G集群DDOS攻擊解決方案

1、XX電信網(wǎng)絡(luò)系統(tǒng)DDOS攻擊解決方案安徽中新軟件有限公司2007-9-5DDOS概述目前，DDOS攻擊越來(lái)越頻繁，攻擊規(guī)模越來(lái)越大，成為威脅互聯(lián)網(wǎng)最主要的攻擊模式。成功的DDOS攻擊所帶來(lái)的損失是巨大的，攻擊之下的門(mén)戶(hù)網(wǎng)站性能急劇下降，無(wú)法處理用戶(hù)訪(fǎng)問(wèn)請(qǐng)求，最終導(dǎo)致系統(tǒng)癱瘓。由此而帶來(lái)高額的服務(wù)賠償，公司信譽(yù)也會(huì)因此蒙受損失。DDOS攻擊可以簡(jiǎn)單的分為三類(lèi)，即流量型攻擊、連接型攻擊和漏洞型攻擊。流量型攻擊依靠巨大的帶寬壓力來(lái)達(dá)到使目標(biāo)系統(tǒng)拒絕服務(wù)的目的，源地址易于偽造，攻擊者難以定位；連接型攻擊利用網(wǎng)絡(luò)中預(yù)先“種植”的大量的傀儡機(jī)，通過(guò)頻繁訪(fǎng)問(wèn)目標(biāo)系統(tǒng)來(lái)達(dá)到拒絕服務(wù)的目的；而漏洞型攻擊則利用系

2、統(tǒng)缺陷，發(fā)送針對(duì)性的攻擊報(bào)文，使得目標(biāo)系統(tǒng)癱瘓，最終拒絕服務(wù)。普通的網(wǎng)絡(luò)系統(tǒng)對(duì)于這兩種攻擊完全素手無(wú)策，因此對(duì)于IDC/ISP來(lái)說(shuō)，建立專(zhuān)用的DDOS攻擊防護(hù)系統(tǒng)是必要的。關(guān)于中新金盾安徽中新軟件有限公司創(chuàng)立于2002年，是專(zhuān)業(yè)的網(wǎng)絡(luò)安全產(chǎn)品開(kāi)發(fā)商。公司自成立起便致力于DDOS攻擊防護(hù)產(chǎn)品的研發(fā)。次年，“中新金盾抗DDOS防火墻” 正式推向市場(chǎng)，市場(chǎng)反應(yīng)強(qiáng)烈。中新軟件在國(guó)內(nèi)抗拒絕服務(wù)技術(shù)產(chǎn)品方面一直處于領(lǐng)先地位，為全國(guó)各地的客戶(hù)提供創(chuàng)新的、客戶(hù)化的網(wǎng)絡(luò)安全設(shè)備、服務(wù)和解決方案，保證客戶(hù)長(zhǎng)期穩(wěn)定的收益，并以良好的經(jīng)營(yíng)業(yè)績(jī)和售后服務(wù)受到客戶(hù)推崇，產(chǎn)品覆蓋率達(dá)到70%。中新軟件目前已建立起一個(gè)強(qiáng)大的

3、營(yíng)銷(xiāo)與服務(wù)網(wǎng)絡(luò)，并先后在北京、上海、重慶等地建立分公司，使得信息溝通更及時(shí)，售后服務(wù)更貼心。產(chǎn)品介紹目前流量型攻擊愈演愈烈，攻擊者頻繁的利用海量報(bào)文來(lái)對(duì)IDC/ISP實(shí)行打擊。中新金盾2000+DDOS防火墻，為本公司針對(duì)此種趨勢(shì)而推出的高性能產(chǎn)品。其采用雙線(xiàn)路接入，具有雙倍于單路防火墻的帶寬上限優(yōu)勢(shì)，可有效解決各種DDOS攻擊，確保您的投資收益。1、 性能指標(biāo)中新金盾2000+DDOS防火墻的性能指標(biāo)，列表如下：64字節(jié)128字節(jié)256字節(jié)及以上最大吞吐量200萬(wàn)PPS190萬(wàn)PPS150萬(wàn)PPS最大處理帶寬1.2Gbps1.9Gbps1.99Gbps數(shù)據(jù)延時(shí)<40us最大連接數(shù)100

4、萬(wàn)并發(fā)連接數(shù)10萬(wàn)2、 接口描述網(wǎng)絡(luò)接口：四個(gè)千兆光口/電口，一個(gè)心跳口，一個(gè)管理口外設(shè)接口：一個(gè)標(biāo)準(zhǔn)串口管理接口：Console+Web3、 接入步驟中新金盾2000+DDOS防火墻的集群模式接入，如下圖所示：基本接入步驟為：1. 在上下層路由器/交換機(jī)上，需要將相應(yīng)端口設(shè)為等價(jià)路由或鏈路聚合模式（可為Port Trunking, LACP或PAgP），保證流量平均分配到集群內(nèi)的各個(gè)防火墻上；2. 將上層路由器/交換機(jī)的引出線(xiàn)接入防火墻的入口，將下層路由器/交換機(jī)的引出線(xiàn)接入防火墻的出口；3. 將防火墻的心跳口接入心跳交換機(jī)，將防火墻的管理口連入管理終端。中新金盾解決方案針對(duì)XX電信的網(wǎng)絡(luò)接入環(huán)境，我們?cè)O(shè)計(jì)了基于中新金盾的DDOS防御系統(tǒng)，拓?fù)浣Y(jié)構(gòu)如下圖所示：原網(wǎng)絡(luò)環(huán)境為16Gbps接入，因此我們?cè)O(shè)計(jì)在Cisco 7609和Cisco 3750之間接入兩組共8臺(tái)中新金盾2000+防火墻，使得攻擊承受能力可以達(dá)到16Gbps。防火墻之間數(shù)據(jù)交換，通過(guò)將心跳口連入心跳交換機(jī)實(shí)現(xiàn)。心跳交換機(jī)應(yīng)獨(dú)立于其它網(wǎng)絡(luò)，避免影響主網(wǎng)絡(luò)通信。防火墻管理通過(guò)WEB接口管理結(jié)論中新金盾防火墻，基于嵌入式系統(tǒng)設(shè)計(jì)，專(zhuān)用的防御內(nèi)核加上高效的防御算法，使得處理效率遠(yuǎn)遠(yuǎn)大于其它同類(lèi)別防火墻。我們的數(shù)據(jù)，在各種惡劣環(huán)境下，經(jīng)過(guò)反