Radware Inkproof-Preventa

LinkProof 1000
Documentacin para preventa
www.radware.com
LP 200-202 Documentacin para la preventa

Fecha: 25/04/2007
Pgina 2 de 30
INDICE
INTRODUCCIN ...................................................................................................3
OBJETO ........................................................................................................................... 3
ALCANCE ......................................................................................................................... 3
SISTEMA OPERATIVO APSOLUTEOS ............................................................4

CLASSIFIER ...................................................................................................................... 5
FLOW MANAGER .............................................................................................................. 6
HEALTH MONITORING ....................................................................................................... 7
BANDWIDTH MANAGEMENT .............................................................................................. 8
INTRUSIN PREVENTION ................................................................................................. 11
DENIAL OF SERVICE PROTECTION ................................................................................... 12
LINKPROOF BALANCEO INTELIGENTE DE SISTEMAS DE

COMUNICACIN ................................................................................................13
DISTRIBUCIN DE LA CARGA .......................................................................................... 13
MONITORIZACIN DEL ESTADO DE SALUD........................................................................ 16
BALANCEO DE SALIDA ................................................................................................... 18
BALANCEO DE ENTRADA ................................................................................................ 19
GROUPING ..................................................................................................................... 19
REDUNDANCIA ENTRE SISTEMAS LINKPROOF .................................................................. 20
OTROS ........................................................................................................................... 21
GESTIN CON APSOLUTE INSITE...................................................................23

ANEXO CARACTERSTICAS LP 1000 ...........................................................29

Fecha: 25/04/2007
Pgina 3 de 30
Introduccin
Objeto
El objeto del presente documento es presentar a los preventas responsables de preparar
y desarrollar soluciones de Radware, una visin sobre las caractersticas fundamentales
que se encuentran en los productos LinkProof de Radware, tanto en lo que a plataformas
hardware se refiere, como a funcionalidades software.
El fin es por tanto, facilitar documentacin en Espaol que colabore en la correcta
realizacin de una oferta a un cliente final, intentando adems simplificar las tareas de
preparacin de las memorias tcnicas para los integradores.
Alcance
La documentacin aqu presentada cubre las siguientes reas:
9 Sistema operativo de Radware. APSolute OS
9 LinkProof 1000
9 Gestin con APSolute Insite

Fecha: 25/04/2007
Pgina 4 de 30
Sistema Operativo APSoluteOS

El sistema operativo de Radware (APSolute OS), es un sistema operativo en tiempo
real, especialmente diseado para desarrollar tareas que permitan dotar de
disponibilidad, rendimiento y seguridad a las aplicaciones crticas de las empresas.
La siguiente figura, Figura 1, muestra un diagrama con los diferentes mdulos que
componen el sistema operativo, as como las diferentes soluciones de Radware (es
importante recordar que este documento versa sobre la familia LinkProof, en concreto
sobre el modelo LinkProof 1000):
Figura 1.- Sistema Operativo APSoluteOS
La siguiente figura, Figura 2, muestra la lgica de funcionamiento de los diferentes

mdulos que componen APSoluteOS:

Fecha: 25/04/2007
Pgina 5 de 30
Securizar
Gestionar Trfico
Clasificar
Tomar Acciones
Acelerar
Priorizar
Figura 2.- Lgica de APSoluteOS
A continuacin se detalla la misin y funcionalidades de cada uno de los mdulos:
Classifier
Este mdulo permite identificar el tipo de trfico que llega al equipo, de modo que
posteriormente sea posible tomar las decisiones adecuadas en base a cada tipo. Permite
reconocer el trfico desde el nivel fsico (puerto por el que llega el trfico), hasta el nivel
7 de la pila TCP (aplicacin). El sistema viene preconfigurado para reconocer la mayora
de las aplicaciones ms utilizadas. El usuario cuenta adems con un potente mdulo de
scripting grfico, que le permite definir mecanismos de reconocimiento para tipos de
trfico no estndar. El mdulo puede clasificar el trfico en base a los siguientes
patrones:
o
Puerto fsico
Direccin MAC
VLAN Tag

Fecha: 25/04/2007
Pgina 6 de 30
IP origen o red
IP destino o red
Parmetros adicionales
Protocolo IP, TCP, UDP u Otro
Tipo de aplicacin
- esttica o dinmica, incluyendo 70
predefinidas
Basada en paquete o texto incluyendo cualquier tipo de

contenido, URL o cookie
Expresiones regulares
Pattern matching
Cualquier combinacin de las anteriores
Flow Manager
Mdulo encargado de redirigir el trfico, previamente clasificado, segn las polticas
definidas por los administradores de los sistemas. El trfico puede ser balanceado,
securizado, priorizado (QoS),
Flow Manager permite:
o
Redirigir/Reenviar/Copiar a cualquier tipo de dispositivo: transparente

(router, FW), proxy (AV, Anti-spam, URL filter), sniffer (IDS), servidor de
aplicacin, etc
Especificar el orden en que el trfico fluye entre los dispositivos.

Fecha: 25/04/2007
Pgina 7 de 30
Tomar decisiones en cada paso basndose en los criterios de

clasificacin de la aplicacin.
Asegurar y optimizar la disponibilidad, rendimiento y seguridad de cada

componente crtico del recorrido que el trfico sigue.
Health Monitoring
Potente modulo de monitorizacin del estado de salud de los sistemas que estn siendo
balanceados. Adems de los mecanismos que vienen preconfigurados para monitorizar
las aplicaciones ms extendidas, permite al usuario generar sus propios chequeos de
forma fcil e intuitiva. Tambin permite monitorizar el estado de salud de elementos no
balanceados, para obtener informacin sobre los mismos. La definicin de los
mecanismos de gestin que se quieren aplicar es muy sencilla, a travs de la
herramienta grfica tambin incluida (APSolute Insite).
A continuacin se detallan las diferentes capacidades de monitorizacin de este
mdulo:
Puerto fsico
IP / TCP&UDP Level Monitoring
ARP, puerto TCP, puerto UDP, Ping
Monitorizacin de Aplicaciones
Citrix App Browsing, Citrix ICA, DNS, FTP, FIX, HTTP, IMAP4, LDAP,
LDAPS, NNTP, POP3, RADIUS, RADIUS accounting, RTSP, SIP (TCP &
UDP), SNMP, SSL
Monitorizacin del contenido

Fecha: 25/04/2007
Pgina 8 de 30
Pgina web,
bsqueda
Usuario & password,
LDAP,
verificacin
de
verificacin de cdigos HTTP,

ficheros
en
servidores
FTP,
disponibilidad de la aplicacin en servidores Citrix,
Scripting Personalizable
Health checks definibles por el usuario
Generacin de dependencias personalizables
Ligar mltiples chequeos con condiciones de tipo AND/OR
Chequeos inversos (lgica negativa)
Ante un fallo el sistema puede generar automticamente los siguientes tipos de alertas:
Traps SNMP
Syslog
Generacin automtica de emails, pginas de error,
Configuracin automtica de acciones utilizando APSolute Insite, en caso

de fallo de un recurso
Bandwidth Management
Sistema de gestin de ancho de banda basado en colas, que permite priorizar y
gestionar el trfico. Su uso requiere la activacin de una licencia extra, que tambin
incluye las funcionalidades de IPS descritas en el siguiente punto.
Sus capacidades fundamentales son:

Fecha: 25/04/2007
Pgina 9 de 30
Clasificar. Permite reconocer automticamente el trfico de las sesiones en base

a mltiples parmetros (hace para ello uso del mdulo Classifier del kernel, visto
anteriormente).
Protocol Discovery. Es una funcionalidad muy interesante que permite que el
sistema inspeccione automticamente los flujos de trfico que circulan, as como
los consumos de cada uno. Esto permite a los administradores entender mejor la
situacin de partida, para poder posteriormente generar polticas en base a estos
resultados.
Priorizar. Gracias a un algoritmo basado en colas, el administrador puede

fcilmente decidir qu tipo de trfico es ms crtico, y por tanto debera ser
servido primero, y cul puede servirse posteriormente. Tambin es posible
incluso descartar determinados tipos de trfico que se consideren no deseables
(de modo similar a como funcionan las ACLs de un router).
Shaping. Permite a los administradores definir anchos de banda mximos y

garantizados para cada tipo de trfico, para que adems de establecer
prioridades, sea posible ajustar los flujos que se consumen. El sistema incorpora
adems un mecanismo de prstamo de ancho de banda sobrante, para que el
sistema pueda repartir el ancho de banda que no se consume en un momento
determinado, para aquellos flujos que presentan mayores requisitos.
Gestin de flujos. Permite definir cuntas sesiones concurrentes pueden tener
lugar dentro de una poltica, as como cunto ancho de banda puede consumir
como mximo cada una de ellas. Gracias a este mdulo se garantiza que un
nico usuario (o sesin) no consumir todos los recursos asignados por el
mdulo de shaping.
Scheduler. El sistema incorpora un mdulo de planificacin, que permite que las
polticas de gestin del ancho de banda definidas, se puedan activar y desactivar
en base a franjas horarias o das de la semana. As pues los administradores

Fecha: 25/04/2007
Pgina 10 de 30
pueden determinar que algunos tipos de trfico estarn nicamente permitidos a

partir de determinadas horas o das.
Control de accesos. El sistema incorpora adems un mecanismo de control de
accesos (similar a las ACLs de un router) por lo que puede utilizarse tambin
para crear reglas de filtrado de trfico.
El sistema incluye adems soporte a Diffserv y ToS, e incorpora adems mecanismos
para evitar la congestin de la red (algoritmos RED y WRED).
La siguiente figura, Figura 3, muestra un esquema del modo de funcionamiento del
sistema de gestin de ancho de banda en LinkProof:
Figura 3.- Descripcin del funcionamiento del mdulo de BWM

Fecha: 25/04/2007
Pgina 11 de 30
Intrusin Prevention
Sistema de prevencin de intrusiones de red. Al igual que con el mdulo de BWM, visto
anteriormente, se requiere una licencia adicional (que incluye las funcionalidades de
IPS+BWM).
Gracias a este mdulo el sistema puede reconocer en tiempo real aquellos patrones de
trfico que se consideren maliciosos, gracias a una base de datos de firmas, y
eliminarlos (o slo reportarlos, como si se tratara de un IDS en lnea).
Los componentes que integran este mdulo son:
Intrusion Prevention. Detecta y elimina los ataques basado en firmas, haciendo
una inspeccin paquete por paquete. Todos los ataques se encuentran
agrupados en diferentes categoras (Worms, Top-N, Web, FTP, spyware ), de
modo que la gestin de las polticas de seguridad es realmente sencilla. Adems
tambin se ofrecen perfiles preconfigurados, en base a diferentes topologas de
red, de modo que los administradores puedan rpidamente aplicar la poltica de
seguridad ms idnea para su entorno.
Protocol Anomaly Detection. Detecta y elimina intentos violaciones a los
protocolos. Para ello utiliza una base de datos de firmas, as como un mdulo de
Stateful Inspection, que se encarga de chequear (gracias a una mquina de
estados), que no se produce ninguna alteracin en el flujo esperable para un
protocolo (en base a lo que determinan las RFCs).
Deteccin de escaneos. Permite detectar y eliminar los intentos de escaneos de
red, en base a una serie de firmas y en base a un sistema de anlisis del
comportamiento de los usuarios. Al igual que ocurre en el resto de mdulos,
los ataques se encuentran categorizados para simplificar las tareas de
configuracin y gestin. Adems el sistema cuenta con un sistema de anlisis del
comportamiento de las sesiones, lo que le permite detectar de modo genrico
cualquier
intento
de
escaneo
(tanto
vertical
como
horizontal),
independientemente de las herramientas que utilicen los atacantes. El sistema de

Fecha: 25/04/2007
Pgina 12 de 30
proteccin de escaneos genricos, cuenta adems con un mecanismo de

bloqueo dinmico (configurable por el administrador), lo que permite anular todas
las sesiones de un atacante por un perodo de tiempo.
Nota: Para poder actualizar peridicamente las firmas de los IPSs, es necesario
contratar el correspondiente servicio de actualizacin de las mismas (este servicio se
denomina SUS Security Update Service).
Denial of Service Protection

Avanzado sistema de prevencin de ataques de denegacin de servicio (conocidos y
desconocidos). Requiere el uso de una licencia extra sobre la de IPS+BWM (es decir
es necesario adquirir la licencia de IPS+BWM y la de DoS, para obtener esta
funcionalidad).
El mdulo de proteccin frente a ataques de DoS incluye los siguientes mecanismos de
proteccin en LinkProof:
DoS Shield. Este mdulo est diseado para detectar ataques de DoS conocidos
en base a una serie de firmas. En lugar de realizar una inspeccin paquete por
paquete, el sistema analiza muestras estadsticas del trfico, lo que permite tener
una visin global del conjunto del trfico procesado (este punto es especialmente
crucial cuando se intentan detectar ataques realizados con trfico legtimo, donde
la deteccin ha de realizarse en base al gran volumen de trfico enviado, y no en
base al anlisis de un nico paquete).
Proteccin SynFlood. Gracias a la utilizacin de SynCookies, el sistema es

capaz de detectar intentos de inundacin SYN y de bloquearlos, protegiendo por
tanto la pila TCP de los servidores balanceados. El mecanismo es totalmente
transparente y asegura que solamente sern balanceadas aquellas sesiones que
hayan demostrado que son legtimas.

Fecha: 25/04/2007
Pgina 13 de 30
LinkProof Balanceo inteligente de sistemas

de comunicacin
LinkProof es el producto de Radware dedicado a realizar las tareas de balanceo y
monitorizacin de los sistemas de acceso a Internet (normalmente routers). Gracias a
sus capacidades, nicas en el mercado, LinkProof garantiza la disponibilidad,
rendimiento, escalabilidad y seguridad en el acceso a las redes. Incorpora el exclusivo
algoritmo de proximidad patentado de Radware (Proximity Algorithm), lo que
garantiza la entrega de contenidos por el mejor de los enlaces disponibles, para cada
sesin.
Distribucin de la Carga
Gracias a este mdulo (basado en el flow manager visto anteriormente), el sistema
puede balancear el trfico de los diferentes sistemas que conforman las granjas.
Adems el sistema incorpora mecanismos para garantizar la persistencia de las
sesiones (nivel 4, 7), segn se muestra a continuacin.
Algoritmos de balanceo
Radware incorpora los siguientes algoritmos de balanceo en LinkProof:
1. Round Robin. Mecanismo de balanceo cclico, donde cada nueva sesin es
enviada a un nuevo servidor, de los que conforman la granja.
2. Round Robin ponderado. Similar al anterior, permite definir pesos diferentes
sobre determinados servidores, de modo que reciban ms conexiones que el
resto.
3. Hashing. Mecanismo de balanceo esttico. Para la misma IP origen el equipo
siempre enva el trfico hacia el mismo servidor. Ofrece la ventaja de que la
decisin de balanceo se toma muy rpido, pero por el contrario el balanceo que
se obtiene es muy pobre. Es especialmente til en entornos de muy alto
rendimiento, donde las IPs de los clientes son altamente cambiantes.

Fecha: 25/04/2007
Pgina 14 de 30
4. Menor cantidad de sesiones local y global (de un servidor para una granja en
particular, o para todas en las que participa)
5. Menor cantidad de trfico local y global (de un servidor para una granja en
particular, o para todas en las que participa)
6. SNMP. Permite al usuario incorporar cualquier consulta SNMP que el equipo
lanzar contra los servidores, para tomar la decisin de balanceo en base a la
respuesta recibida (por ejemplo: CPU utilizada, memoria, trfico por un
interfaz,). Se pueden anidar hasta dos consultas diferentes para tomar la
decisin en funcin de la respuesta recibida para ambas.
7. Windows. Especialmente diseado para servidores con sistema operativo
Windows de Microsoft. Permite interrogar al agente de rendimiento del sistema
operativo sobre el rendimiento que ofrece el servidor, y tomar la decisin de
balanceo en base a la respuesta obtenida.
8. Menor tiempo de respuesta. El sistema utiliza los resultados de las
monitorizaciones, que realiza el mdulo de chequeo del estado de salud
(revisado en el siguiente punto), para tomar la decisin de balanceo. Puesto que
el mdulo de chequeo permite lanzar consultas similares a los que lanzan los
clientes, las mediciones realizadas con este mdulo son las ms fiables (se
aproximan con mayor grado de acierto a la realidad de las aplicaciones). Adems
este algoritmo permite tomar varias muestras, sobre las que se evala una
media, para que la decisin no yerre a causa de un pico puntual.
9. Proximidad: Linkproof incorpora el exclusivo algoritmo de proximidad patentado
de Radware (Proximity Algorithm), lo que garantiza la entrega de contenidos
por el mejor de los enlaces disponibles, para cada sesin. Se recomienda utilizar
este mecanismo, puesto que es el que entrega mayor granularidad y precisin a
la hora de tomar la decisin de balanceo. El clculo de la proximidad es realizado
de modo dinmico y transparente por LP, y se almacena en una tabla interna, en
base a los siguientes parmetros:

Fecha: 25/04/2007
Pgina 15 de 30
9 Latencia. LP calcula el tiempo (en milisegundos) que se tarda en alcanzar

cada uno de los destinos/orgenes con los que est trabajando la red.
9 Nmero de saltos. LP mide el nmero de saltos (normalmente nmero de
routers) que se necesita para acceder a un destino.
9 Carga de cada enlace. Puesto que LP conoce todo el trfico que entra o
sale por cada router, tiene en cuenta tambin el estado de cada enlace
cuando va a tomar una nueva decisin de balanceo.
9 Coste de las lneas (si se define). Permite al administrador distribuir el
trfico en base al coste de las lneas. Esta funcionalidad es especialmente
interesante cuando se cuenta con lneas de acceso de tarificacin por
consumo.
Es importante sealar que LinkProof permite adems al administrador decidir
si quiere otorgar ms peso a alguna de las medidas del clculo de
proximidad, o si por el contrario considera que todas pesan igual.
Balanceo
Las operaciones de balanceo se pueden realizar a nivel 3 (IP), 4 (IP+Puerto) 7
(contenido, para trfico HTTP). Para realizar el balanceo a nivel 7, los balanceadores
pueden tomar las decisiones en base a la siguiente informacin:
URLs
Informacin de la cabecera HTTP
Tipo de Fichero
Expresiones regulares (definibles por el usuario)

Fecha: 25/04/2007
Pgina 16 de 30
Persistencia de Sesiones
La garanta de la persistencia de las sesiones es crtica, para asegurar que se ofrece un
algoritmo de balanceo con suficiente granularidad, y que por otra parte no se quebranta
la persistencia lgica que una aplicacin con mltiples sockets de cliente puede requerir
(por ejemplo una aplicacin HTTP que est compuesta de varias conexiones fsicas para
una misma conexin lgica).
LinkProof mantiene la persistencia de las sesiones en una tabla interna, denominada
tabla de clientes. Esta tabla se actualiza conforme va hacindolo el intercambio de
informacin entre clientes y servidores.
LinkProof permite garantizar la persistencia de sesiones en base a los siguientes
parmetros:
Nivel 3. La persistencia se mantiene nicamente en base a la direccin IP del
cliente.
Nivel 4. La persistencia se mantiene en base a la direccin IP ms el puerto
origen del cliente.
Monitorizacin del estado de salud

Gracias a este mdulo (basado en el health monitoring visto en la definicin del sistema
operativo), el sistema puede monitorizar el estado de salud de los sistemas que est
balanceando y asegurarse de que enva el trfico siempre al que est disponible.
Radware incorpora los siguientes mtodos de monitorizacin ya predefinidos:
ARP
Diameter
IMAP4
Citrix App
FIX
LDAP
FTP
LDAPS
HTTP
NNTP
Browsing
Citrix ICA
DNS

Fecha: 25/04/2007
Pgina 17 de 30
POP3
Radius
Authentication
Physical Port
Ping
RTSP
Radius
Accounting
SIP TCP
SSL Hello
TCP Port
UDP Port
SIP UDP
SMTP
SNMP
SSL
El hecho de que todos estos mecanismos estn ya implementados, facilita enormemente

las labores de gestin de los sistemas balanceados, puesto que la definicin de los
chequeos es prcticamente inmediata.
Adems LinkProof permite al usuario definirse chequeos personalizados,
utilizando un potente (y sencillo), mecanismo de scripting grfico. De este modo el
usuario puede incluso detallar el intercambio de informacin TCP entre el balanceador y
los sistemas que desea chequear, especificando el detalle del contenido de cada
paquete.
El mdulo permite adems utilizar varios chequeos encadenados, para comprobar el
estado de salud de las aplicaciones. Esto permite a los administradores definir chequeos
de salud, que realmente se corresponden con las operaciones que los usuarios realizan
habitualmente contra los sistemas (por ejemplo chequeo de los frontales web, servidores
de aplicacin y base de datos, para una tpica arquitectura de tres capas).
Adems, y tal y como se vio anteriormente en el punto de descripcin del balanceo, el
mdulo permite medir los tiempos de respuesta de los chequeos y enviar esta
informacin al sistema de balanceo, para que la decisin se base realmente sobre cmo
se comportan las aplicaciones (como se coment anteriormente se recomienda utilizar
este algoritmo de balanceo, por ser el ms eficaz).

Fecha: 25/04/2007
Pgina 18 de 30
Balanceo de Salida
Adems de los algoritmos de balanceo vistos anteriormente (de los que recomendamos
Proximidad), para realizar el balanceo de salida, LinkProof utiliza la tecnologa
denominada SmartNAT. Bsicamente este mecanismo consiste en la capacidad que
tiene el equipo de seleccionar transparentemente una IP de cada uno de los pooles
disponibles, en base al operador que se est seleccionando.
Supongamos por ejemplo que LinkProof est balanceando dos operadores, que han
asignado los direccionamientos pblicos 1.1.1.0/28 y 2.2.2.0/28. Si configuramos que
para la navegacin se van a utilizar las IPs 1.1.1.10 y 2.2.2.10 respectivamente, el
sistema de SmartNaT se encarga de automticamente de aplicar el NAT adecuado a
cada sesin (1.1.1.10 2.2.2.10), en base al proveedor seleccionado por el algoritmo de
balanceo.
La aplicacin de estos mecanismos de NAT, garantizan que el trfico retornar siguiendo
el camino inverso.
LinkProof soporta los siguientes mecanismos de NAT:
9 NAT Esttico: Diseado fundamentalmente para ofrecer acceso hacia los
servidores (normalmente por tanto para el balanceo de entrada). La relacin
es 1:1
9 NAT Dinmico: Diseado para enmascarar mltiples IPs sobre una sola
(normalmente se usa por tanto para el balanceo de salida). La relacin es
N:1.
9 NAT Bsico: Combinacin de los dos anteriores, donde se permiten varios
clientes para una misma IP, preservando adems el puerto origen del
cliente. Ser necesario utilizar un pool de IPs de NAT, si varios clientes
acceden simultneamente con el mismo puerto origen.
9 No NAT: En este caso LinkProof no hace ninguna modificacin a los
paquetes. Se emplea para entornos en el que el trfico llega para uno de los

Fecha: 25/04/2007
Pgina 19 de 30
proveedores con las IPs pblicas adecuadas, y que por tanto no necesitan
ser modificadas.
Balanceo de Entrada
Para realizar el balanceo de entrada LinkProof utiliza, adems del mismo mecanismo de
SmartNat visto anteriormente, un sistema basado en DNS. As LinkProof incorpora un
DNS que recibe las consultas de los clientes externos, devolvindoles en cada caso el
registro asociado al proveedor que mejor garantice la conexin en cada momento (esta
decisin se toma en base al algoritmo de Proximidad visto anteriormente).
Cuando un cliente intenta conectarse a una red gestionada por LinkProof, lanzar una
consulta a su DNS. El DNS del cliente terminar consultando al DNS autoritativo de la
red, que tiene delegado en LP la resolucin de los registros DNS asociados a servicios
balanceados. LP devolver por tanto el registro asociado al proveedor que mejor
responda en cada momento.
LinkProof incorpora mecanismos de DNS que permiten servir mltiples IPs en una
misma respuesta (garantizando por tanto la disponibilidad incluso en caso de fallo
inmediato de un operador), as como mecanismos para evitar que los DNSs de los
clientes cacheen las peticiones.
Todas estas caractersticas garantizan que los contenidos se servirn siempre a travs
del mejor enlace disponible.
Grouping
Adems de las funcionalidades ya vistas, LinkProof incorpora adems capacidades para
que el administrador decida si determinados tipos de trfico han de servirse
obligatoriamente por un determinado operador.

Fecha: 25/04/2007
Pgina 20 de 30
Este mecanismo, de gran flexibilidad, permite adems definir sistemas de backup, de

modo que si el proveedor prioritario deja de ofrecer servicio, Linkproof puede enrutar el
trfico por uno secundario.
LinkProof soporta los siguientes mecanismos de Grouping:
9 Source Grouping: Este mecanismo permite que los administradores
seleccionen determinados operadores, para equipos que tengan una IP
origen determinada. Es vlido tanto para el balanceo de salida como para el
balanceo de entrada.
9 Destination Grouping: Similar al anterior, permite que el administrador
seleccione los routers en base a las direcciones IP de destino. Tambin
sirve tanto para el balanceo de salida como para el de entrada.
9 Application Grouping: Permite seleccionar los routers de salida, en base al
puerto que utilizan las aplicaciones. Es por tanto solamente vlido para el
balanceo de salida. Este sistema permite por ejemplo que toda la
navegacin de la red vaya por un router ADSL, de modo que no interfiera
con los routers que gestionan las lneas dedicadas a la produccin.
Redundancia entre sistemas LinkProof

Los sistemas LinkProof permiten ser redundados, utilizando para ello dos mecanismos
seleccionables por el administrador. Es importante sealar que no se requiere ninguna
interfaz dedicada, por lo que no se consume ningn puerto de red extra para estos
propsitos.
Los dos mecanismos descritos a continuacin, permiten que los balanceadores trabajen
de modo Activo-Pasivo (ntese que no es posible Activo-Activo, puesto que se trata de
sistemas enrutadores):
Mecanismo de redundancia propietario. Se basa en la realizacin de consultas
ARP del equipo de backup al principal. Cuando el equipo secundario detecta que
el principal deja de responder, toma el control de todos los sistemas, anunciando
sus nuevas MAC a la red.

Fecha: 25/04/2007
Pgina 21 de 30
Mecanismo de redundancia VRRP. Se basa en la implementacin del protocolo

estndar VRRP. Presenta la gran ventaja de que ambos dispositivos comparten
la misma MAC (que es virtual), por lo que se garantiza que la conmutacin de un
dispositivo a otro es muy rpida. Adems se soportan implementaciones de 2 3
IPs por interfaz (ahorra IPs en caso de implementaciones en entornos con
direccionamiento pblico), as como que los VRRP advertisements vayan
cifrados, para mayor seguridad. Se recomienda que la implementacin de la alta
disponibilidad entre los balanceadores de cada zona, se realice utilizando VRRP.
El sistema de redundancia permite tambin que la tabla de sesiones (tabla de clientes),
se copie entre ambos dispositivos, para garantizar que cuando el equipo de backup tome
el control se mantenga la persistencia de las sesiones que manejaba su compaero
(mirroring de sesiones).
Finalmente sealar que ambos mecanismos de redundancia (propietario o VRRP)
implementan mecanismos destinados a garantizar que no se producirn situaciones de
routing asimtrico, bucles de red, etc.
Otros
A continuacin se enumeran algunos otros servicios, no mencionados anteriormente y
que tambin ofrecen los sistemas LinkProof:
Virtual Tunneling. El balanceador es capaz de establecer tneles virtuales
extremo a extremo, para encapsular sobre redes pblicas trfico privado (ntese
que requiere por tanto el uso de LinkProof en ambos extremos de red). Si en
cada sede disponemos de dos routers de salida a Internet, LinkProof establecer
los tneles a travs de los cuatro caminos posibles, distribuyendo todo el trfico
entre ellos. Este protocolo es especialmente til para balancear trfico de VPNs
entre sedes a travs de Internet de modo totalmente seguro. LinkProof permite,
gracias al Virtual Tunneling, no solamente dotar de alta disponibilidad al trfico
IPSEC, sino tambin balancearlo, paquete por paquete, lo que aumenta
notablemente el aprovechamiento de la inversin.

Fecha: 25/04/2007
Pgina 22 de 30
Compresin. Esta funcionalidad, que tambin trabaja extremo a extremo y por

tanto requiere del uso de LinkProof en ambas partes, permite utilizar el algoritmo
IPComp para que todo el trfico intercambiado entre ambos LinkProofs vaya
comprimido, de modo que se ahorra ancho de banda.
VPN LAN-LAN: Disponible nicamente en los equipos ms pequeos (LinkProof
Branch), permite que sea el propio LinkProof el que finalice los tneles VPN.
Incluye un sistema estndar IPSEC, por lo que se puede integrar con cualquier
otro fabricante que utilice el mismo protocolo. Es interesante sealar que tanto
las funcionalidades de Virtual Tunneling como de compresin, se pueden utilizar
conjuntamente con las de VPN, por lo que el cliente no requiere instalar ningn
otro dispositivo en sus oficinas remotas o sedes de pequeo tamao.

Fecha: 25/04/2007
Pgina 23 de 30
Gestin con APSolute Insite

APSolute Insite , es el sistema de gestin integral propietario de Radware. Basado en
un potente desarrollo software realizado en Java, APSolute Insite es la herramienta ideal
para la gestin adecuada de los equipos de Radware.
Entre las caractersticas ms notables de APSolute Insite podemos sealar:
Soporte a la gestin de todos los equipos de Radware desde un punto
centralizado (va SNMP).
Facilidad en la configuracin, a travs de un entorno GUI muy intuitivo.
Incorpora mltiples reportes predefinidos y configurables por el usuario,
tanto en tiempo real como histrico.
Incluye configuradores automticos para las aplicaciones y entornos ms
tpicos (seguridad, Oracle, aceleracin, QoS).
Soporte a comunicaciones seguras en la gestin de los equipos, a travs de
configuracin con SNMP v3 (se incluye soporte para la autenticacin y el cifrado
de la comunicacin).
Definicin de diferentes roles para distintos grupos de usuarios, que tendrn
diferentes permisos de configuracin.
Incorpora herramientas de troubleshooting y auditora.
Permite distribuir y actualizar versiones de software automticamente sobre
mltiples plataformas.
Permite monitorizar el estado de salud de toda la red con un simple vistazo,
y ver rpidamente dnde se puede encontrar un problema.
Permite al administrador trabajar simultneamente con entornos grficos y de
tablas, que anan simplicidad y potencia en la gestin (Site Explorer y Maps).

Fecha: 25/04/2007
Pgina 24 de 30
Incluye mecanismos de alerta, para detectar inmediatamente los fallos en los

sistemas.
Permite la ejecucin de macros, asociadas a diferentes tipos de eventos,
que el administrador puede definir. As, es posible configurar un equipo y a travs
de una macro replicar dicha configuracin tantas veces como sea necesario.
Permite al administrador crear nuevas clases, tipos de trfico, scripts de
monitorizacin, de modo sencillo a travs del GUI.
Gestiona de modo centralizado todas las alertas de seguridad.
Incluye opcionalmente plug ins para integrarse con herramientas de gestin
de terceros
A continuacin se muestran diferentes imgenes que muestran varios ejemplos de
las pantallas de configuracin, gestin y reporting de APSolute Insite:
Figura 4.- Ejemplo de configuracin de mltiples dispositivos Radware con

APSInsite

Fecha: 25/04/2007
Pgina 25 de 30
Figura 5.- Ejemplo de configuracin de roles con APSInsite
Figura 6.- Ejemplo de ejecucin de macros con APSInsite

Fecha: 25/04/2007
Pgina 26 de 30
Figura 7.- Ejemplo de vista de alertas con APSInsite
Figura 8.- Ejemplo de reporte histrico con APSInsite para las sesiones de una
granja

Fecha: 25/04/2007
Pgina 27 de 30
Figura 9.- Ejemplo de reporte comparativo con APSInsite
Figura 10.- Ejemplo de reporte en tiempo real de seguridad

Fecha: 25/04/2007
Pgina 28 de 30
Figura 11.- Ejemplo de reporte en tiempo real de BWM
Figura 12.- Ejemplo de reporte con la informacin geogrfica sobre el origen de

los ataques detectados

Fecha: 25/04/2007
Pgina 29 de 30
Anexo Caractersticas LP 1000

General
Throughput mximo:
Hasta 1 Gbps
Velocidad Backplane (no-bloqueante):
19,2 Gbps
Procesador RISC:
MPC 7410 500 MHz (PowerPC)
Layer 2 Switching:
Wire Speed
RAM:
256 MB
VLANs:
64
Next Hop Routers:
10
Firewalls:
100
VIP (Virtual IPs):
400
Interfaces IP:
2.000
Entradas en tablas de rutas:
32.000
Sesiones Simultneas:
Ilimitadas
Protocolos de Routing:
OSPF, RIP, RIP II
Firewalls soportados:
Stateful,
Transparent
no
Transparent
Entradas NAT soportadas:
8.000
Gestin:
Apsolute Insite (SNMP), Web, SSH,

Telnet,
HP
OpenView,
comandos
Interfaces
Puertos GigaBit/GBIC:
5 (fibra o cobre)
Puertos Fast/Ethernet:
16
Puerto de consola:
RS-232-C
lnea
de

Fecha: 25/04/2007
Pgina 30 de 30
Dimensiones
Alto:
1 U (44 mm)
Ancho:
432 mm
Profundidad:
475 mm
Peso:
5,3 Kg
Alimentacin
Fuente de alimentacin:
100/250VAC; 50/60Hz
Caractersticas adicionales
Mdulo SYNAPPS Nivel II (BWM+IPS):
Opcional
Mdulo SYNAPPS Nivel III (DoS):
Opcional

Radware Inkproof-Preventa

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Radware Inkproof-Preventa

Cargado por

Copyright:

Formatos disponibles

LinkProof 1000

Documentacin para preventa

LP 200-202 Documentacin para la preventa

SISTEMA OPERATIVO APSOLUTEOS ............................................................4

LINKPROOF BALANCEO INTELIGENTE DE SISTEMAS DE

GESTIN CON APSOLUTE INSITE...................................................................23

LP 200-202 Documentacin para la preventa

LP 200-202 Documentacin para la preventa

Sistema Operativo APSoluteOS

Figura 1.- Sistema Operativo APSoluteOS

La siguiente figura, Figura 2, muestra la lgica de funcionamiento de los diferentes

LP 200-202 Documentacin para la preventa

A continuacin se detalla la misin y funcionalidades de cada uno de los mdulos:

LP 200-202 Documentacin para la preventa

Protocolo IP, TCP, UDP u Otro

- esttica o dinmica, incluyendo 70

Basada en paquete o texto incluyendo cualquier tipo de

Cualquier combinacin de las anteriores

Redirigir/Reenviar/Copiar a cualquier tipo de dispositivo: transparente

Especificar el orden en que el trfico fluye entre los dispositivos.

LP 200-202 Documentacin para la preventa

Tomar decisiones en cada paso basndose en los criterios de

Asegurar y optimizar la disponibilidad, rendimiento y seguridad de cada

IP / TCP&UDP Level Monitoring

ARP, puerto TCP, puerto UDP, Ping

Monitorizacin del contenido

LP 200-202 Documentacin para la preventa

Usuario & password,

verificacin de cdigos HTTP,

disponibilidad de la aplicacin en servidores Citrix,

Health checks definibles por el usuario

Generacin de dependencias personalizables

Ligar mltiples chequeos con condiciones de tipo AND/OR

Chequeos inversos (lgica negativa)

Generacin automtica de emails, pginas de error,

Configuracin automtica de acciones utilizando APSolute Insite, en caso

LP 200-202 Documentacin para la preventa

Clasificar. Permite reconocer automticamente el trfico de las sesiones en base

Priorizar. Gracias a un algoritmo basado en colas, el administrador puede

Shaping. Permite a los administradores definir anchos de banda mximos y

LP 200-202 Documentacin para la preventa

pueden determinar que algunos tipos de trfico estarn nicamente permitidos a

Figura 3.- Descripcin del funcionamiento del mdulo de BWM

LP 200-202 Documentacin para la preventa

independientemente de las herramientas que utilicen los atacantes. El sistema de

LP 200-202 Documentacin para la preventa

proteccin de escaneos genricos, cuenta adems con un mecanismo de

Denial of Service Protection

Proteccin SynFlood. Gracias a la utilizacin de SynCookies, el sistema es

LP 200-202 Documentacin para la preventa

LinkProof Balanceo inteligente de sistemas

LP 200-202 Documentacin para la preventa

LP 200-202 Documentacin para la preventa

9 Latencia. LP calcula el tiempo (en milisegundos) que se tarda en alcanzar

LP 200-202 Documentacin para la preventa

Monitorizacin del estado de salud

LP 200-202 Documentacin para la preventa

El hecho de que todos estos mecanismos estn ya implementados, facilita enormemente

LP 200-202 Documentacin para la preventa

LP 200-202 Documentacin para la preventa

LP 200-202 Documentacin para la preventa

Este mecanismo, de gran flexibilidad, permite adems definir sistemas de backup, de

Redundancia entre sistemas LinkProof