抗拒绝服务系统_精品文档.ppt

1、 金盾抗拒绝服务攻击系统简介金盾抗拒绝服务攻击系统简介 中新软件（南京）分公司中新软件（南京）分公司中新软件（南京）分公司中新软件（南京）分公司025-84577786 84573900025-84577786 84573900 目录目录公公 司司 简简 介介1 DDOS DDOS攻击状况及金盾产品介绍攻击状况及金盾产品介绍2专专 业业 功功 能能3 产产 品品 特特 点点4集群产品性能指标集群产品性能指标7产品防护类型介绍产品防护类型介绍6 部部 署署 方方 式式5 成成 功功 案案 例例9 产产 品品 认认 证证8公司简介公司简介一、2002年成立，从事网络安全产品、软硬件开发。并开始研发

2、DDoS攻击产品二、2003年，正式推出金盾抗拒绝服务系统系列产品三、2006年初，开始筹办北京，上海等分公司四、2006年，金盾防火墙覆盖率超过70%的国内市场五、产品覆盖ISP,公安，游戏，实体，证券等各行业六、2008年初，开始筹办并组建南京分公司 超前的技术、出色的管理和独树一帜的产品引领信息技术的发展，保证了全国范围内所有用户对网络科技的全方位需求，得到用户的欢迎和推崇。产品发展介绍 2003年02月：成立“金盾抗DDOS攻击产品”研发项目2003年11月：“金盾”产品推向市场，并申请国家发明专利2004年03月：“金盾”百兆级产品隆重推出2004年05月：“金盾”千兆级产品隆重推出

3、2004年12月：“金盾”自发布后，成功为数万个用户抵御了DDOS攻击2005年01月：“金盾”顺利通过国家安全产品检测中心检测2005年03月：“金盾”又获“公安部安全产品销售许可证”2005年06月：“金盾”产品成功应用于IDC、ICP服务商和ISP运营商2005年10月：“金盾”百兆和千兆产品成功用于政府行业 2006年06月：“金盾”集群产品问市，应用于电信，网通各大机房2006年07月：“金盾”电信、网通双线路互联防护方案出世2008年10月：“金盾”旁路型产品隆重推出DDOSDDOS攻击原理攻击原理 拒绝服务就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法拒绝服务就是

4、利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。得到服务的响应。DDOSDDOS攻击事件回顾攻击事件回顾1999年 Yahoo被拒绝服务攻击2001年 CERT 被拒绝服务攻击2002年 CNNIC 被拒绝服务攻击2003年 全球13台根 DNS 中有8台被大规模拒绝服务2005年 腾讯公司遭受拒绝服务2006年 新网,万网等国内知名域名服务商遭受拒绝服务至今互联网黑色产业链已颇具规模网络安全状况网络安全状况DDOSDDOS攻击特点攻击特点易于攻击技术门槛低免费攻击软件广为传播难于防犯攻击变种日新月异攻击流量日益增大追查困难Link Test破坏力强，危害面广极大的降

5、低了系统和网络的可用性黑色产业链颇具规模DDOSDDOS攻击危害攻击危害视频站点总是断点？在线聊天总是掉线？Web，Mail服务器瘫痪？DNS服务器瘫痪？支付平台被拒绝服务攻击？游戏服务器瘫痪了？运营商机房瘫痪了？如何才能解决出现的这一系列严重状况？金盾产品介绍金盾产品介绍 GFW7050 GFW7050型号千兆电口接入，产品可抵御大规模的攻击。经测试，型号千兆电口接入，产品可抵御大规模的攻击。经测试，500M500M网络条件，本产品在平均网络条件，本产品在平均490MBPS490MBPS的的DOSDOS，DDOSDDOS攻击流量下仍可保证攻击流量下仍可保证100%100%的的连接成功率。连接

6、成功率。防护带宽为防护带宽为500M500M GFW7100型号是一款适应于千兆接入环境的高端技术产品，该产品具型号是一款适应于千兆接入环境的高端技术产品，该产品具备千兆线速的高效率转发能力以及对备千兆线速的高效率转发能力以及对64字节小报文字节小报文(148万万PPS)攻击防攻击防护能力。防护带宽为护能力。防护带宽为1G GFW7180GFW7180型号是一款比型号是一款比GFW7100GFW7100性能更优的千兆接入环境的金盾抗性能更优的千兆接入环境的金盾抗拒绝服务系统拒绝服务系统 GFW7800GFW7800产品，在提升高效处理能力的情况下，更多的产品，在提升高效处理能力的情况下，更多的

7、考虑到关键性业务的不可中断性，增加了考虑到关键性业务的不可中断性，增加了bypassbypass功能实现了在软件系功能实现了在软件系统崩溃，硬件灾难性故障，意外断电等设备故障的状态下也不会导致统崩溃，硬件灾难性故障，意外断电等设备故障的状态下也不会导致网络中断网络中断 GFW7200GFW7200型号是一款适用于双千兆接入环境的抗拒绝服务产品型号是一款适用于双千兆接入环境的抗拒绝服务产品 ，防护，防护带宽带宽2G2GGFW7400GFW7400可实现四线接入，系统具有双倍于可实现四线接入，系统具有双倍于gfw7200gfw7200的处理能的处理能力，处理能力随之线性增强力，处理能力随之线性增强

8、 防护带宽防护带宽4G4GGFW7700GFW7700型号是一款万兆接入环境的金盾抗拒绝服务系统，采型号是一款万兆接入环境的金盾抗拒绝服务系统，采用自身高效率的算法对数据包的多层深层次的攻击检测进行数用自身高效率的算法对数据包的多层深层次的攻击检测进行数据异常流量分析据异常流量分析 防护带宽万兆防护带宽万兆专业针对当前流行的拒绝服务攻击（专业针对当前流行的拒绝服务攻击（DOS/DDOSDOS/DDOS）而设计）而设计 针对基于针对基于InternetInternet的信息平台，需要对不可控网络提供实时服务的客户的信息平台，需要对不可控网络提供实时服务的客户为它们提供完善的安全防护措施，使其免受

9、恶意攻击的危害。为它们提供完善的安全防护措施，使其免受恶意攻击的危害。ICP、ISP、IDC即时通信服务器政府事业单位企业网络业务系统证券、金融教育、电力、公安网络游戏、多媒体服务信息类网站、电子邮局、BBS、互动娱乐等 专业功能专业功能适用客户群适用客户群AttackerAttackerZombieZombieTarget ServerTarget Server产品功能特点产品功能特点高效率的核高效率的核高效率的核高效率的核 心攻击检测心攻击检测心攻击检测心攻击检测 、防护模块、防护模块、防护模块、防护模块专业的连接专业的连接专业的连接专业的连接 跟踪机制跟踪机制跟踪机制跟踪机制 通用方便通

10、用方便通用方便通用方便的报文的报文的报文的报文过滤规则过滤规则过滤规则过滤规则简洁丰富简洁丰富简洁丰富简洁丰富的管理的管理的管理的管理广泛的广泛的广泛的广泛的部署能力部署能力部署能力部署能力1.1.自自主主研研发发抗抗拒拒绝绝服服务务攻攻击击专专利利算算法法，对对SYN SYN FloodFlood，UDP UDP FloodFlood，ICMP ICMP FloodFlood，IGMP IGMP FloodFlood，Fragment Fragment FloodFlood，HTTP HTTP Proxy Proxy FloodFlood，CC Proxy FloodCC Proxy Flo

11、od等常见的攻击行为均可有效识别等常见的攻击行为均可有效识别2.2.通通过过集集成成的的机机制制实实时时对对这这些些攻攻击击流流量量进进行行处处理理及及阻阻断断，有有效效保保护服务主机免受护服务主机免受DDOSDDOS攻击危害攻击危害3.3.内内建建的的WEBWEB保保护护模模式式及及游游戏戏保保护护模模式式，彻彻底底解解决决针针对对此此两两种种应应用的用的DOSDOS攻击方式攻击方式 高效率的核高效率的核高效率的核高效率的核 心攻击检测心攻击检测心攻击检测心攻击检测 、防护模块、防护模块、防护模块、防护模块专业的连接专业的连接专业的连接专业的连接 跟踪机制跟踪机制跟踪机制跟踪机制 产品特点产

12、品特点广泛的广泛的广泛的广泛的部署能力部署能力部署能力部署能力简洁丰富简洁丰富简洁丰富简洁丰富的管理的管理的管理的管理通用方便通用方便通用方便通用方便的报文的报文的报文的报文过滤规则过滤规则过滤规则过滤规则1.1.内内部部实实现现了了完完整整的的TCP/IPTCP/IP协协议议栈栈，具具有有强强大大的的连接跟踪能力连接跟踪能力2.2.每每个个进进出出的的连连接接，防防火火墙墙都都会会根根据据其其源源地地址址进进行分类并显示，方便对受保护主机状态的监控行分类并显示，方便对受保护主机状态的监控3.3.提提供供连连接接超超时时，重重置置连连接接等等辅辅助助功功能能，弥弥补补TCPTCP协议本身的不足

13、，使服务器在攻击中游刃有余协议本身的不足，使服务器在攻击中游刃有余产品特点产品特点高效率的核高效率的核高效率的核高效率的核 心攻击检测心攻击检测心攻击检测心攻击检测 、防护模块、防护模块、防护模块、防护模块专业的连接专业的连接专业的连接专业的连接 跟踪机制跟踪机制跟踪机制跟踪机制 通用方便通用方便通用方便通用方便的报文的报文的报文的报文过滤规则过滤规则过滤规则过滤规则简洁丰富简洁丰富简洁丰富简洁丰富的管理的管理的管理的管理广泛的广泛的广泛的广泛的部署能力部署能力部署能力部署能力1.专业的专业的DOS/DDOS攻击检测及防攻击检测及防2.提供面向报文的通用规则匹配功能，提供面向报文的通用规则匹配

14、功能，可设置的域包括地址、端口、标志位，可设置的域包括地址、端口、标志位，关键字等，极大提高通用性及防护力关键字等，极大提高通用性及防护力度度3.内置了若干预定义规则，涉及局域内置了若干预定义规则，涉及局域网防护、漏洞检测等多项功能，易于网防护、漏洞检测等多项功能，易于使用使用 产品特点产品特点高效率的核高效率的核高效率的核高效率的核 心攻击检测心攻击检测心攻击检测心攻击检测 、防护模块、防护模块、防护模块、防护模块专业的连接专业的连接专业的连接专业的连接 跟踪机制跟踪机制跟踪机制跟踪机制 通用方便通用方便通用方便通用方便的报文的报文的报文的报文过滤规则过滤规则过滤规则过滤规则简洁丰富简洁丰富

15、简洁丰富简洁丰富的管理的管理的管理的管理广泛的广泛的广泛的广泛的部署能力部署能力部署能力部署能力采用基于采用基于B/SB/S架构的架构的WEBWEB的管理的管理方式方式简洁、丰富的设备管理功能简洁、丰富的设备管理功能支持本地或远程的更新支持本地或远程的更新产品特点产品特点广泛的广泛的广泛的广泛的部署能力部署能力部署能力部署能力通用方便通用方便通用方便通用方便的报文的报文的报文的报文过滤规则过滤规则过滤规则过滤规则高效率的核高效率的核高效率的核高效率的核 心攻击检测心攻击检测心攻击检测心攻击检测 、防护模块、防护模块、防护模块、防护模块简洁丰富简洁丰富简洁丰富简洁丰富的管理的管理的管理的管理专业

16、的连接专业的连接专业的连接专业的连接 跟踪机制跟踪机制跟踪机制跟踪机制 透明模式接入，安装无需对原有网络进行改透明模式接入，安装无需对原有网络进行改动。即插即用动。即插即用可广泛适用于多种协议并存的各类可广泛适用于多种协议并存的各类IDCIDC机房机房提供强大的防护功能的同时，使投资成本更提供强大的防护功能的同时，使投资成本更小小首家提供集群解决方案，最大限度防护攻击首家提供集群解决方案，最大限度防护攻击产品防护原理产品防护原理v产品基于嵌入式系统设计，系统核心实现防御拒绝服务攻击算法，将算法实现在协议栈最产品基于嵌入式系统设计，系统核心实现防御拒绝服务攻击算法，将算法实现在协议栈最底层，避开底层，避开IP/TCP/UDPIP/TCP/UDP等高层系统网络堆栈的处理，使整个运算代价极大降低等高层系统网络堆栈的处理，使整个运算代价极大降低v攻击检测攻击检测利用多种技术手段对DOS/DDOS攻击进行有效检测在不同的流量触发不同的保护机制，提高效率的同时确保准确度协议分析协议分析采用协议独立的处理方法，对TCP协议报文，通过连接跟踪模块来防护攻击对于UDP及ICMP协议报文，采用流量控制模块