DDoS攻击的防御

借助于先进的统计分析、模糊逻辑和新奇的闭环反馈过滤技术，Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒，避免危害的发生。

Radware‘s 自适应Behavioral DoS防范模块自动学习网络上的行为模式，建立正常基准，并通过先进的模糊关系逻辑运算判定背离正常行为的异常流量。 通过概率分析，该模块使用一系列提取自数据包包头和负荷的参数，例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum值等共17 个参数，来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量，该模块还会采用"与""或"逻辑运算来尽量精确攻击的防范策略。

Behavioral DoS的主要优势：

Zero-day Dos/DDos的未知攻击防范，无需认为手工干涉；

对DoS攻击的完全防范，较低的CPU资源消耗；

自适应的行为判别模式，将误判率降至最低；

完全自适应功能，无需策略配置，无需维护成本。

大流量SYN flood 攻击的防御

除了上述基于攻击特征的防范方法外，DefensePro 还针对各种类型的SYN flood攻击提供了强大的防护能力（无论该攻击是使用何种工具发动的）。这种被称为SYN Cookie 防范的机制可执行延迟绑定（终止TCP 会话）并且在TCP 确认数据包中插入一个ID号来鉴别SYN请求。

完成这种三向握手后，DefensePro 仅处理含有在此前插入的ID号的请求。这种机制可以保证会被只有合法的请求才发送到服务器，而任何SYN flood 攻击都将在DefensePro 处被终止，因而不会蔓延到服务器以DefensePro 自身。

DefensePro 的强大架构答应它处理大规模的SYN flood攻击。在消费者实验室中执行的测试表明，Def ensePro每秒最多可拦截100万个SYN 请求（相当于500Mbps 的速度），同时可保持合法流量的转发。

最新的DefensePro软件还支持Multilevel syn flood protection功能，通过对用户的类型进行分类处理，可以有效减少服务器对用户访问的时间延迟的技术。

2.2.4 Radware SecureFlow产品功能介绍

SecureFlow 支持透明、有选择地把内容检查、防病毒、VPN、IDS 和防火墙最佳安全工具集成到一个统一的交换体系架构之中，从而消除安全/性能折中和改进投资回报。

SecureFlow 可确保高度的安全工具可用性，消除安全瓶颈，提高安全处理速度，同时支持成本有效的安全扩展，能让您从自己的组合防御体系架构中获取更多价值。

SecureFlow 提供集中式的安全资源治理，支持无缝添加新的安全工具，提供全面的安全供给商自由性，而没有任何性能或集成开销，使您能够轻松地更改/添加新工具来满足新兴的安全需求。

SecureFlow 基于策略的强大流控能够协调多个设备的安全操作，使您能够定制安全操作，同时大大简化了治理。

SecureFlow 结合了多 GB 应用交换 硬件的功能以及 APSolute OS 应用智能联网，包括流量分类和流治理、运行状况监控和故障旁路、流量重定向、带宽治理、入侵防御和 DoS 保护，可统一任何组合安全体系架构中的安全操作，实现统一的高性能防御。

SecureFlow按照预先设定的策略，将相关检测流量转发到相关的内容安全设备上进行内容检查，然后根据流程控制策略转发到下一站实现流量的灵活治理和转发。SecureFlow可以通过对各个安全系统的健康检查检测各系统服务器的工作状况，保证将用户流量转发到最优的设备上去，同时避免了内容安全设备发生故障引起的网络中断，即使所有的网络安全设备宕机，SecureFlow可以将所有业务流量BYPASS过去，保证网络畅通。

SecureFlow根据策略只将需要处理的流量转发到特定的内容安全设备检查，其它流量直接default处理，并配合例如设定信任流量等技术，大大降低了内容安全设备处理容量的负载，大大提升了系统的性能。

SecureFlow对于内容安全系统提供了纵向和横向的灵活扩展功能，所谓纵向是指单个内容安全系统，例如AV系统中单台服务器无法满足客户大流量的病毒防范的要求，只需要在AVfarm中添加相关AVserver即可，对于用户是透明的。所谓横向是指，当客户需要从一个内容安全系统（例如一个AV系统）扩展到两个系统（AV+URL过滤）时，SecureFlow可以流量的定义流程控制，实现多个系统的流量治理。

2.2.5 Radware LinkProof产品功能介绍

LinkProof通过整合多宿主连接治理、WAN 加速和应用安全性，提供的组合功能可针对驻留在数据中心的所有要害任务应用确保可靠的访问和快速的响应时间。

LinkProof 能够优化和智能地路由 Internet 链路中的流量，从而降低带宽负荷，确保连接容错性和可扩展性。通过利用先进的压缩、TCP 会话处理和缓存，LinkProof 可以加速应用响应速度，提供最佳的最终用户体验。通过保护所有企业进入点和净化所有链路流量。

流量治理：LinkProof通过使用智能网络地址转换（Smart NAT）和自动流量路由实现了完备的地址配置处理，从而可提供透明的多宿主治理。

链路监控：为了提供连续的在线服务可用性，LinkProof会不间断地监视服务提供商提供的链路，以检测任何故障。LinkProof具有链路健康检查专用模块，提供丰富的2～7层的健康检查方式，并且具有独有的"与""或"检查结果绑定动能，使用户能够完全按照自己的意愿检查和判定链路的健康。

性能优化 ：为了优化每个会话的双向性能，LinkProof利用 Radware 独特的就近性和内容路由算法来为特定目的地选择性能最快的链路。 基于用户针对前往目的地的跳数和测得的延迟所定义的均衡点，LinkProof可确保每个会话实现最快的 Internet 服务响应时间。

优化对链路的使用：LinkProof 在所有可用的 ISP 连接之间做出对进、出站流量的负载均衡决定时考虑了大量与链路有关的参数，提供丰富的负载均衡方法。

对 VPN 会话进行多站点多链路负载均衡：通过转悠协议在 Radware 多宿主企业解决方案中，当公司总部部署了高性能的 LinkProof，而其分支机构使用 LinkProof Branch 时，所有站点都可以对入站或出站 VPN 流量进行负载均衡。

冗余配置：LinkProof具有灵活的冗余配置能力，支持标准VRRP冗余配置方式。

2.2.6 ApsoluteInsite网管系统

Radware APSolute Insite能为整个网络内的所有应用交换设备提供全站点可视性、集中的治理和策略治理，使您对要害的业务处理和应用有一个全面把握，以实现真正的性能治理。

通过APSolute Insite一体化应用治理对运营状态和性能进行配置、故障排除和审计。一旦定义了安全和QoS政策，APSolute Insite就能自动地把这些策略应用到整个网络中。APSolute Insite的趋势分析、安全报告和全景统计使您能够积极地监视、治理和调节网络资源，以优化业务要害的企业应用。

直观的全景视图

APsolute Insite是围绕Radware的Site Explorer创建的，后者能够提供直观的应用交付全景视图。利用Site Explore，您就可以使用APSolute所有交换设备及其它网络元件（如服务器、路由器和防火墙）的图标来简单地构建您的网络了。APSolute Insite Site Explorer使您只需用简单的点击便可连接、关联和配置设备，安装具有所有相关参数的服务器并快速、有效地配置服务器群设置。而所有这一切都是在一个共享、易于理解的可视上下文环境中进行的。

集中配置 一旦定义，普遍适用

借助APSolute Insite Macros，所有Radware设备都可以在一起进行配置，一次可以设置和治理同一类型的多台设备或各种不同设备，从而极大简化部署，减少更新麻烦，同时还可以无缝增加新产品。APSolute的自动配置功能使用跨设备智能，答应治理员轻松地将设置从一台设备转移到另外一台设备，从而进一步简化和减少治理开销，降低配置错误。

实时应用交付监视、统计和性能审核

APSolute Insite能够提供可定制的实时及历史应用交付性能标准，让您能够发现、理解和审核整个网络的应用交付性能。APSolute Insite Security Dashboard在安全威胁方面提供了及时的实用信息，使治理员能够根据类型、安全和地理位置源识别攻击。

APSolute Statistics和Reporting提供了全面的应用性能信息，实现了有效的故障排除、趋势分析、辩论和资源规划。APSolute Statistics和Reporting答应您使用定制和灵活的审核标准来浏览性能信息，这些标准包括时间段、应用类型、交易路径、内容及其 它一些方面，从而为应用交付的治理提供全面而又具体的信息。

第三方厂商集成

APSolute Insite可以与包括HPOV、Symantec SESA、IBM Tivoli和CA Unicenter在内的第三方厂商环境进行轻松的集成。

APSolute Insite 的安全治理

通过基于加密验证的SNMPv3连接或3级治理许可验证，APSolute Insite实现了安全的设备远程配置，确保安全而合法地访问Radware设备配置。

3. Radware 解决方案的主要优势

3.1 高可用性

24/7 应用与数据中心的高可用性

为应用与服务器的不间断业务连续性提供故障旁路与广范围的全局流量重定向

颗粒流量分类与控制

应用感知流量分类与流量控制为整个数据中心流量的处理、优化的可用性，性能以及安全提供基于策略的治理

完整的全局负载均衡解决方案

已申请专利的技术全局NP健康检测，先进的就近性检查以及在服务器，负载均衡设备以及分布的站点间的流量负载均衡确保了一个坚固和完整的全局应用冗余解决方案，而不用增加另外的硬件

SSL服务故障切换（通过AppDirector）

SSL 服务故障切换可确保连续的 SSL 服务可用性和安全地完成事务。

为最佳的安全工具提供高可用性

实时运行状况监控、故障旁路和流量重定向可以确保最佳多供给商安全工具组合的高可用性，包括防火墙、VPN、IDS、内容检查和防病毒工具，可提供容错的安全性。

应用智能安全分类和策略执行

根据应用程序和用户进行的基于策略的粒度级流量分类以及用于安全操作排序的流控，可在任何安全设备中实现自定义的安全操作，从而通过有选择地把相关流量转发到适当的安全元素来优化它们的性能。

高链路可用性和连续的应用访问

可靠的多宿主及不间断的 Internet 链路和分布式应用访问，可提供高可用性和 24/7 Internet 链路连续性。

3.2 高性能

多千兆位的IP应用运行吞吐量

基于ASIC技术的应用交换在提供高速吞吐量的同时也消除了性能瓶颈，减少了应用的延迟，为所有基于网络的应用与web交易提供最快的性能。

应用发现与SLA的保证

自动的应用发现超过70种应用，提供了带宽使用量的可见性以及基于策略的应用优先分类，控制带宽成本的时候保证要害业务的服务质量。

5倍基于Web的应用加速

通过TCP会话处理以及HTTP复用技术提供了应用加速以及WAN链路优化功能，消除或减轻了跨WAN的Web应用的时延，提高应用响应速度最高到5倍。

优化的多 GB 安全交换和加速的响应时间

通过在不同的安全设备之间动态地均匀分布流量来优化现有的安全资源，可根据预定义的策略处理流量，同时考虑入站和出站流量。这有助于消除性能降级和延迟，并提高安全处理速度。

可信内容的预筛选

自动预筛选功能答应区分可以不经检查直接转发的可信流量（.gif、.jpg、.avi、.mp3、.mpeg、.tif），同时将不可信的流量指向防病毒设备以进行扫描。预筛选可减少内容检查设备的流量负荷，将内容扫描速度加快500%，提供最优化的性能。

带宽成本节省

根据链路服务费用治理带宽级别，消除猝发成本，降低总体带宽消耗，提供成本有效的连接。

透明多链路治理

完整的地址模式处理和流量路由，可无缝治理多个 ISP 的服务，而且没有任何 IT 治理开销。

3.3 增强的安全性

完整的入侵防御

多千兆位的入侵防御反抗来自内部与外部的攻击，包括病毒、蠕虫、木马、扫描以及协议异常等，Radware安全更新服务提供超过1500种攻击的特征库并随时更新。

实时的DOS防御

实时监控，辨别与阻塞DoS/DDoS和SYN攻击，为服务器群提供完整DoS防御方案，从而减少服务器的宕机时间。

基于SSL的攻击辨别

SSL 数据包的截获以及解密（同AppXcel配合），辨别与拦截隐藏在加密流量中的攻击，比如SSL病毒隧道，蠕虫以及应用层的攻击等。

基于行为分析模式的DoS防御保护

具有Apsolute OS的Radware产品利用自适应的行为分析能力提供了不需人为参与的DoS攻击零天防御保护。