產品介紹

抗拒絕服務系統是抵禦分佈式拒絕服務攻擊的專業防護性產品。產品主要部署在運營商骨幹節點、數據中心入口或者數據集羣前方。
抗拒絕服務系統實現基於行為異常的攻擊檢測和過濾機制。產品通過閾值、協議、端口、驗證碼等多種方式協同保障鏈路和業務的安全性。防禦來自於網絡層或是應用層的拒絕服務攻擊行為。讓客户免遭因鏈路擁塞、服務器資源耗盡造成業務無法正常運行訪問。


核心功能

雙協議棧識別
隨着IPv6的高速普及,抗拒絕服務系統支持雙協議棧過濾,通過對IP地址的識別,自動區分是IPv4還是IPv6協議。快速適應網絡的高速發展需求和DDoS防禦需求。
閾值限制
抗拒絕服務系統也使用標準的“閾值”設置。針對TCP、UDP、ICMP等協議進行數據包流量限制。通過對流量限制、報文限制、連接限制等多維度的閾值限制來保障帶寬的有效使用。
應用層防禦
抗拒絕服務系統針對應用層的CC攻擊時,使用切入頁面防護手段進行防禦。殭屍網絡、CC攻擊器都是電腦系統,無法輸入驗證碼、驗證頁面等內容。抗拒絕服務系統就是,採用Web Protection Based On Page Injection 即基於頁面插入式Web 防護算法。對於開啓防護的Web 服務器,防護模塊會主動插入Web頁面,客户端可無察覺的自動完成驗證過程,已達到高效的防禦 Web 類連接攻擊的目的。另外,也可以通過驗證服務器輔助來加強防護級別。
擴展集羣方式
抗拒絕服務系統支持擴展集羣方式,針對流量不斷擴展的同時,與老舊設備形成集羣擴展部署方式,舊設備與新設備形成一個整體的防禦體系。採用Extensible Firewall Cluster Mode 即可擴展的集羣模式,通過領先的數據分流技術,使得若干設備可組合形成更大的防護主體,提供海量攻擊的防護解決方案。

產品特點

實時態勢展示
抗拒絕服務系統的實時流量態勢感知功能,根據流量提供分析攻擊源、源地域、攻擊類型、攻擊趨勢、目標服務器和流量趨勢等實時態勢分析展示功能。並提供攻擊源與被攻擊源的態勢攻擊展示效果。所有態勢展示效果來源於在線流量的實時分析展現效果,讓客户通過實時大屏幕最直觀的、最便捷的瞭解DDoS攻擊防禦情況。
自主防禦算法
抗拒絕服務系統具備自主開發的獨立防護算法,包含連接代理、數據轉發、內核防護、數據挖掘等防護算法。防護算法主要是抵禦來自網絡層、應用層的DDoS攻擊。
協同防禦
因DDoS攻擊的千變萬化,因此抗拒絕服務系統使用“閾值限制、驗證識別、規則匹配、端口保護、旁路清洗等防禦手段把無序攻擊流量清洗到有序的網絡流量。保障服務器與網絡正常使用。

適用場景

抗拒絕服務系統主要部署在網絡出口,主要是針對外來的DDoS攻擊行為進行攔截,產品主要在金融、運營商、政府等重點行業的網絡出口進行部署。產品本身滿足國家公安部的等保2.0中針對DDoS攻擊防禦相關的政策性要求。

部署方式

抗拒絕服務系統接入機房核心交換機前端防護,核心交換機下所有主機進入防護區,連接方式:將ISP(運營商)分配的光纖接入到抗拒絕服務系統設備的出口,在將抗拒絕服務系統的設備出口接到下層核心交換機,被保護主機可置於核心交換機下。