GFW7050.docx
《GFW7050.docx》由会员分享,可在线阅读,更多相关《GFW7050.docx(17页珍藏版)》请在冰豆网上搜索。
GFW7050
中新软件抗拒绝服务系统
产品功能介绍
目录
一、产品型号---------------------------------------------------------------------------------------------3
二、性能指标---------------------------------------------------------------------------------------------4
三、功能介绍---------------------------------------------------------------------------------------------5
3.1方便的连接控制功能-----------------------------------------------------------------------------5
3.2抓包取证功能--------------------------------------------------------------------------------------5
3.3自定义规则方便对未知攻击的防范-----------------------------------------------------------5
3.4灵活多样的管理与维护功能--------------------------------------------------------------------6
3.5黑白名单管理--------------------------------------------------------------------------------------6
3.6灵活的部署方式-----------------------------------------------------------------------------------6
四、技术创新---------------------------------------------------------------------------------------------7
4.1代理连接模式--------------------------------------------------------------------------------------7
4.2连接数据转发算法--------------------------------------------------------------------------------7
4.3内核防护插件--------------------------------------------------------------------------------------7
4.4页面插入式Web防护算法---------------------------------------------------------------------7
4.5数据挖掘式通用防护算法-----------------------------------------------------------------------7
4.6可扩展的集群模式--------------------------------------------------------------------------------7
4.7内核防盗版技术-----------------------------------------------------------------------------------7
4.8多平台构架支持-----------------------------------------------------------------------------------7
五、技术优势---------------------------------------------------------------------------------------------7
5.1DOS/DDOS攻击检测及防护----------------------------------------------------------------------7
5.2通用方便的报文规则过滤----------------------------------------------------------------------7
5.3专业的连接跟踪机制----------------------------------------------------------------------------8
5.4简洁丰富的管理----------------------------------------------------------------------------------8
5.5广泛的部署能力----------------------------------------------------------------------------------8
六、防护原理---------------------------------------------------------------------------------------------8
6.1主机识别--------------------------------------------------------------------------------------------9
6.2指纹识别--------------------------------------------------------------------------------------------9
6.3协议分析--------------------------------------------------------------------------------------------9
6.4攻击过滤--------------------------------------------------------------------------------------------9
6.5流量控制--------------------------------------------------------------------------------------------9
6.6端口保护------------------------------------------------------------------------------------------10
6.7连接控制------------------------------------------------------------------------------------------10
6.8连接跟踪------------------------------------------------------------------------------------------10
6.9日志审计------------------------------------------------------------------------------------------10
七、部署方式--------------------------------------------------------------------------------------------10
7.1单机串联------------------------------------------------------------------------------------------10
7.2双机热备------------------------------------------------------------------------------------------10
7.3串联集群------------------------------------------------------------------------------------------11
7.4旁路部署------------------------------------------------------------------------------------------12
7.4.1回注式--------------------------------------------------------------------------------------------12
7.4.2下注式--------------------------------------------------------------------------------------------12
一、系统型号
GFW-7050
GFW-7050详细参数
外形
1U机架式
级别
百兆级
网络接口
2个千兆电口(进出口),2个千兆电口(管理口)
攻击防御量
500M
说明
适合百兆、千兆电口环境,小中型企业,IDC服务商及系统集成工程
特性
防止连接耗尽/即插即用,网络隐身,透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/端口设置/规则设置等/小型企业的首选
防御种类
SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/FragmentsFlood/Fatboy/DNSQUERYFLOOD/CC防护/以及各种漏洞型拒决服务攻击等
电源
交流电源输入220V,47~63MHZ,300W
工作温度
-20℃--60℃
MTBF
>10000小时
二、产品性能指标
型号
GFW-7050
防护能力
百兆环境下,可防护100M流量攻击,千兆环境下,可防护500M流量攻击
物理接口
四个千兆电口
单台接入链路
单进单出
双电路接入模式
不支持
单台容错性能
不支持
(集群支持)
单台负载均衡
不支持
(集群支持)
机架型号
1U
BYPASS功能
不具备
电源
交流电源输入220V,47~63MHZ,300W
吞吐量
500Mbps
抗攻击性能
64字节
400Mbps
128字节
450Mbps
256字节
495Mbps
数据延迟(us)
64字节
40
128字节
41
256字节
41
1518字节
41
并发连接数
10万
新建连接成功率
450M/100%
连接保持率
450M/100%
工作温度
-20°C--60℃
平均无故障时间
10000小时
防护特性
防止连接耗尽/即插即用,网络隐身,透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/支持集群防护/端口设置/规则设置等/
三、金盾抗拒绝服务系统功能介绍
金盾DDoS识别与清洗功能是金盾产品的核心,主要功能是对过往流量进行异常甄别和过滤净化。
金盾网络流量净化网关系列产品,采用协议分析技术,对带有明显攻击特征的违反RFC标准的畸形数据包、攻击数据包直接进行丢弃,采用了自主研发的新一代基于统计和阈值的抗拒绝服务攻击算法,可以对SYNFLOOD、ACKFLOOD、TCPCONNECTIONFLOOD、UDPFLOOD、ICMPFLOOD、FRAGFLOOD等各种常见的危害很大而又易于发起的攻击方法进行快速有效的识别,在对网络数据报文进行统计的基础上,对于不同类型的DDoS攻击采取了相应的防御算法,从而可以准确而实时地在大流量背景下识别出恶意的DDoS流量。
内建的WEB保护模式及游戏保护模式,采用了专有的防护算法,使金盾对应用层的攻击如HTTPGETFLOOD(CC攻击)、HTTPPOSTFLOOD、DNSQUERYFLOOD、网络游戏等攻击都能进行有效的防范。
3.1方便的连接控制功能
金盾抗拒绝服务系统在内部部实现了完整的TCP/IP协议栈,具有强大的连接控制能力。
每个进出的连接,金盾抗拒绝服务系统都会根据其源地址进行分类,并显示出来给用户,方便用户对受保护主机状态的监控。
同时还提供连接超时,重置连接等辅助功能,有利于在攻击发生时管理员及时了解服务器的连接状态。
3.2抓包取证功能
金盾抗拒绝服务系统提供了报文捕捉功能,管理员可以对全局数据包进行捕捉,也可以指定IP进行捕捉,有利于管理员在发生攻击时调查取证,也有利于在发生未知攻击时抓取数据包,进行数据分析。
3.3自定义规则方便对未知攻击的防范
金盾抗拒绝服务系统除了提供专业的DOS/DDOS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。
金盾抗拒绝服务系统基于算法与统计原理对攻击进行防护,能够有效的防范大部分的未知攻击,而对于一些金盾抗拒绝服务系统不能进行防护的未知攻击,系统管理员抓包分析后,提取攻击特征,自定义防护规则,从而对未知攻击进行有效的防范。
同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。
3.4灵活多样的管理与维护功能
金盾抗拒绝服务系统提供灵活多样的管理与维护功能,系统提供多种管理方式,支持HTTP/HTTPS等多种管理方式,同时也支持命令行的管理方式。
为了保证安全性,金盾抗拒绝服务系统产品采用了用户的分权管理。
登录用户分为四种:
网络观察员:
仅可以查看当前系统状态,无权更改;网络管理员:
拥有网络观察员权限,并可变更参数设置;系统管理员:
拥有网络管理员权限,并可创建子帐户;授权客户服务:
用于远程服务的授权帐户。
金盾抗拒绝服务系统提供完善的条件查询和报表审计功能,日志列表可清晰查看设备各项操作记录,并记录设备每分钟流量、CPU和内存使用情况,并可将日志下载或保存到日志服务器。
分析报告查询某个主机的相关记录,并对其流量进行分析,生成报告,也可分析全局记录,并生成相关的报告。
3.5黑白名单管理
黑白名单模块采用了简洁而高效的数据结构和算法,可以保存大量的黑白名单。
用户可以根据业务需要设置白名单用于实现重要业务流量的快速通过,也可以设置黑名单以阻断已知的异常流量。
系统在进行攻击防护时,防护算法会临时生成分级别的黑白名单,以提高防护效率,同时减少反向探测数据流。
3.6灵活的部署方式
金盾抗拒绝服务系统的客户涉及各个行业,面临的网络环境也复杂多样,无论是运营商骨干网、城域网、IDC,还是大型企业网络、政府网络、小型企业网,金盾均能提供多种部署方式。
金盾在部署时支持透明串联接入,也支持旁路部署,在串联部署时,金盾不仅能够实现对攻击检测,还能够进行有效的防护,在旁路部署时,JDFW清洗中心与Detector检测中心联动形成一个完整的解决方案,既支持Detector检测中心与路由交换设备的联动,也支持JDFW防护中心与路由交换设备的联动,从而满足不同的客户需求。
四、技术创新
4.1代理连接模式——SYNProxy采用代理模式处理客户端和服务器之间的连接,同时完成攻击报文的过滤。
即使在海量攻击下仍可保证100%的新建连接成功率;
4.2连接数据转发算法——TCPFastRechecksum高效的处理TCP连接数据及其校验和,无需重新统计报文数据;
4.3内核防护插件——KernelProtectionPlugin,forLinux&Windows特定防护算法配合模块实现,优化核心代码及系统构架,具备良好扩展性;
4.4页面插入式Web防护算法——WebProtectionbasedonPageInjection对开启防护的Web服务器,防护模块会主动插入Web页面,客户端可无察觉的自动完成验证过程,达到高效防御Web类连接攻击的目的;
4.5数据挖掘式通用防护算法——GenericProtectionbasedonDataMining对于开启保护的服务器防护模块会自动对客户端与服务器端的通信进行数据统计与挖掘,察觉恶意流量并加以过滤,准确率达95%;
4.6可扩展的集群模式——ExtensibleFirewallClusterMode领先的数据分流技术,使得若干抗拒绝服务系统可组合形成更大的防护主体,提供海量攻击的防护解决方案;
4.7内核防盗版技术——Anti-CrackingMechanisminKernel实现在系统核心的加密技术,使得本系统具有较强的防盗版、防拷贝能力;
4.8多平台构架支持——MultiplePlatform&ArchitectureSupport基于WindowsNDIS的软件产品,支持x86,AMD64,IA64构架;基于Linux的硬件产品,百兆型、千兆型及集群型多种解决方案。
五、技术优势
5.1DOS/DDOS攻击检测及防护
金盾抗拒绝服务系列产品,应用了自主研发的抗拒绝服务攻击算法,对SYNFlood,UDPFlood,ICMPFlood,IGMPFlood,FragmentFlood,HTTPProxyFlood,CCProxyFlood,ConnectionExhausted等各种常见的攻击行为均可有效识别,并通过集成机制实时对攻击流量进行处理及阻断,保护服务主机免于攻击所造成的损失。
内建的WEB保护模式及游戏保护模式,彻底解决针对此两种应用的DOS攻击方式。
5.2通用方便的报文规则过滤
金盾抗拒绝服务系列产品,除了提供专业的DOS/DDOS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。
同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。
5.3专业的连接跟踪机制
金盾抗拒绝服务系列产品,内部实现了完整的TCP/IP协议栈,具有强大的连接跟踪能力。
每个进出的连接,抗拒绝服务系统都会根据其源地址进行分类,并显示给用户,方便用户对受保护主机状态的监控。
同时还提供连接超时,重置连接等辅助功能,弥补了TCP协议本身的不足,使您的服务器在攻击中游刃有余。
5.4简洁丰富的管理
金盾抗拒绝服务系列产品具有丰富的设备管理功能,基于简洁的WEB的管理方式,支持本地或远程的升级。
同时,丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。
5.5广泛的部署能力
针对不同的客户,抗拒绝服务所面临的网络环境也不同,企业网、IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的部署带来了不同的挑战。
金盾抗拒绝服务系统具备了多种环境下的部署能力。
六、防护原理
金盾抗拒绝服务产品基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。
并采用自主研发的高效的防护算法,效率极高。
方案的核心技术架构如下图所示:
6.1主机识别
金盾抗拒绝服务系统可自动识别其保护的各个主机及其地址,某些主机受到攻击不会影响其它主机的正常服务。
6.2指纹识别
用来识别整个连接过程,其中包括:
源、目的、协议、端口等情况的识别。
6.3协议分析
金盾抗拒绝服务系统采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。
6.4攻击过滤
攻击过滤为抗拒绝服务系统的默认模式,此模式下,抗拒绝服务系统运行完整的攻击分过滤流程,过滤攻击保证正常流量到达主机。
6.5流量控制
主要是针对一些攻击流量做限制:
●紧急触发状态
针对攻击频率较高的攻击防护模式,此模式将更为严格过滤攻击;
●简单过滤流量限制
是针对某些显见的攻击报文做的一种过滤模式,目前可以过滤内容完全相同的报文,及使用真实地址进行攻击的报文;
●忽略主机流量限制
用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃;
●伪造源流量限制
用于限制内网攻击。
当某数据包的原MAC地址不同于抗拒绝服务系统记录到的MAC地址,该数据包将被认为是伪造源流量,超过设置值的伪造源流量将被丢弃。
6.6端口保护
建立在连接跟踪模块上的端口防护体制,针对不同的TCP/UDP端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的DOS/DDOS攻击保护。
6.7连接控制
根据攻击的流量和连接数阀值来设置触发防护选项,连接数阀值可以根据不同情况来灵活控制。
6.8连接跟踪
金盾抗拒绝服务系统针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP协议的各种攻击。
6.9日志审计
抗拒绝服务系统日志记录可全面记录产品系统运行及防护状态,对不同权限的操作分别记录。
七、中新金盾抗拒绝服务系统部署方式
7.1单机串联:
采用透明接入模式,实时流量监控与过滤,配合内置冗余双电源及高性能光BYPASS模块可有效避免链路单点故障,时刻保持网络的畅通。
7.2双机热备:
方式一:
两台抗拒绝服务系统同时工作,当其中一台发生故障或者意外停止、关键进程失败、性能下降、CPU和内存负载过大等情况,另一台抗拒绝服务系统能平滑接替该抗拒绝服务系统的工作,并保持连接,实现负载均衡。
方式二:
一台抗拒绝服务系统处于工作状态(主抗拒绝服务系统),另一台处于备份状态。
当主抗拒绝服务系统发生意外down机、网络链路发生故障、硬件故障等情况时,另一台抗拒绝服务系统自动进行切换工作状态,代替主抗拒绝服务系统正常工作,从而保证了网络的正常使用。
切换过程不需要人为操作和其他系统的参与,切换时间控制在10秒以内。
7.3串联集群:
集群型抗拒绝服务系统依靠多台抗拒绝服务系统实现防护带宽及防护能力的叠加,目前可支持多台抗拒绝服务系统形成集群,抵御大的攻击流量。
首先在交换机的相应端口设置端口聚合——PortTrunking(某些交换机称为链路聚合——LinkAggregation),或者直接设置路由器完成线路的聚合,分别接入抗拒绝服务系统,每个抗拒绝服务系统接入一路数据(入口和出口)。
7.4旁路部署
7.4.1(回注
升级会员 