Documentos de Académico
Documentos de Profesional
Documentos de Cultura
www.radware.com
INDICE
INTRODUCCIN ...................................................................................................3
OBJETO ........................................................................................................................... 3
ALCANCE ......................................................................................................................... 3
Introduccin
Objeto
El objeto del presente documento es presentar a los preventas responsables de preparar
y desarrollar soluciones de Radware, una visin sobre las caractersticas fundamentales
que se encuentran en los productos LinkProof de Radware, tanto en lo que a plataformas
hardware se refiere, como a funcionalidades software.
El fin es por tanto, facilitar documentacin en Espaol que colabore en la correcta
realizacin de una oferta a un cliente final, intentando adems simplificar las tareas de
preparacin de las memorias tcnicas para los integradores.
Alcance
La documentacin aqu presentada cubre las siguientes reas:
9 Sistema operativo de Radware. APSolute OS
9 LinkProof 1000
9 Gestin con APSolute Insite
Securizar
Gestionar Trfico
Clasificar
Tomar Acciones
Acelerar
Priorizar
Figura 2.- Lgica de APSoluteOS
Classifier
Este mdulo permite identificar el tipo de trfico que llega al equipo, de modo que
posteriormente sea posible tomar las decisiones adecuadas en base a cada tipo. Permite
reconocer el trfico desde el nivel fsico (puerto por el que llega el trfico), hasta el nivel
7 de la pila TCP (aplicacin). El sistema viene preconfigurado para reconocer la mayora
de las aplicaciones ms utilizadas. El usuario cuenta adems con un potente mdulo de
scripting grfico, que le permite definir mecanismos de reconocimiento para tipos de
trfico no estndar. El mdulo puede clasificar el trfico en base a los siguientes
patrones:
o
Puerto fsico
Direccin MAC
VLAN Tag
IP origen o red
IP destino o red
Parmetros adicionales
Tipo de aplicacin
predefinidas
Expresiones regulares
Pattern matching
Flow Manager
Mdulo encargado de redirigir el trfico, previamente clasificado, segn las polticas
definidas por los administradores de los sistemas. El trfico puede ser balanceado,
securizado, priorizado (QoS),
Flow Manager permite:
o
Health Monitoring
Potente modulo de monitorizacin del estado de salud de los sistemas que estn siendo
balanceados. Adems de los mecanismos que vienen preconfigurados para monitorizar
las aplicaciones ms extendidas, permite al usuario generar sus propios chequeos de
forma fcil e intuitiva. Tambin permite monitorizar el estado de salud de elementos no
balanceados, para obtener informacin sobre los mismos. La definicin de los
mecanismos de gestin que se quieren aplicar es muy sencilla, a travs de la
herramienta grfica tambin incluida (APSolute Insite).
A continuacin se detallan las diferentes capacidades de monitorizacin de este
mdulo:
Puerto fsico
Monitorizacin de Aplicaciones
Citrix App Browsing, Citrix ICA, DNS, FTP, FIX, HTTP, IMAP4, LDAP,
LDAPS, NNTP, POP3, RADIUS, RADIUS accounting, RTSP, SIP (TCP &
UDP), SNMP, SSL
Pgina web,
bsqueda
LDAP,
verificacin
de
en
servidores
FTP,
Scripting Personalizable
Ante un fallo el sistema puede generar automticamente los siguientes tipos de alertas:
Traps SNMP
Syslog
Bandwidth Management
Sistema de gestin de ancho de banda basado en colas, que permite priorizar y
gestionar el trfico. Su uso requiere la activacin de una licencia extra, que tambin
incluye las funcionalidades de IPS descritas en el siguiente punto.
Sus capacidades fundamentales son:
Intrusin Prevention
Sistema de prevencin de intrusiones de red. Al igual que con el mdulo de BWM, visto
anteriormente, se requiere una licencia adicional (que incluye las funcionalidades de
IPS+BWM).
Gracias a este mdulo el sistema puede reconocer en tiempo real aquellos patrones de
trfico que se consideren maliciosos, gracias a una base de datos de firmas, y
eliminarlos (o slo reportarlos, como si se tratara de un IDS en lnea).
Los componentes que integran este mdulo son:
Intrusion Prevention. Detecta y elimina los ataques basado en firmas, haciendo
una inspeccin paquete por paquete. Todos los ataques se encuentran
agrupados en diferentes categoras (Worms, Top-N, Web, FTP, spyware ), de
modo que la gestin de las polticas de seguridad es realmente sencilla. Adems
tambin se ofrecen perfiles preconfigurados, en base a diferentes topologas de
red, de modo que los administradores puedan rpidamente aplicar la poltica de
seguridad ms idnea para su entorno.
Protocol Anomaly Detection. Detecta y elimina intentos violaciones a los
protocolos. Para ello utiliza una base de datos de firmas, as como un mdulo de
Stateful Inspection, que se encarga de chequear (gracias a una mquina de
estados), que no se produce ninguna alteracin en el flujo esperable para un
protocolo (en base a lo que determinan las RFCs).
Deteccin de escaneos. Permite detectar y eliminar los intentos de escaneos de
red, en base a una serie de firmas y en base a un sistema de anlisis del
comportamiento de los usuarios. Al igual que ocurre en el resto de mdulos,
los ataques se encuentran categorizados para simplificar las tareas de
configuracin y gestin. Adems el sistema cuenta con un sistema de anlisis del
comportamiento de las sesiones, lo que le permite detectar de modo genrico
cualquier
intento
de
escaneo
(tanto
vertical
como
horizontal),
Distribucin de la Carga
Gracias a este mdulo (basado en el flow manager visto anteriormente), el sistema
puede balancear el trfico de los diferentes sistemas que conforman las granjas.
Adems el sistema incorpora mecanismos para garantizar la persistencia de las
sesiones (nivel 4, 7), segn se muestra a continuacin.
Algoritmos de balanceo
Radware incorpora los siguientes algoritmos de balanceo en LinkProof:
1. Round Robin. Mecanismo de balanceo cclico, donde cada nueva sesin es
enviada a un nuevo servidor, de los que conforman la granja.
2. Round Robin ponderado. Similar al anterior, permite definir pesos diferentes
sobre determinados servidores, de modo que reciban ms conexiones que el
resto.
3. Hashing. Mecanismo de balanceo esttico. Para la misma IP origen el equipo
siempre enva el trfico hacia el mismo servidor. Ofrece la ventaja de que la
decisin de balanceo se toma muy rpido, pero por el contrario el balanceo que
se obtiene es muy pobre. Es especialmente til en entornos de muy alto
rendimiento, donde las IPs de los clientes son altamente cambiantes.
4. Menor cantidad de sesiones local y global (de un servidor para una granja en
particular, o para todas en las que participa)
5. Menor cantidad de trfico local y global (de un servidor para una granja en
particular, o para todas en las que participa)
6. SNMP. Permite al usuario incorporar cualquier consulta SNMP que el equipo
lanzar contra los servidores, para tomar la decisin de balanceo en base a la
respuesta recibida (por ejemplo: CPU utilizada, memoria, trfico por un
interfaz,). Se pueden anidar hasta dos consultas diferentes para tomar la
decisin en funcin de la respuesta recibida para ambas.
7. Windows. Especialmente diseado para servidores con sistema operativo
Windows de Microsoft. Permite interrogar al agente de rendimiento del sistema
operativo sobre el rendimiento que ofrece el servidor, y tomar la decisin de
balanceo en base a la respuesta obtenida.
8. Menor tiempo de respuesta. El sistema utiliza los resultados de las
monitorizaciones, que realiza el mdulo de chequeo del estado de salud
(revisado en el siguiente punto), para tomar la decisin de balanceo. Puesto que
el mdulo de chequeo permite lanzar consultas similares a los que lanzan los
clientes, las mediciones realizadas con este mdulo son las ms fiables (se
aproximan con mayor grado de acierto a la realidad de las aplicaciones). Adems
este algoritmo permite tomar varias muestras, sobre las que se evala una
media, para que la decisin no yerre a causa de un pico puntual.
9. Proximidad: Linkproof incorpora el exclusivo algoritmo de proximidad patentado
de Radware (Proximity Algorithm), lo que garantiza la entrega de contenidos
por el mejor de los enlaces disponibles, para cada sesin. Se recomienda utilizar
este mecanismo, puesto que es el que entrega mayor granularidad y precisin a
la hora de tomar la decisin de balanceo. El clculo de la proximidad es realizado
de modo dinmico y transparente por LP, y se almacena en una tabla interna, en
base a los siguientes parmetros:
Balanceo
Las operaciones de balanceo se pueden realizar a nivel 3 (IP), 4 (IP+Puerto) 7
(contenido, para trfico HTTP). Para realizar el balanceo a nivel 7, los balanceadores
pueden tomar las decisiones en base a la siguiente informacin:
URLs
Informacin de la cabecera HTTP
Tipo de Fichero
Expresiones regulares (definibles por el usuario)
Persistencia de Sesiones
La garanta de la persistencia de las sesiones es crtica, para asegurar que se ofrece un
algoritmo de balanceo con suficiente granularidad, y que por otra parte no se quebranta
la persistencia lgica que una aplicacin con mltiples sockets de cliente puede requerir
(por ejemplo una aplicacin HTTP que est compuesta de varias conexiones fsicas para
una misma conexin lgica).
LinkProof mantiene la persistencia de las sesiones en una tabla interna, denominada
tabla de clientes. Esta tabla se actualiza conforme va hacindolo el intercambio de
informacin entre clientes y servidores.
LinkProof permite garantizar la persistencia de sesiones en base a los siguientes
parmetros:
Nivel 3. La persistencia se mantiene nicamente en base a la direccin IP del
cliente.
Nivel 4. La persistencia se mantiene en base a la direccin IP ms el puerto
origen del cliente.
Diameter
IMAP4
Citrix App
FIX
LDAP
FTP
LDAPS
HTTP
NNTP
Browsing
Citrix ICA
DNS
POP3
Radius
Authentication
Physical Port
Ping
RTSP
Radius
Accounting
SIP TCP
SSL Hello
TCP Port
UDP Port
SIP UDP
SMTP
SNMP
SSL
Balanceo de Salida
Adems de los algoritmos de balanceo vistos anteriormente (de los que recomendamos
Proximidad), para realizar el balanceo de salida, LinkProof utiliza la tecnologa
denominada SmartNAT. Bsicamente este mecanismo consiste en la capacidad que
tiene el equipo de seleccionar transparentemente una IP de cada uno de los pooles
disponibles, en base al operador que se est seleccionando.
Supongamos por ejemplo que LinkProof est balanceando dos operadores, que han
asignado los direccionamientos pblicos 1.1.1.0/28 y 2.2.2.0/28. Si configuramos que
para la navegacin se van a utilizar las IPs 1.1.1.10 y 2.2.2.10 respectivamente, el
sistema de SmartNaT se encarga de automticamente de aplicar el NAT adecuado a
cada sesin (1.1.1.10 2.2.2.10), en base al proveedor seleccionado por el algoritmo de
balanceo.
La aplicacin de estos mecanismos de NAT, garantizan que el trfico retornar siguiendo
el camino inverso.
LinkProof soporta los siguientes mecanismos de NAT:
9 NAT Esttico: Diseado fundamentalmente para ofrecer acceso hacia los
servidores (normalmente por tanto para el balanceo de entrada). La relacin
es 1:1
9 NAT Dinmico: Diseado para enmascarar mltiples IPs sobre una sola
(normalmente se usa por tanto para el balanceo de salida). La relacin es
N:1.
9 NAT Bsico: Combinacin de los dos anteriores, donde se permiten varios
clientes para una misma IP, preservando adems el puerto origen del
cliente. Ser necesario utilizar un pool de IPs de NAT, si varios clientes
acceden simultneamente con el mismo puerto origen.
9 No NAT: En este caso LinkProof no hace ninguna modificacin a los
paquetes. Se emplea para entornos en el que el trfico llega para uno de los
proveedores con las IPs pblicas adecuadas, y que por tanto no necesitan
ser modificadas.
Balanceo de Entrada
Para realizar el balanceo de entrada LinkProof utiliza, adems del mismo mecanismo de
SmartNat visto anteriormente, un sistema basado en DNS. As LinkProof incorpora un
DNS que recibe las consultas de los clientes externos, devolvindoles en cada caso el
registro asociado al proveedor que mejor garantice la conexin en cada momento (esta
decisin se toma en base al algoritmo de Proximidad visto anteriormente).
Cuando un cliente intenta conectarse a una red gestionada por LinkProof, lanzar una
consulta a su DNS. El DNS del cliente terminar consultando al DNS autoritativo de la
red, que tiene delegado en LP la resolucin de los registros DNS asociados a servicios
balanceados. LP devolver por tanto el registro asociado al proveedor que mejor
responda en cada momento.
LinkProof incorpora mecanismos de DNS que permiten servir mltiples IPs en una
misma respuesta (garantizando por tanto la disponibilidad incluso en caso de fallo
inmediato de un operador), as como mecanismos para evitar que los DNSs de los
clientes cacheen las peticiones.
Todas estas caractersticas garantizan que los contenidos se servirn siempre a travs
del mejor enlace disponible.
Grouping
Adems de las funcionalidades ya vistas, LinkProof incorpora adems capacidades para
que el administrador decida si determinados tipos de trfico han de servirse
obligatoriamente por un determinado operador.
Otros
A continuacin se enumeran algunos otros servicios, no mencionados anteriormente y
que tambin ofrecen los sistemas LinkProof:
Virtual Tunneling. El balanceador es capaz de establecer tneles virtuales
extremo a extremo, para encapsular sobre redes pblicas trfico privado (ntese
que requiere por tanto el uso de LinkProof en ambos extremos de red). Si en
cada sede disponemos de dos routers de salida a Internet, LinkProof establecer
los tneles a travs de los cuatro caminos posibles, distribuyendo todo el trfico
entre ellos. Este protocolo es especialmente til para balancear trfico de VPNs
entre sedes a travs de Internet de modo totalmente seguro. LinkProof permite,
gracias al Virtual Tunneling, no solamente dotar de alta disponibilidad al trfico
IPSEC, sino tambin balancearlo, paquete por paquete, lo que aumenta
notablemente el aprovechamiento de la inversin.
Figura 8.- Ejemplo de reporte histrico con APSInsite para las sesiones de una
granja
Throughput mximo:
Hasta 1 Gbps
19,2 Gbps
Procesador RISC:
Layer 2 Switching:
Wire Speed
RAM:
256 MB
VLANs:
64
10
Firewalls:
100
400
Interfaces IP:
2.000
32.000
Sesiones Simultneas:
Ilimitadas
Protocolos de Routing:
Firewalls soportados:
Stateful,
Transparent
no
Transparent
8.000
Gestin:
HP
OpenView,
comandos
Interfaces
Puertos GigaBit/GBIC:
5 (fibra o cobre)
Puertos Fast/Ethernet:
16
Puerto de consola:
RS-232-C
lnea
de
Dimensiones
Alto:
1 U (44 mm)
Ancho:
432 mm
Profundidad:
475 mm
Peso:
5,3 Kg
Alimentacin
Fuente de alimentacin:
100/250VAC; 50/60Hz
Caractersticas adicionales
Opcional
Opcional