请输入您要查询的百科知识:

 

词条 计算机网络攻击与防范
释义

《计算机网络攻击与防范》是一本从实战出发,以应用为目的,以防范手段为重点,集理论性、实战性、应用性和操作性为一体,紧密跟踪计算机网络安全领域的热点问题、难点问题和最新防范技术运用的教材。教材从应用的角度,系统介绍了计算机网络攻击与防范所涉及的基础理论、攻击手段和防范技术。通过理论学习、实战演练,读者能够综合运用书中所讲授的技术进行网络攻击与防范方面的实践。

序言

随着计算机网络技术的迅速发展,网络在经济、军事、文教、金融、商业等诸多领域得到广泛应用,可以说网络无处不在,它正在改变我们的工作方式和生活方式。计算机网络在给人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。如何保护个人、企业、国家的机密信息不受黑客和间谍的入侵,如何保证计算机网络安全并不间断地工作,是国家和单位信息化建设必须考虑的重要问题。然而,计算机网络的安全是一个错综复杂的问题,涉及面非常广,既有技术因素,又有管理因素;既有自然因素,又有人为因素;既有外部的安全威胁,又有内部的安全隐患。

本教材作为计算机网络安全的专门教材,结合高职高专学生的实际情况,着重从实践角度讲解了网络安全概念、网络安全威胁、常见网络攻击手段、网络安全标准、网络安全防范策略及最新的网络安全防范技术。全书共分13章:第1章为计算机网络安全概述,对网络安全所涉及的相关问题进行了概要性描述;第2章主要介绍了计算机病毒与防治;第3章介绍了Windows 2000系统的安全防范;第4章介绍了Web应用服务安全防护手段;第5章介绍了数据库安全防范措施;第6章介绍了常见网络攻击的手段与防范方法;第7章-第11章分别介绍了“信息加密与PKI”、“访问控制技术”、“防火墙技术”、“入侵检测技术”、“VPN技术”等网络安全防范技术;第12章重点介绍了作为保证数据有效性、提高系统可靠性的重要手段——各份技术与灾难恢复策略。

一、公司简介 3

二、 DDOS概述 4

三、DDoS的形势及趋势 5

3.1 攻击影响 5

3.2攻击分析 6

3.3 DDOS攻击的发展趋势 7

四、互联网安全现状 7

4.1 行业内的安全分析 8

5.1 现状分析 9

DDOS模拟攻击图 9

5.2 受到攻击的现象 10

5.3 DDOS防护的必要性 10

5.4 当前防护手段的不足 11

5.4.1手工防护 11

5.4.2退让策略 11

5.4.3 路由器 11

5.4.4防火墙 12

5.4.5入侵检测 13

六、金盾抗拒绝服务系统解决方案 14

6.1 DDOS防护的基本要求及解决目标 17

6.2方案描述 17

6.3产品部署 18

6.4方案特点 18

6.5 方案产品介绍 19

七、金盾抗拒绝服务系统产品介绍 25

7.1产品功能 25

7.2防护原理 26

7.3精确的DDoS攻击识别与清洗 26

7.4方便的域名管理功能 27

7.6自定义规则方便对未知攻击的防范 27

7.7灵活多样的管理与维护功能 28

7.8黑白名单管理 28

7.9灵活的部署方式 28

八、金盾资质与成功案例 30

九、售后服务 35

十、价格表.......................................................................................................................................36

一、公司简介 安徽中新软件有限公司(简称“中新软件”)是集网络安全产品、软硬件开发的高科技公司。作为在国内最早具有自主研发实力的企业,中新软件在解决国内抗拒绝服务攻击技术层面至今一直处于领先地位。同时,为全国各地的客户提供完善的网络安全设备、解决方案和升级服务,持续为客户创造长期价值。

中新软件科技研发中心位于合肥市高新技术开发区机电产业园内,大厦建筑结构为主附楼各六层,总面积6000平方。中新软件大厦内部拥有一整套的员工福利设施,更加完善了公司的管理体制,为员工提供了更便捷、更优质的工作环境。同时,为公司日后深入开展自主研发科学技术创新事业,筑造了更优越的平台。

随着公司事业的不断扩展,中新软件在北京、上海、天津、南京、广州、成都、宁波、厦门已有多家直属分公司,并已成功进入韩国市场。各地分公司均为当地以及周边地区提供了一整套的服务设施,其良好的经营业绩和售后服务得到客户肯定的口碑。中新产品在电信、网通移动机房、中小型IDC企业和个人用户中获得一致好评,同时,也与诸多省市公安局网监支队建立长期稳定的合作业务关系。

中新软件的事业就像一艘乘风破浪的帆船,永远向着更高的目标不断奋进,造福社会,它既是一个充满活力,又是具有发展前景的持续成长性公司。面对未来,中新软件以组织创新为保障、以技术创新为手段、以市场创新为目标,提高企业核心竞争力,努力实现新跨越,确保企业全面和谐的持续发展。

中新软件的事业就像一艘破浪的帆船永远向着更高的目标不断奋进,造福社会。 中新软件既是一个充满活力,又是具有发展前景的持续成长性公司。公司各个部门尽职尽能,精益求精,发挥团队合作,致力于达到客户满意的目标。面对未来,中新软件以组织创新为保障、以技术创新为手段、以市场创新为目标,提高企业核心竞争力,努力实现新跨越,确保企业全面协调持续发展。

发展理念 --自强不息、坚韧不拔、勇于创新、讲究实效

把创新作为企业发展的基础,把至善至美、精益求精作为追求目标,立足于过去、迈向未来,追求卓越永远奋进。

管理理念 --文化的熏陶 制度的约束

把企业文化看作管理的最高境界,通过公司企业文化的熏陶来求得员工在价值观、事业观等方面的共识,培养员工敬业爱岗的精神,促进公司与员工的共同进步

服务理念 --客户是永远的上帝,客户的满意是我们永远的追求

一切围绕客户的需求,把服务跟随产品贯穿前后,以"客户的满意是我们永远的追求"作为工作的准则。

我们的服务定义是:

专心、专注、专业

惟其以唯一性,并与用户做到最充分的融合,

我们才能一起打造出最完美的品牌

我们的服务宗旨-承诺:

客户至上,服务第一

只要您一个电话,剩下的事由金盾来做

我们一直希望告诉您:

除了专业的工作、高效的服务和真诚的沟通外,还有我们火一样的热情和一颗与您一起在网络安全行业舞台上演绎辉煌的心。

二、DDOS概述

什么是DDoS?DDoS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",DDoS的中文名叫分布式拒绝服务攻击,俗称洪水攻击。攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DOS攻击,从而成倍地提高拒绝服务攻击的威力。

拒绝服务攻击(DOS/DDOS)是近年来愈演愈烈的一种攻击手段,其主要目的是造成目标主机的TCP/IP协议层拥塞、或者导致应用层异常终止而形成拒绝服务现象。目前,DOS/DDOS攻击方式主要有以下几种:

Ø 利用TCP/IP协议的漏洞,消耗目标主机的系统资源,使其过度负载。此种攻击也是目前最普遍存在的一种攻击形式,攻击者动辄发起几十M甚至上百M上G的攻击流量,造成目标的彻底瘫痪。常见的有SYN Flood,UDP Flood,ICMP Flood等等;

Ø 利用某些基于TCP/IP协议的软件漏洞,造成应用异常。此种攻击比较单一,通常是针对某个软件的特定版本的攻击,影响范围较小,且具有时限性。但通常此种攻击较难防治,漏洞查找较困难;

Ø 不断尝试,频繁连接的野蛮型攻击。此种攻击早期危害有限,但随着代理型攻击的加入,已渐有成为主流之势。常见的有web stress,CC Proxy Flood等。

随着网络上各种业务的普遍展开,DOS/DDOS攻击所带来的损失也愈益严重。当前运营商、企业及政府机构的各种用户时刻都面临着攻击的威胁,而可预期的更加强大的攻击工具也会成批出现,此种攻击只会数量更多、破坏力更强大,更加难以防御。

正是DOS/DDOS攻击难于防御,危害严重,所以如何有效的应对DOS攻击就成为对网络安全工作者的严峻挑战。传统网络设备或者边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DOS攻击完善的防御能力。因此必须采用专门的机制,对攻击进行检测、防护、进而遏制这类不断增长的、复杂的且极具隐蔽性的攻击形为。

三、DDoS的形势及趋势DDoS攻击一般通过Internet上那些“僵尸”系统完成,由于大量个人电脑联入Internet,且防护措施非常少,所以极易被黑客利用,通过植入某些代码,这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时,只需要同时向这些将僵尸机发送某些命令,就可以由这些“僵尸”机器完成攻击。随着Botnet的发展,DDoS造成的攻击流量的规模可以非常惊人,会给应用系统或是网络本身带来非常大的负载消耗。

3.1攻击影响

成功的DDoS攻击所带来的损失是巨大的。DDoS攻击之下的门户网站性能急剧下降,无法正常处理用户的正常访问请求,造成客户访问失败;服务质量协议(SLA)也会受到破坏,带来高额的服务赔偿。同时,公司的信誉也会蒙受损失,而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等,这些损失都是由于DDoS攻击造成的。

3.2攻击分析

那么DDoS攻击究竟如何工作呢?通常而言,网络数据包利用TCP/IP协议在Internet传输,这些数据包本身是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载;或者数据包利用了某些协议的缺陷,人为的不完整或畸形,就会造成网络设备或服务器服务正常处理,迅速消耗了系统资源,造成服务拒绝,这就是DDoS攻击的工作原理。DDoS攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DDoS攻击,比如利用基于模式匹配的IDS系统,就很难从合法包中区分出非法包。加之许多DDoS攻击都采用了伪造源地址IP的技术,从而成功的躲避了基于异常模式监控的工具的识别。

一般而言,DDoS攻击主要分为以下三种类型:

带宽型攻击——这类DDoS攻击通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致服务拒绝。

流量型攻击最通常的形式是FLOODING方式,这种攻击把大量看似合法的TCP、UDP、ICPM包发送至目标主机,甚至,有些攻击还利用源地址伪造技术来绕过检测系统的监控。

应用型攻击——这类DDoS攻击利用了诸如TCP或是HTTP协议的某些特征,通过持续占用有限的资源,从而达到阻止目标设备无法处理处理正常访问请求的目的,比如HTTP Half Open攻击和HTTP Error攻击就是该类型的攻击。

漏洞型攻击——利用系统缺陷,发送针对性的攻击报文,使得目标系统瘫痪,最终拒绝服务。

3.3 DDOS攻击的发展趋势

DDoS攻击有两个发展趋势:其一是黑客不断采用更加复杂的欺骗技术,用于躲避各类防护设备检测;其二是DDoS攻击更多地采用了合法协议构造攻击,比如利用某些游戏服务的验证协议等。这些技术的使用造成DDoS攻击更加隐蔽,也更具有破坏性。尤其是那些利用了合法应用协议和服务的DDoS攻击,非常难于识别和防护,而采用传统包过滤或限流量机制的防护设备只能更好的帮助攻击者完成DDoS攻击。

四.互联网安全现状目前,我国网络安全势态严峻。据工信部日前透露,1月4日至10日,我国境内被篡改的政府网站数量为178个,与前一周相比大幅增长409%。此消息的依据来自于国家互联网应急中心的监测结果。紧接着,全球最大的中文搜索引擎百度也遭遇攻击,从而导致用户不能正常访问。众多网站最近频遭网络攻击的消息,不禁引起业界及广大网民的深刻反思:“我们的互联网真的安全吗?”

据中国互联网络信息中心的调查报告,2009年我国网民规模达到3.84亿人,普及率达28.9%,网民规模较2008年底增长8600万人,年增长率为28.9%。中国互联网呈现出前所未有的发展与繁荣。

然而,在高速发展的背后,我们不能忽视的是互联网安全存在的极大漏洞,期盼互联网增长的不仅有渴望信息的网民,也有心存不善的黑客,不仅有滚滚而来的财富,也有让人猝不及防的损失。此次发生的政府网站篡改事件、百度被攻击事件已经给我们敲响了警钟:“重视互联网安全刻不容缓!”

显然,互联网以其网络的开放性、技术的渗透性、信息传播的交互性而广泛渗透到各个领域,有力地促进了经济社会的发展。但同时,网络信息安全问题日益突出,如不及时采取积极有效的应对措施,必将影响我国信息化的深入持续发展,对我国经济社会的健康发展带来不利影响。进一步加强网络安全工作,创建一个健康、和谐的网络环境,需要我们深入研究,落实措施。

4.1 行业内的安全分析

门户网站— — 作为大型企业门户网站,首要目的是要展示企业的形象,宣传企业文化扩大行业内的影响力。网站注重企业的稳定性和丰富的信息量网站主要是为浏览者提供信息服务的,作为大型企业信息门户网站,必须首先提供种类繁多内容丰富的资讯,使不同的访问者都能够访问到自己想要的信息。此行业如果遭受DDOS攻击,严重影响企业网站形象,部分客户流失。

电子商务网站——电子商务网站是黑客经常实施DDoS攻击的对象,其在DDoS防护方面的投资非常有必要。如果一个电子商务网站遭受了DDoS攻击,则在系统无法提供正常服务的时间内,由此引起的交易量下降、广告损失、品牌损失、网站恢复的代价等等,都应该作为其经济损失计算在内,甚至目前有些黑客还利用DDoS攻击对网站进行敲诈勒索,这些都给网站的正常运营带来极大的影响,而DDoS防护措施就可以在很大程度上减小这些损失;另一方面,这些防护措施又避免了遭受攻击的网站购买额外的带宽或是设备,节省了大量重复投资,为客户带来了更好的投资回报率。

企业/政府网络——对于企业或政府的网络系统,一般提供内部业务系统或网站的Internet出口,虽然不会涉及大量的Internet用户的访问,但是如果遭到DDoS攻击,仍然会带来巨大的损失。对于企业而言,DDoS攻击意味着业务系统不能正常对外提供服务,势必影响企业正常的生产;政府网络的出口如果遭到攻击,将会带来重大的政治影响,这些损失都是可以通过部署DDoS防护系统进行规避的。

游戏行业---- 特点是,带宽大、流量大、服务器分布广、人群集中。 网络游戏运营公司的游戏服务器遭到黑客的DDOS攻击后,将造成服务器瘫痪和网络中断等事故,使游戏服务器无法对外提供正常服务,众多玩家无法登陆官网,无法进入游戏,直接造成游戏运营公司的经济损失,同样造成游戏玩家的大量流失。

五.安全威胁分析

5.1 现状分析

DDOS模拟攻击图 客户拓扑如上图所示:核心交换机与上层核心路由器直连,针对现在网络上的DDOS攻击没有任何的保护。当今的DDoS攻击更具破坏性,目的性也更加明确。这些攻击可以轻易的躲避过常见防护技术或者设备的检查,甚至直接打击通用的防护设备本身。使用看似合法的链接请求、利用大量的僵尸主机、发送携带伪造标识的数据报文等手段使得对攻击的辨别和阻断愈来愈困难。而常见的也容易实施的SYN攻击是利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。还有的半连接攻击如udp,icmp、碎片等攻击实施起来也很方便,从而达到带宽堵死、服务器资源耗尽造成拒绝服务。所以当今网络出现的DDOS大规模攻击会严重影响到整条线路及下面服务器的正常工作,甚至于整个机房的断网。另外网络上经常出现的CC攻击也是威胁服务器安全的重要因素,CC攻击是利用对交换机下服务器某端口进行的连接攻击,出现的现象是没受攻击之前连接到服务上的连接可以正常访问,但遭受攻击以后造成正常连接无法访问,带宽表现并无异常,在其它设备上可以看到连接数非常大。人工无法判断正常和异常的非法连接。所以CC攻击也是威胁网络安全的重要隐患。

5.2 受到攻击的现象

当服务器主机被DOS/DDOS攻击时,主要有如下现象:

Ø 被攻击主机上有大量等待的TCP连接

Ø CPU占用率达到100%,严重时会死机

Ø 网络中充斥着大量的无用的数据包,源地址为伪造

Ø 高流量无用数据,网络拥塞,受害主机无法正常和外界通讯

成功的DDOS攻击将造成网络服务商的巨大损失,客户访问失败,服务质量受损。同时,公司的信誉也会受到影响。而这种危害又常常是长期性的,形成恶性循环。

5.3 DDOS防护的必要性

任何需要通过网络提供服务的业务系统,不论是处于经济原因还是其他方面,都应该对DDoS攻击防护的投资进行考虑。大型企业、政府组织以及服务提供商都需要保护其基础业务系统(包括Web、DNS、Mail、交换机、路由器或是防火墙)免受DDoS攻击的侵害,保证其业务系统运行的连续性。虽然DDoS防护需要增加运营成本,但是从投资回报率上进行分析,可以发现这部分的投资是值得的。

5.4 当前防护手段的不足

虽然目前网络安全产品的种类非常多,但是对于DDOS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等,由于设计之初就没有考虑相应的DDOS防护,所以无法针对复杂的DDOS攻击进行有效的检测和防护。而至于退让策略或是系统调优等方法只能应付小规模DDOS攻击,对大规模DDOS攻击还是无法提供有效的防护。

5.4.1手工防护

一般而言手工方式防护DDoS主要通过两种形式:

系统优化——主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护,当黑客提高攻击的流量时,这种防护方法就无计可施了。

网络追查——遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头。但是如果DDoS攻击流量的地址是伪造的,那么寻找其攻击源头的过程往往涉及很多运营商以及司法机关。再者,即使已经确定了攻击源头,进而对其流量进行阻断,也会造成相应正常流量的丢失。加之目前Botnet以及新型DrDoS攻击的存在,所以通过网络追查来防护DDoS攻击的方法没有任何实际意义。

5.4.2退让策略

为了抵抗DDoS 攻击,客户可能会通过购买冗余硬件的方式来提高系统抗DDoS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高供给流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。

5.4.3路由器

通过路由器,我们确实可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDoS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。同时,如果DDoS攻击如果采用地址欺骗的技术伪造数据包,那么路由器也无法对这种攻击进行有效防范。

另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在网络边界来阻断伪造源地址IP的攻击,但是对于今天的DDoS攻击而言,这种方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址,如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击,这样就完全可以绕过uRPF防护策略。除此之外,如果希望uRPF策略能够真正的发挥作用,还需要在每个潜在攻击源的前端路由器上配置uRPF,但是要实现这种情况,现实中几乎不可能做到。

5.4.4防火墙

防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDoS攻击的防护,在某些情况下,防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。

首先是防火墙缺乏DDoS攻击检测的能力。通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部Internet服务的设备提供了通路,如果DDoS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,DDoS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDoS攻击的检测必须依赖于行为模式的算法。

第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDoS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。

最好防火墙的部署位置也影响了其防护DDoS攻击的能力。传统防火墙一般都是部署在网络入口位置,虽然某种意义上保护了网络内部的所有资源,但是其往往也成为DDoS攻击的目标,攻击者一旦发起DDoS攻击,往往造成网络性能的整体下降,导致用户正常请求被拒绝。

5.4.5入侵检测

目前IDS系统是最广泛的攻击检测工具,但是在面临DDoS攻击时,IDS系统往往不能满足要求。

原因其一在于入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本和易用性极低。

原因之二就在于IDS系统一般对攻击只进行检测,但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力,这样才能真正意义上减缓DDoS对于网络服务的影响。

IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDoS攻击主要以三层或是四层的协议异常为其特点,这就注定了IDS技术不太可能作为DDoS的检测或是防护手段。

六.金盾抗拒绝服务系统解决方案 解决方案1:基于金盾JDFW500+ 抗DDOS拒绝服务系统的串联部署

方案说明:

在数据中心与外部Internet 连接处(核心交换机上层)安装金盾抗DDOS拒绝服务系统,切断与外网的直接相连,使所有流入/流出的数据流先经过抗拒绝服务系统过滤,确认正常的数据包放行,异常的丢弃。

上游流入核心交换机的流量不大于100M,因此我们选择金盾JDFW500+抗DDOS拒绝服务系统。经测试,500M网络环境下,该产品在平均490MBPS的DOS/DDOS流量攻击下认可保证100%的连接成功率。

金盾抗拒绝服务防火墙采用透明模式接入,如一根导线接入网络,对DOS/DDOS攻击进行检测、分析和阻断。该部署对原有的网络环境不做任何的调整。

将上层路由器/交换机的引出线接入防火墙的入口,将下层路由器/交换机的引出线接入防火墙的出口 。JDFW500+ 提供2个千兆电口(进出口)。

备注:

可选择的部署方式:单机串联、双机热备、串联集群及旁路部署。

解决方案2:基于金盾JDFW1000+ 抗DDOS拒绝服务系统的串联部署

方案说明:

在数据中心与外部Internet 连接处(核心交换机上层)安装金盾抗DDOS拒绝服务系统,切断与外网的直接相连,使所有流入/流出的数据流先经过抗拒绝服务系统过滤,确认正常的数据包放行,异常的丢弃。

上游流入核心交换机的流量不大于100M,因此我们选择金盾JDFW1000+ 抗DDOS防火墙。经测试,1000M网络环境下,该产品在平均900MBPS的DOS/DDOS流量攻击下认可保证100%的连接成功率。

金盾抗DDOS防火墙采用透明模式接入,如一根导线接入网络,对DOS/DDOS攻击进行检测、分析和阻断。该部署对原有的网络环境不做任何的调整。

将上层路由器/交换机的引出线接入抗拒绝服务系统的入口,将下层路由器/交换机的引出线接入抗拒绝服务系统的出口 。JDFW1000+ 提供2个千兆SPF插槽(进出口)。

备注:

可选择的部署方式:单机串联、双机热备、串联集群及旁路部署。

解决方案3:基于金盾JDFW8000+ 抗DDOS拒绝服务系统的串联部署(可选)

方案说明:

在数据中心与外部Internet 连接处(核心交换机上层)安装金盾抗DDOS抗拒绝服务系统,切断与外网的直接相连,使所有流入/流出的数据流先经过抗拒绝服务系统过滤,确认正常的数据包放行,异常的丢弃。

上游流入核心交换机的流量不大于100M,因此我们选择金盾JDFW8000+ 抗DDOS抗拒绝服务系统。经测试,1000M网络环境下,该产品在平均900MBPS的DOS/DDOS流量攻击下认可保证100%的连接成功率。

金盾抗DDOS抗拒绝服务系统采用透明模式接入,如一根导线接入网络,对DOS/DDOS攻击进行检测、分析和阻断。该部署对原有的网络环境不做任何的调整。

将上层路由器/交换机的引出线接入防火墙的入口,将下层路由器/交换机的引出线接入防火墙的出口 。JDFW8000+ 提供2个千兆SPF插槽(进出口)。

备注:

可选择的部署方式:单机串联、双机热备、串联集群及旁路部署。

可选配件:单/多模光纤模块、光电转换器、冗余电源、BYPASS交换机等。

关于金盾抗拒绝服务系统JDFW8000+ 简介:

金盾抗拒绝服务系统JDFW8000+ 型号是一款比JDFW1000+ 性能更优,更稳定,全冗余的千兆接入环境的抗拒绝服务系统。通过对自身效率的算法对数据包的多层深层次的攻击检测进行数据异常流量分析、应用层分析、主机识别、协议分析、指纹检测、连接跟踪、端口保护、流量控制及时迅速的检测出已知ddos攻击和潜在的ddos攻击流量。具备千兆线速的高效率转发以及超强攻击防护能力。适合应用部署于千兆环境的电信运营商、大型企业、IDC机房、各类互联网公司以及网络游戏运营商的网络环境。

解决方案4:基于金盾JDFW1000+ 抗DDOS拒绝服务系统的串联集群部署

方案说明:

单台金盾抗拒绝服务系统在无法处理更大流量的情况下,可使用金盾的集群方案,如上图所示拓扑,科技网(或其他网等)和电信网(或其他网等)与金盾抗拒绝服务系统相连,接入到金盾抗拒绝服务系统的进口,每个出口集中连接到核心路由上,与金盾抗拒绝服务系统相连的路由分别做端口汇聚,实现流量负载均衡,让流量平均分配到每台金盾抗拒绝服务系统来处理,数据回应时所走的路线可能和进来时不一样,为了实现金盾抗拒绝服务系统对此连接信息的共享,及更为高效的处理流量,每台金盾抗拒绝服务系统之间还需要同步信息,通过心跳线连接。关于交换机的端口汇聚,由用户自行设置,支持PAGP,LACP,负载均衡要求使用SRC_DST_IP模式。

金盾防火墙集群部署方案,采用多台1000+ 产品,基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。并采用自主研发的高效的防护算法,效率极高。基于多台1000+ 形成的防御集群,具有如下优势:

1、 倍增的处理能力。由金盾1000+ 独特的集群负载技术所形成的多台防御系统,随着防火墙数量的增加,处理能力随之线性增强;

2、 避免单点故障。金盾防火墙1000+ 集群方案,基于802.3ad链路聚合实现流量分担。基于此种聚合模式的系统具有动态聚合特性,可以有效避免单点故障;

3、 性能更高。金盾防火墙1000+ 集群方案在处理攻击的时候采用内部自动分流多点模式,单台1000+ 在64字节报文下达到0.8bps的处理能力;128字节报文下达到0.9Gbps的处理能力;256以上字节报文下达到0.99Gbps的处理能力;

解决方案5:基于金盾JDFW2000+抗DDOS拒绝服务系统的串联部署

方案说明:

根据上面的拓扑图,从科技网和电信网线到金盾抗拒绝服务系统进口, 金盾抗拒绝服务系统出口接入到下层核心路由器;由于金盾抗拒绝服务系统以透明网桥模式接入现有网络,所以不需更改用户网络的任何设置。外网进来的流量直接到达到金盾抗拒绝服务系统的进口,由金盾抗拒绝服务系统对流量进行深层的检测,预先对入侵活动和攻击性网络流量进行拦截,执行过滤后,将流量由出口转发到下层网络中。

6.1 DDOS防护的基本要求及解决目标

DDoS防护一般包含两个方面:其一是针对不断发展的攻击形式,尤其是采用多种欺骗技术的技术,能够有效地进行检测;其二,也是最为重要的,就是如何降低对业务系统或者是网络的影响,从而保证业务系统的连续性和可用性。

完善的DDoS攻击防护应该从四个方面考虑:

l 能够从背景流量中精确的区分攻击流量;

l 降低攻击对服务的影响,而不仅仅是检测;

l 能够支持在各类网络入口点进行部署,包括性能和体系架构等方面;

l 系统具备很强的扩展性和良好的可靠性;

基于以上四点,金盾抗拒绝服务攻击的设备应具有如下特性:

l 通过集成的检测和阻断机制对DDoS攻击实时响应;

l 采用基于行为模式的异常检测,从背景流量中识别攻击流量;

l 提供针对海量DDoS攻击的防护能力;

l 提供灵活的部署方式保护现有投资,避免单点故障或者增加额外投资;

l 对攻击流量进行智能处理,保证最大程度的可靠性和最低限度的投资;

l 降低对网络设备的依赖及对设备配置的修改;

采用标准协议进行通讯,保证最大程度的互操作性和可靠性;

6.2方案描述

如图所示,把金盾JDFW500+\\1000+ 等产品透明接入到外网交换机的上层。对我们原有的网络环境不做任何的调整,金盾JDFW500+\\1000+ 等产品具有高性能的处理能力,针对目前市场上的带宽攻击或是连接性攻击都有很强的防护效果。在网络中心与外部Internet连接处安装金盾抗拒绝服务系统,切断与外网的直接相连,使所有流入/流出的数据流先经过抗拒绝服务系统过滤,确认正常的数据包放行,异常的丢弃。避免因不加过滤而导致来自内、外部的针对信息中心的非法访问,把好网络第一关,确保服务平台的无限畅通。针对来自INTERNET访问web、数据库,及所有服务器的数据进行监测、过滤和防护。这样我们就弥补了所有服务器完全未对DDOS攻击进行防范的空洞.可以满足当前实际的网络访问流量的需求。在配置规则得当的情况下基本上可以对网络上常见的攻击进行更好的防御。

6.3产品部署

金盾抗拒绝服务系统JDFW1000+等,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP 等高层系统网络堆栈的处理,使整个运算代价大大降低,并采用自主研发的高效防护算法对数据包的多层深层次的攻击检测进行数据异常流量分析、应用层分析、主机识别、协议分析、指纹检测、连接跟踪、端口保护、流量控制等,能及时迅速的检测出已知DDoS攻击和潜在的DDoS攻击流量,防御效率极高。基于802.3ad 链路聚合实现流量分担,基于此种聚合模式的系统具有动态聚合特性,可有效避免单点故障。该产品在处理攻击时采用内部自动分流多点模式。

金盾抗拒绝服务攻击设备作为一个透明的安全设备,安装、设置都很简便,非常适合其内部管理人员的管理水平,同时又能确保防护效果。

金盾抗拒绝服务系统JDFW8000+等产品,在提升高效处理能力的情况下,更多的考虑到关键性业务的不可中断性,增加了双电源和BYPASS功能,充分保障无人职守的情况下的全自动错误转移功能,满足运营商核心业务对于高可用性,高可靠性,高稳定性的全面要求。可有效的避免了意外故障引起的断网,同时硬件本身具备了旁路开关,实现了在软件系统崩溃,硬件灾难性故障,意外断电等设备故障的状态下也不会导致网络中断,充分利用现有的带宽实现更强的防御效果。

6.4方案特点

l 安装的简易性。金盾抗拒绝服务系统安装、设置简易,无需对其原有网络拓扑结构进行大的改动。

l 防护的有效性。金盾抗拒绝服务系统采用了技术领先的高效率攻击检测&防护模块,确保了在第一时间启动攻击防御机制,可有效保证了其客户的应用无忧。

l 监控的时效性。 金盾抗拒绝服务系统状态监控服务端的设置,缩短了攻击发现的时间,避免了机房工程师在应用服务器遭受攻击瘫痪后才发现、进行处置的被动局面。

l 方案的可扩展性。金盾抗拒绝服务系统属于透明接入设备,可方便地根据用户需求与其他网络设备进行连接,有效保护了客户资源。

6.5 方案产品介绍

JDFW500+

详细参数

外形 1U机架式

级别 百兆级

网络接口 2个千兆电口(进出口),2个千兆电口(管理口)

攻击防御量 700M

说明 适合百兆、千兆电口环境,小中型企业,网吧,IDC服务商及系统集成工程

特性 防止连接耗尽/即插即用,网络隐身,透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/端口设置/规则设置等/小型企业的首选

防御种类 SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/Fragments Flood/Fatboy/DNS QUERY FLOOD/CC防护/以及各种漏洞型拒决服务攻击等

电源 交流电源输入220V,47~63MHZ,300W

工作温度 -20℃--60℃

MTBF >10000小时

JDFW1000+

详细参数:

外形 2U机架式

级别 千兆级

网络接口 2个SFP光纤接口(进出口,可选配SFP模块),5个千M电口(管理口),
集群接口可选

攻击防御量 千兆光纤环境下900-1000M,
支持集群环境部署,集群可防御超过16G以上攻击

说明 适合千兆环境(单多模环境、光电口环境可选)适合中型企业, 骨干网络及大型IDC

特性 防止连接耗尽/即插即用,网络隐身,透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/支持集群防护/端口设置/规则设置等

防御种类 SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/Fragments Flood/Fatboy/DNS QUERY FLOOD/CC防护/以及各种漏洞型拒决服务攻击等

并发连接数 100万

电源 交流电源输入220V,47~63MHZ,510W(冗余电源可选配)

工作温度 -20℃--60℃

MTBF >10000小时

JDFW8000+

JDFW8000+ 产品详细规格参数(电信级)

外型 2U机架式

级别 千兆级

网络接口 两个LC-SC多模光纤接口(进出口),二个千M电口(管理口),集群接口可选

攻击防御量 千兆光纤环境下900-1200M,支持集群,旁路环境部署,可防御超过32G以上攻击

并发连接数 100万

延迟 ≤38um

说明 适合多路接入环境(单模环境可选),主要是针对电信与网通运营商而设计

特性 防止连接耗尽/即插即用,网络隐身,透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/支持集群防护/支持光BYPASS功能(设备在停止使用的状态下也不会中断网络)

防御种类 SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD
/Fragments Flood/Fatboy/DNS QUERY FLOOD/针对web,游戏的CC攻击防护/以及各种漏洞型拒决服务攻击等,特有的应用的防护模块,可通过各种协议端口设置,规则设置等防护各类新型攻击

电源 交流电源输入220V,47~63MHZ,510W(冗余电源可选配)

工作温度 -20°C--60℃

MTBF >1000000小时

JDFW2000+

详细参数

外形 2U机架式

级别 双千兆级

网络接口 4个SFP接口(进出口,可选配模块),4个千M电口(管理口)
集群接口可选

攻击防御量 双千兆光纤环境下1.6-1.99GB
支持集群环境部署,集群可防超32G攻击

说明 适合多路接入环境
(单多模环境可选)主要是针对电信与网通运营商而设计

特性 防止连接耗尽/即插即用,网络隐身,透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/支持集群防护端口设置/规则设置等

防御种类 SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/Fragments Flood/Fatboy/DNS QUERY FLOOD/CC防护/以及各种漏洞型拒决服务攻击等

并发连接数 10万

最大连接数 100万

电源 交流电源输入220V,47~63MHZ,510W(冗余电源可选配)

工作温度 -20℃--60℃

MTBF >10000小时

方案产品对比

产品
基本
参数
介绍 JDFW500+ JDFW1000+ JDFW2000+

硬件设备:JDFW500+
接入环境:千百兆接入线路
管理方式:WEB,SSH,UART
性能参数:
百兆环境下防御DDOS攻击80—120M
千兆环境下防御DDOS攻击300—500M 硬件设备:JDFW1000+
接入环境:千兆接入线路
管理方式:WEB,SSH,UART
性能参数:64字节报文下达到 0.8Gbps的处理能力;
128 字节报文下达到 0.9Gbps 的处理能力;
256 以上字节报文下达到 0.99Gbps 的处理能力 硬件设备:JDFW2000+
接入环境:双线千兆接入线路
管理方式:WEB,SSH,UART
性能参数:64字节报文下达到 1.8Gbps的处理能力;
128 字节报文下达到 1.9Gbps 的处理能力;
256 以上字节报文下达到 1.95Gbps 的处理能力

部署说明 仅需投入一台百兆设备便可满足目前网络现状的需求。但对于以后带宽扩展到千兆的话金盾百兆抗DDOS设备可能有瓶颈。满足不了千兆防护效果。 对于未来网络带宽扩展和安全性考虑,仅需投入一台设备即可满足千兆环境下的DDOS防护,另外GFW-7180可特殊定制冗余电源和bypass功能,可以满足设备本身安全性的考虑又可以优于GFW-1000+ 的防护性能。 金盾抗拒绝服务系统JDFW2000+型号是中新软件经过多年的努力,针对目前市场上近年来愈演愈烈已知的和未知的DDOS攻击自主研发的抗拒绝服务攻击算法完成的新一代安全产品。JDFW2000+抗拒绝服务系统支持双路接入,单台2G攻击防护能力可达到1800M以上。金盾抗拒绝服务系统JDFW2000+型号在原有的技术基础上,推出新的可扩展的集群模式——Extensible Firewall Cluster Mode领先的数据分流技术,使得若干金盾抗拒绝服务系统可组合形成更大的防护主体,提供海量攻击的解决方案。支持多网段防护,跨路由模式,跨网段模式,跨VLAN等模式的防护,防护主机的数量不限。金盾抗拒绝服务系统通过自身高效率的算法对数据包的多层深层次的攻击检测进行数据异常流量分析、应用层分析、主机识别、协议分析、指纹检测、连接跟踪、端口保护、流量控制、及时迅速的检测出已知ddos攻击和潜在的ddos攻击流量。尤其适合应用部署于千兆环境的电信运营商、大型企业、IDC机房、各类互联网公司以及网络游戏运营商的网络环境。

特性 防止连接耗尽/即插即用,网络隐身,透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/支持集群防护/端口设置/规则设置等
§ 分时流量图,日志输出,连接跟踪,流量分析,事件分析,性能分析等强大的审计功能让管理员对任一时段的流量和设备性能情况了如指掌。
§ 远程IP与防护主机间的连接跟踪,可清楚的了解任一主机的连接情况
§ 独特的域名管理功能,对墙下任一主机可进行域名查询,禁止,放行。
§ 针对WEB,DNS,游戏,聊天室等不同应用的防护模块化设计,方便管理员为主机应用定制专有防护
§ 分级管理权限,符合企业对设备管理的权限设置,提高了自身的安全性
§ SNMP的管理接口,实时监测防火墙的工作状态与网络状况
§ 基于windows的监测软件,能够实时监测防火墙与网络情况,并能按需设置告警,以短信、邮件、铃声等多种方式及时通知管理员

七.金盾抗拒绝服务系统产品介绍针对当前的DOS/DDOS攻击现状,安徽中新软件自主研发的抗拒绝服务产品——金盾抗拒绝服务系统,具有很强的DOS/DDOS攻击的防护能力。并可在多种网络环境下轻松部署,保证网络的整体性能和可靠性。

7.1产品功能

Ø DOS/DDOS攻击检测及防护

金盾抗拒绝服务系列产品,应用了自主研发的抗拒绝服务攻击算法,对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断,保护服务主机免于攻击所造成的损失。内建的WEB保护模式及游戏保护模式,彻底解决针对此两种应用的DOS攻击方式。

Ø 通用方便的报文规则过滤

金盾抗拒绝服务系列产品,除了提供专业的DOS/DDOS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。

Ø 专业的连接跟踪机制

金盾抗拒绝服务系列产品,内部实现了完整的TCP/IP协议栈,具有强大的连接跟踪能力。每个进出的连接,防火墙都会根据其源地址进行分类,并显示给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP协议本身的不足,使您的服务器在攻击中游刃有余。

Ø 简洁丰富的管理

金盾抗拒绝服务系列产品具有丰富的设备管理功能,基于简洁的WEB的管理方式,支持本地或远程的升级。同时,丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。

Ø 广泛的部署能力

针对不同的客户,抗拒绝服务所面临的网络环境也不同,企业网、IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的部署带来了不同的挑战。金盾抗拒绝服务系统具备了多种环境下的部署能力。

7.2防护原理

金盾抗拒绝服务产品基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。并采用自主研发的高效的防护算法,效率极高。方案的核心技术架构如下图所示:

金盾抗拒绝服务系统防护原理图

Ø 攻击检测

金盾抗拒绝服务系统利用了多种技术手段对DOS/DDOS攻击进行有效的检测,在不同的流量触发不同的保护机制,在提高效率的同时确保准确度;

Ø 协议分析

金盾抗拒绝服务系统采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。

Ø 主机识别

金盾抗拒绝服务系统可自动识别其保护的各个主机及其地址。某些主机受到攻击不会影响其它主机的正常服务。

Ø 连接跟踪

金盾抗拒绝服务系统针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP协议的各种攻击。

Ø 端口防护

建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的DOS/DDOS攻击保护。

7.3精确的DDoS攻击识别与清洗

金盾 DDoS识别与清洗功能是金盾产品的核心,主要功能是对过往流量进行异常甄别和过滤净化。金盾网络流量净化网关系列产品,采用协议分析技术,对带有明显攻击特征的违反RFC标准的畸形数据包、攻击数据包直接进行丢弃,采用了自主研发的新一代基于统计和阈值、专有反向探测等防拒绝服务攻击算法,可以对SYN FLOOD、ACK FLOOD、TCP CONNECTION FLOOD、UDP FLOOD、ICMP FLOOD、FRAG FLOOD等各种常见的危害很大而又易于发起的攻击方法进行快速有效的识别,在对网络数据报文进行统计的基础上,对于不同类型的DDoS攻击采取了相应的防御算法,从而可以准确而实时地在大流量背景下识别出恶意的DDoS流量,与其它同类产品相比,也减少了反向探测的数据流。内建的WEB保护模式及游戏保护模式,采用了专有的防护算法,使金盾对应用层的攻击如HTTP GET FLOOD(CC攻击)、HTTP POST FLOOD、DNS QUERY FLOOD、网络游戏等攻击都能进行有效的防范。

7.4方便的域名管理功能

手机互联网传播色情信息事件,严重影响了互联网产业的健康发展,根据国家严查、清理非法色情网站等相关规定,金盾抗拒绝服务系统推出最新域名管理方案,实施域名黑、白名单管理模式,为各大运营商、数据中心管理WAP网站提供了有效的管理措施。

域名管理功能说明:

1、金盾抗拒绝服务系统域名审计功能可同时设置黑、白名单,放行已备案域名,屏蔽所有未备案域名;

2、金盾抗拒绝服务系统域名审计功能可匹配多级域名;

3、金盾抗拒绝服务系统域名设置及管理简单化,通过设置.txt文件导入管理即可完成操作4、金盾抗拒绝服务系统可显示已设定域名的状态、地址及域名访问次数;

5、取消原域名管理中的插件设置,设置web端口的域名审计功能不影响该web端口的防御

7.5抓包取证功能

金盾抗拒绝服务系统提供了报文捕捉功能,管理员可以对全局数据包进行捕捉,也可以指定IP进行捕捉,有利于管理员在发生攻击时调查取证,也有利于在发生未知攻击时抓取数据包,进行数据分析。

7.6自定义规则方便对未知攻击的防范

金盾抗拒绝服务系统除了提供专业的DOS/DDOS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。金盾抗拒绝服务系统基于算法与统计原理对攻击进行防护,能够有效的防范大部分的未知攻击,而对于一些金盾抗拒绝服务系统不能进行防护的未知攻击,系统管理员抓包分析后,提取攻击特征,自定义防护规则,从而对未知攻击进行有效的防范。同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。

7.7灵活多样的管理与维护功能

金盾抗拒绝服务系统提供灵活多样的管理与维护功能,系统提供多种管理方式,支持HTTP/HTTPS等多种管理方式,同时也支持命令行的管理方式。为了保证安全性,金盾抗拒绝服务系统产品采用了用户的分权管理。登录用户分为四种:网络观察员:仅可以查看当前系统状态,无权更改;网络管理员:拥有网络观察员权限,并可变更参数设置;系统管理员:拥有网络管理员权限,并可创建子帐户;授权客户服务:用于远程服务的授权帐户。

金盾抗拒绝服务系统提供完善的条件查询和报表审计功能,日志列表可清晰查看设备各项操作记录,并记录设备每分钟流量、CPU和内存使用情况,并可将日志下载或保存到日志服务器。分析报告查询某个主机的相关记录,并对其流量进行分析,生成报告,也可分析全局记录,并生成相关的报告。

7.8黑白名单管理

黑白名单模块采用了简洁而高效的数据结构和算法,可以保存大量的黑白名单。用户可以根据业务需要设置白名单用于实现重要业务流量的快速通过,也可以设置黑名单以阻断已知的异常流量。系统在进行攻击防护时,防护算法会临时生成分级别的黑白名单,以提高防护效率,同时减少反向探测数据流。

7.9灵活的部署方式

金盾抗拒绝服务系统的客户涉及各个行业,面临的网络环境也复杂多样,无论是运营商骨干网、城域网、IDC,还是大型企业网络、政府网络、小型企业网,金盾均能提供多种部署方式。金盾在部署时支持透明串联接入,双机热备,集群部署,并支持旁路部署,在串联部署时,金盾不仅能够实现对攻击检测,还能够进行有效的防护,在旁路部署时,金盾抗DDOS系统与Jdfw-Analyzer分析器联动形成一个完整的解决方案,既支持JDFW-Analyzer与金盾抗DDOS设备的联动,也支持金盾与路由交换设备的联动,从而满足不同的客户需求。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 12:32:39