RedWare随着IT信息技术的高速更新，以及基于Internet应用的迅猛发展，市场需求已经从最初的PC时代，业已流行的internet时代，快速演变到目前所有以应用为重的网络应用时代。

在当今相互连接的世界，大型企业、金融机构、电信、能源等各行业均通过应用的网络化和基于Web的应用推动自身生产力或收益的增长。

然而，基于网络的关键业务，也同样面临爆炸式访问量的增长压力；黑客泛滥背景下的安全威胁；以及各网络设备或应用的不稳定风险，一旦关键业务应用遇到这些困难，将使企业面临具额的经济损失。

例如，对于一个中型企业而言，应用故障每分钟造成的平均损失可高达50.000美元，更不用提可能高达数百万美元的应用部署管理费用、基础设施投资和应用交付成本。

因此，如何保证关键业务应用的可用性、提高性能和保证安全性？如何使关键业务具有最大的增长潜力，降低部署复杂度，并提高对IT基础设施和人员的投资收益等问题，成为各行业在建设或扩展网络，发布应用时最关心的问题之一。

Radware公司的APSolute智能应用网络解决方案，以智能应用技术为基础，将先进的负载均衡、应用交换、应用优化和包括业界领先的防Dos攻击，IPS，带宽管理等技术在内的应用安全解决方案进行整合，是一个使网络能够尽快的满足动态的应用和业务需要而设计的集成的解决方案，采用Radware的APSolute智能应用网络解决方案可以解决应用发布时遇到的流量过载、交易故障、数据拥塞，服务器性能瓶颈，安全漏洞、高昂的升级成本以及网络管理等问题。

APSolute 智能应用网络解决方案包括以下三个部分的内容：APSolute 应用访问提供完整的远程访问解决方案，该解决方案将诸多功能汇聚一身，例如多链路的WAN连接管理、访问控制、带宽管理、点到点压缩、集成VPN网关、入侵防范和服务保护的拒绝等；同时，这个强大的全企业范围内的解决方案支持“无服务器”分支体系结构，大大的简化了远程应用部署，能够在混合的公共和租赁线路中提供全面的灵活性。

APSolute 应用访问降低了WAN的复杂性，提高了网络性能、降低了网络连接的费用，同时降低了网络基础设施的投资和运行成本。

APSolute应用访问解决方案支持Radware公司下一代APSolute OS应用感知软件体系结构的全部功能。

包括LinkProof系列产品。

APSolute应用前端为数据中心最优化提供统一的解决方案。

该解决方案支持Radware公司下一代APSolute OS应用智能软件体系结构的全部功能，能够为企业和电信运营商智能优化数据中心，保障网络应用的高可用性、提升网络性能，加强安全性，全面提升IT服务器等网络基础设施的升值潜力；包括APPDirector 和APPXcel系列产品。

APSolute应用安全解决方案的系列产品全面提升了入侵防护和防Dos攻击性能，能够保证用户、网络应用和网络自身不受攻击，同时为企业和电信运营商优化了精益求精的网络安全防护工具，保护了网络应用，驱动了网络安全性能的全面提升。

该解决方案充分利用了APSolute OS内含的安全功能，以实现集成的入侵防范和Dos保护。

一旦被激活，APSolute OS IPS和DOS功能就能通过在攻击和恶意活动接近应用之前对其进行阻止，来确保关键任务应用的可用性和性能；同时，快速地将合法和安全的通信转交到适当的网络资源，确保业务连续性。

包括DefensePro 和SecureFlow系列产品。

1 市场定位随着Internet及Intranet市场快速持续增长，有关网络流量及IP服务品质的相关问题日趋严重。

大量企业和机构都采用多条internet链路的方式来扩展链路带宽、解决链路的单点故障问题。

Radware公司作为全球领先的网络智能应用交换解决方案提供商，其任务就是通过最优化的资源的使用率，在Internet、Intranet或Extranet应用中提供既经济、功能又强大的网络应用环境。

该类方案能确保动态网络的稳定性，包括提供最优的连续性、个性化的安全服务。

Radware的LinkProof （LP）能够实现企业内部用户对外访问和外部用户对企业内部资源访问的负载均衡，把对内对外的流量根据预先设定的策略（比如就近性）负载均衡到不同的链路上。

同时实时监控链路的健康状况，实现链路之间的相互备份。

2 功能介绍2.1 典型网络拓扑Radware LinkProof通常部署在网络的出口，直接连接运营商的链路。

对于所有进出网络的流量实现链路的负载均衡。

2.2 SmartNAT对于流量的智能地址管理，LinkProof使用了称为SmartNAT的算法。

当选定一个路由器（某一个ISP）传送流出流量时，LinkProof将选择该ISP提供的地址。

在图中，如果LinkProof选择ISP 1作为流出流量的路径，则它将把内部的主机地址翻译为ISP 1路由接入网段的地址，并作为流出数据包的源地址。

同样，如果LinkProof选择ISP 2作为流出流量的路径，则它将把内部的主机地址翻译为ISP 2路由接入网段的地址并作为流出数据包的源地址。

LinkProof 支持dynamic、static、basic三种NAT方式，分别实现一对多、一对一、多对多的地址翻译。

2.3 就近性路由为了优化流入和流出的流量，LinkProof还为流量实施就近性运算。

LinkProof使用就近性判断机制。

就近性机制分为静态和动态两种方式：静态就近性：针对已知的用户范围和网络的就近性（例如网通用户应采用网通线路，电信用户使用电信线路），LinkProof上可以设置静态就近性表，要求用户严格按照该表来选择线路；动态就近性：考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算，选择最佳的流入流量传输路径，进行最终的解析地址。

这个“近”其实是“最佳”的概念，因为往往物理上最近的线路不见得就是当时最佳的路径，将Latency，Hop，Load参数通盘考虑选优是Radware独有的技术并已获取专利，能够准确有效地选择最佳路径。

2.4 链路健康检查LinkProof能够灵活有效地判断Internet链路的健康状况，作为分配流量的前提。

LinkProof 的健康检查模块提供更为健全和灵活的判断机制。

当ICMP的数据包出于安全原因而被ISP禁止时，该方法了优势就有了更充分的体现。

此时，可以通过多个Internet站点的可达性，来共同判断一条链路的状况。

例如，通过电信线路检查、、以及的TCP 80端口，并对检查结果做“或”运算。

这样，只要其中一个站点可达，即可表明链路状态良好。

该方法即避免了ICMP检查的局限性，也避免了单一站点检查带来的单点失误。

当一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。

因此，LinkProof提供了全路径健康检查的功能，可以做到从发起端到接收端进行全面而精确的健康检查，最多能够完成10跳路由的健康的检测，从而保证整条数据链路的通畅，提高服务质量。

2.5 分组策略LinkProof也能根据用户的特殊需要实现类似策略路由的方式。

在LinkProof 中我们把他称为分组（grouping）。

分组的功能能根据流量的目的地址、端口号码、源地址强制流量定向到某一条链路，其他链路可以设置为备份状态。

2.6 出站流量的负载均衡当内部网络一用户访问访问企业外部的一资源，LinkProof会根据预先设定的策略或就近性选择最佳链路，一旦链路选定，LinkProof会根据SmartNAT进行地址翻译并记录该用户选择的链路以供未来的流量使用。

当所有策略全部不匹配时，LinkProof会根据负载均衡的算法选择链路，LinkProof支持多种负载均衡的算法，包括轮询、加权轮询、最少用户、最少流量等等。

2.7 进站流量的负载均衡LinkProof能够灵活有效地管理来自Internet的访问，即流入（InBound）流量。

使用户总是沿着最佳链路访问网站等服务，达到最佳的用户响应。

如下图所示,假设图中有一台WEBserver,提供internet主机名为的服务,私有地址为192.168.1.100.针对采用域名方式实现访问的应用，SmartNAT功能和LinkProof上集成的DNS代理结合在一起，即能够完成流入流量的负载均衡。

在DNS服务器上注册两笔NS记录，指向LinkProof：NS LP-CNCNS LP-Telecom而在LinkProof上设置URL与内部主机地址的对应关系： 192.168.1.100而在LinkProof上设置静态的地址翻译：192.168.1.100 100.1.1.100192.168.1.100 200.1.1.100当有Internet用户访问 时，DNS服务器回应给用户由LinkProof来完成最终地址解析。

LinkProof根据用户的具体设置来选定适当的ISP线路，如果是网通用户则选择电信ISP，将地址解析为100.1.1.100。

同样，如果是电信用户则选择电信ISP，则将地址解析为200.1.1.100。

从而完成流入流量的负载均衡。

针对直接采用地址实现访问的应用，LinkProof通过静态NAT将服务的内部地址一对一地转换为公网地址。

2.8 带宽管理和流量整形带宽管理是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量，然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。

它允许网络管理者完全而有效的控制他们可用的带宽，使用这些功能可以按照一系列标准，指定应用程序的优先次序，同时还考虑了每个应用程序已使用的带宽。

在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。

针对经济信息中心公司，我们主要可以通过以下两种方式保证关键应用的服务器质量：关键应用带宽保证：通过对关机主机、应用（HTTP、HTTPS等）的带宽保证，确保在任何情况下，关键应用有足够的带宽。

减少和控制其它应用：对于消耗带宽的非关键应用，通过限制最高带宽甚至禁止的方式来较少和避免对关键应用的影响。

2.9 安全防护应用安全模块包含的一组功能集使Radware 的产品能够保护敏感的网络资源不受到各种安全问题的影响。

此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的Internet 资源中隐藏起来。

同时还能够为使用SynApps 流量管理的敏感资源提供高级的安全性，这包括检测并预防1500多个恶意攻击信息，包括特洛伊木马、后门、DoS 和DdoS 攻击。

此模块能够处理以下攻击：∙拒绝服务(DOS/DDOS) 攻击∙缓冲区溢出/超限∙利用已知的Bugs，误配置和默认的安装问题来进行攻击∙在攻击前探测流量∙未授权的网络流量∙后门/特洛伊木马∙端口扫描(Connect & Stealth)2.10 Active-Standby设备冗余考虑到企业采用多条链路解决了链路的单点故障，只采用单台设备又引入了另外一个单点故障。