随着网络信息化的发展,网络攻击事件频繁发生,特别是采用简单粗暴但往往危害又非常大的拒绝服务攻击(DDoS)导致一些企业、机关甚至是更大范围的网络瘫痪,其危害性不言而喻。 异常流量主要由DDoS攻击行为引起,按攻击所针对的网络层次可以把DDoS攻击分为:网络层DDoS攻击和应用层DDoS攻击;按攻击达到目的所采用的技术可以分为:带宽耗尽型和主机资源耗尽型;按攻击发生的网络环境可以分为:平稳背景流环境下的DDoS和突发流环境下的DDoS。 东华异常流量清洗系统可以针对网络中的多种DDoS攻击行为和突发异常流量进行监测清洗,支持对抗应用型攻击、抗流量型攻击、抗普通常见攻击、抗蠕虫连接型攻击、抗常用黑客工具等清洗,可以实现对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood等多种攻击行为进行防护。
1、智能DDOS防护
采用主动监测加被动跟踪相互结合的DDoS攻击防护技术,可辨识多种DDoS攻击行为,能够快速有效地对DDoS攻击进行过滤和防护,从而确保服务器可以正常提供服务。
2、DOS/DDOS攻击检测及防护
可对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood等各种常见的攻击行为均可有效识别,并通过多层次安全防护机制实时对攻击流量进行处理及阻断,保护服务器安全。
3、通用规则过滤
系统提供了面向报文的通用规则匹配功能。可设置的域包括地址、端口、标志位,关键字等。极大地提高了通用性及防护力度。同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。
4、链路聚合/VLAN
系统支持链路聚合、VLAN划分等丰富的接口支持,可以承载高速网络支持,最大限度发挥设备性能。
5、链接跟踪防护
系统内部实现了完整的TCP/IP协议栈,具备对连接的跟踪能力。每个进出的连接,系统都会根据其源地址进行分类,并显示给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP协议本身的不足。
6、攻击流量控制
针对攻击流量做限制:(1)紧急自动触发状态:对攻击频率较高的攻击行为会自动触发紧急防护模式,此模式将采用更为严格防护过滤策略来抵御攻击;(2)过滤流量限制:对某些显见的攻击行为采用的过滤模式,可检测过滤内容完全相同报文及使用真实地址进行攻击的报文;(3)主机流量限制:用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃;(4)伪造源流量限制:用于限制内网攻击。当某数据包的原MAC地址不同于系统记录到的MAC地址,将对流量进行限制。
7、连接控制
根据攻击的流量和连接数阈值来设置触发防护选项,连接数阈值可以根据不同情况来灵活控制。
8、高效管理
系统具有丰富的设备管理功能,基于简洁的 WEB 的管理方式,支持本地或远程的升级。同时,丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和可视化溯源。
9、部署方式
支持透明串联、旁路代理等多种模式,能够在不同的网络环境中进行适配。
10、双机热备
支持主从、集群、状态同步等多种高可靠方式。
异常流量清洗系统的关键技术核心之一在于在短时间内能够高效地计算出攻击特征,并根据特征对海量的攻击报文进行扫描和过滤,我公司独创了多核并行计算和多引擎负载分担技术,实现单台设备的流量清洗能力达到20Gbps,还可以通过多台组网,实现更高异常流量清洗能力。
(1)特征识别
通过分析网络流量特征,与特征库比对扫描,可有效识别常用的攻击。
(2)反探校验
在识别和判断是否是攻击的时候,可以验证源地址和连接的有效性,防止伪造源地址和连接的攻击。
(3)状态监测
支持包过滤、状态包过滤和动态包过滤,根据五元组信息进行访问控制。
(4)智能学习
防护采用多种算法,除统计丢包算法,还支持智能学习、关联分析等算法。检查通信过程是否符合TCP/IP协议的完整性。并对HTTP、DNS、P2P等协议进行深度分析,支持对SYN/SYN ACK/ACK flood攻击、HTTP get flood攻击、DNS query flood攻击、CC攻击的防护,支持BT、Emule等P2P协议的识别、阻断和限制。
(5)连接限制
支持对具体IP的并发连接和新建连接限制,可根据五元组限制并发连接总数和新建连接速率限制,可防止大规模攻击和蠕虫扩散的发生。
(1)软硬件全方位冗余设计
硬件冗余设计,业务板、网络接口卡、电源、风扇采用冗余备份设计,而且均可热插拔;机箱内部环境温度受到实时监控,在内部环境温度过高时,能实时报警和启动保护措施;电源支持N+1备份,采用防雷、防过压等多项稳定性细节设计。
(2)内部拥有多个引擎,相互备份与负载分担
内置软/硬件Bypass功能,内置软件和硬件Bypass功能,无论是软件还是硬件出现故障时都能够快速、自动切换到直通状态,保障网络可用性。此外用户还可以通过控制台手动方式打开和关闭Bypass功能,以备紧急情况。
(3)支持链路聚合、接口备份、双机热备等多项可靠性保障技术
支持基于802.3ad协议的链路聚合功能,可以实现多达8条链路的捆绑,实现接口带宽扩容、接口相互备份、流量负载分担等;支持基于状态自动探测的双机热备和多机热备,切换时间平均小于1秒钟。
(1)基于先进的模式匹配算法的应用协议分析引擎。
(2)基于万兆线速多核硬件平台的应用协议分析。
(3)可与QOS,IPS联动形成完整的流量管理及攻击防护解决方案。
(4)应用特征库丰富,并支持特征库在线升级更新。
(5)应用报表统计丰富多样。
异常流量清洗的流控解决方案的核心为QOS,同时结合应用协议分析模块,智能会话管理模块形成了整体的层次化流控解决方案。具有如下特点:
(1)流量监管,做好网络流量的大管家,流量监管功能可以对流入流出网口的网络流量进行监督和管理,当流量超出限制的范围时通过策略对流量进行限制和丢弃。
(2)拥塞管理,做好网络流量的执法者,拥塞管理可以在网络发生拥塞时,根据一定的优先级队列调度资源,从而保证高优先级服务优先通过。
(3)拥塞避免,做好网络流量的监督者,拥塞避免功能可以监控网络流量发展趋势,当发现链路有拥塞的可能时,通过选择性丢弃一些报文达到避免网络拥塞发生的目的。
(4)流量整形,做好网络流量的整改者,流量整形功能通过主动控制流量输出速率从而避免丢弃不必要的报文和发生不必要的拥塞。
东华异常流量清洗系统作为成熟产品已获得各行业用户的广泛认可,包括医疗、金融、能源、政府、企业、运营商、企业等用户。
