產品介紹

抗拒絕服務系統是抵御分布式拒絕服務攻擊的專業防護性產品。產品主要部署在運營商骨干節點、數據中心入口或者數據集群前方。
抗拒絕服務系統實現基于行為異常的攻擊檢測和過濾機制。產品通過閾值、協議、端口、驗證碼等多種方式協同保障鏈路和業務的安全性。防御來自于網絡層或是應用層的拒絕服務攻擊行為。讓客戶免遭因鏈路擁塞、服務器資源耗盡造成業務無法正常運行訪問。

抗拒絕服務系統(Anti-DDoS)

核心功能

雙協議棧識別
隨著IPv6的高速普及,抗拒絕服務系統支持雙協議棧過濾,通過對IP地址的識別,自動區分是IPv4還是IPv6協議。快速適應網絡的高速發展需求和DDoS防御需求。
閾值限制
抗拒絕服務系統也使用標準的“閾值”設置。針對TCP、UDP、ICMP等協議進行數據包流量限制。通過對流量限制、報文限制、連接限制等多維度的閾值限制來保障帶寬的有效使用。
應用層防御
抗拒絕服務系統針對應用層的CC攻擊時,使用切入頁面防護手段進行防御。僵尸網絡、CC攻擊器都是電腦系統,無法輸入驗證碼、驗證頁面等內容。抗拒絕服務系統就是,采用Web Protection Based On Page Injection 即基于頁面插入式Web 防護算法。對于開啟防護的Web 服務器,防護模塊會主動插入Web頁面,客戶端可無察覺的自動完成驗證過程,已達到高效的防御 Web 類連接攻擊的目的。另外,也可以通過驗證服務器輔助來加強防護級別。
擴展集群方式
抗拒絕服務系統支持擴展集群方式,針對流量不斷擴展的同時,與老舊設備形成集群擴展部署方式,舊設備與新設備形成一個整體的防御體系。采用Extensible Firewall Cluster Mode 即可擴展的集群模式,通過領先的數據分流技術,使得若干設備可組合形成更大的防護主體,提供海量攻擊的防護解決方案。

產品特點

實時態勢展示
抗拒絕服務系統的實時流量態勢感知功能,根據流量提供分析攻擊源、源地域、攻擊類型、攻擊趨勢、目標服務器和流量趨勢等實時態勢分析展示功能。并提供攻擊源與被攻擊源的態勢攻擊展示效果。所有態勢展示效果來源于在線流量的實時分析展現效果,讓客戶通過實時大屏幕最直觀的、最便捷的了解DDoS攻擊防御情況。
自主防御算法
抗拒絕服務系統具備自主開發的獨立防護算法,包含連接代理、數據轉發、內核防護、數據挖掘等防護算法。防護算法主要是抵御來自網絡層、應用層的DDoS攻擊。
協同防御
因DDoS攻擊的千變萬化,因此抗拒絕服務系統使用“閾值限制、驗證識別、規則匹配、端口保護、旁路清洗等防御手段把無序攻擊流量清洗到有序的網絡流量。保障服務器與網絡正常使用。

適用場景

抗拒絕服務系統主要部署在網絡出口,主要是針對外來的DDoS攻擊行為進行攔截,產品主要在金融、運營商、政府等重點行業的網絡出口進行部署。產品本身滿足國家公安部的等保2.0中針對DDoS攻擊防御相關的政策性要求。

部署方式

抗拒絕服務系統接入機房核心交換機前端防護,核心交換機下所有主機進入防護區,連接方式:將ISP(運營商)分配的光纖接入到抗拒絕服務系統設備的出口,在將抗拒絕服務系統的設備出口接到下層核心交換機,被保護主機可置于核心交換機下。