随着网络技术的不断普及与发展,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击;同时,各种网络病毒的泛滥,也加剧了网络被攻击的危险。
异常流量清洗产品是面向运营商、互联网数据中心、金融行业数据中心、政企办公网络及行业市场的高性能网络安全防护产品。在安全功能方面,异常流量清洗产品为用户提供了全面的安全防范体系和远程安全接入能力,支持实时监控防护对象流量、包数、连接数,并对异常流量进行清洗过滤。同时产品支持根据业务需求过滤匹配某些特征的数据报文,封堵存有安全隐患的协议、端口,限制防护对象攻击流量,提供各类安全报表、日志记录等能力,能够有效的保证网络的安全。
应用自主研发的抗拒绝服务攻击算法,针对不同种类的DDoS攻击采用不同的算法(例如流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等)识别,从而准确地区分出恶意DDoS报文。产品的攻击检测和识别的算法效率非常高,可以承受各类大流量DDoS攻击,以Syn Flood防护为例,连接维持率和新发起连接可用率都可达100%—其效率远远超过了Syn-cookie和Random-drop等算法。
支持对HTTP/HTTPS/DNS/CC攻击防护,支持DNS request首包丢弃功能。
支持自定义协议类型防护特定应用层协议,如对网游、语音、即时通讯相关协议等的防护。
支持HTTP slow header、HTTP slow post、连接数限制等慢速攻击。
支持针对缓存及授权DNS服务器宕机保护、域名劫持防护,支持DNS IP地址TopN、DNS域名Top N、DNS Qps 统计。
支持自动分析UDP等非链接协议payload长度和规律自动过滤。
支持针对不同攻击流量启用相应的防护策略,对攻击流量进行相应限制。
支持自动识别保护的各个主机及其IP地址,并且某台主机受到攻击不会影响其它主机的正常服务。
支持根据攻击的流量和连接数阈值来设置自动触发防护选项,并且连接数阈值可根据不同情况灵活控制。
支持自动和人工添加黑白名单及灵活的规则设置。
支持精细化的流量基线动态学习能力,学习结果可以直接作为防御阈值。
支持超级ACL(协议、端口、IP、协议CODE、协议标志位、州、国家、省份组合过滤)。
支持多维度特征码过滤策略编制(特征码、特征码包长、特征码包频率、特征码自动加白/加黑源IP)。
支持域名白黑名单功能以及分级防护,支持一级与二级域名分开防护,例如:可设置一级域名为放行,二级域名为屏蔽。
支持静态和动态牵引方式,支持OSPF协议、BGP协议、IS-IS协议。
支持二层回注、策略路由回注、GRE回注、MPLS LSP回注、MPLS VPN回注等多种方式。
异常流量清洗系统管理中心AFC-Manager支持软件部署,可对清洗设备以及检测设备进行管理和数据整合,提供直观便利的设备运行监控、策略配置、报表生成和抓包取证等功能。管理中心可以对多台设备进行集中式管理、监控、控制、维护,让防护更加高效简洁。
支持自动抓包功能,当受到攻击时,自动抓被攻击主机的攻击报文,便于网络管理人员监控、取证。
支持在线报文分析,可根据HTTP、数据Payload生成分析报表。
属性 | 说明 |
攻击防范功能 | 支持对欺骗与非欺骗的SYN Flood、ACK Flood、ICMP Flood、ICMP Fragment、UDP Flood、UDP Fragment、FIN/RST Flood、TCP Misuse、TCP Connection Flood、TCP Fragment、HTTP Flood、HTTP Slow Attack、HTTPS Flood、SIP Flood、DNS Query Flood、DNS Reply Flood、DNS Amplification、SSDP Amplification、NTP Amplification、Chargen Amplification、SNMP Amplification 、Jenkins Amplification、WSDD Amplification、COAP Amplification、Memcache Amplification、 ARMS Amplification 、CLDAP Amplification、MS SQL Amplification及混合类型攻击进行检测、告警并防护。 |
设备具备针对缓存DNS服务器及授权DNS服务器专用的DNS防护手段。 | |
设备具备针对HTTP POST Flood攻击具备专有防护算法。 | |
支持TCP/UDP反射规则防护。 | |
设备具备对连接耗尽型攻击的防御能力。 | |
设备支持使用智能攻击流量识别的技术进行防护,而不需要基于特定规则的方式,即当发生未知攻击,无需专门的撰写规则即可对这些攻击进行防护。 | |
设备支持高级模版匹配的功能,过滤策略可定义内容至少包含:目标IP/掩码、目标端口、源IP/掩码、源端口、协议类型、接口范围、包长范围、TOS、TTL/HopLimit、UDP校验、ICMP类型、ICMPv6类型、TCP选项、TCP标志位、偏移量、深度、payload字符。 | |
设备提供过滤功能,支持白名单、全局黑名单、全局ACL、正则表达(同时支持TCP和UDP协议)、GeoIP功能。 | |
支持URL访问控制规则等多种分组过滤方式。 | |
支持基于UDP的payload长度和规律提供检查和防护 | |
UDP防护支持多种检查和限速方式,包括最小包长、最大包长、源IP+源端口限速、源IP限速、目的IP+目的端口限速、目的IP+源端口限速、目的IP限速。 | |
可以根据TCP的标志位进行信任源IP限速 | |
支持对空连接进行检测和防护。 | |
支持调用威胁情报库对流量进行防护,并支持IP信誉查询;支持情报例外避免业务误阻断;支持威胁情报库自动或手动升级。 | |
支持对TCP反射攻击进行防护,针对SYNACK攻击报文进行精准过滤。 | |
支持对TCP、UDP、ICMP分片报文进行限速控制。 | |
支持对HTTP Malformed报文防护进行防护(HTTP畸形报文)。 | |
牵引回注功能 | 支持静态和动态牵引方式,并且支持BGP路由协议和OSPF协议。 |
支持二层回注、三层回注、GRE回注、PBR回注、MPLS LSP回注、MPLS VPN回注等多种回注方式。 | |
支持portchannel多端口绑定,支持静态以及LACP动态绑定。 | |
设备支持与Arbor和Genie进行联动清洗 | |
支持OSPF、ISIS、RIP、OSPF6、LDP、ripng等高级路由配置。 | |
管理功能 | 管理界面要友好、易用性强,应支持集中管理、本地管理、远程管理等多种管理方式,并能实时显示攻击事件、流量、系统运行状况等信息。 |
系统Web界面具备设备的远程升级功能。 | |
对设备的远程管理方式具备加密能力,通过https和SSH 等加密方式实现。 | |
管理系统支持输出流量报表 | |
系统支持用户分级分权管理 | |
支持系统用户进行双因素认证登录。 | |
系统具备安全日志功能,可完整地记录用户对设备的重要操作、访问信息。 | |
syslog配置支持选择发送日志的类型。 | |
支持配置文件导入导出,用于设备配置备份和紧急恢复。 | |
提供故障信息一键收集功能,实现运维场景快速定位和解决问题 | |
提供界面手动及自动抓包功能,抓包参数定义范围至少包含如下几项:接口、协议、抓包数量、源IP、目标IP、源或目标IP、最大包长、流量方向、抓包时长、源端口、目的端口、源或目的端口。 |
异常流量清洗系统以透明网桥方式部署在用户网络中。在串联部署模式中用户网络配置无须变动,将异常流量清洗系统外网口连接用户网络核心设备下联端口,异常流量清洗系统内网口连接用户网络汇聚设备即可完成串联模式部署。
串联部署场景下由于在网络中增加了物理设备,使得网络中的故障风险点进一步增加,建议采用串联部署时考虑使用双机主主热备方式降低网络故障风险。
串联部署场景下可以监控全量双向网络流量,可以对服务器流量进行精细化分析,非常适用于web CC、游戏CC等应用型(资源耗用型)网络攻击的防护场景。
异常流量清洗系统串联场景组网图
异常流量清洗系统和异常流量检测系统均旁路部署在用户网络核心设备一侧。通过镜像、分光等方式将流量实时发送到异常流量检测系统,当检测到异常流量攻击时,通过动态牵引将流量转发至异常流量清洗系统。该模式部署简单无须调动现有网络结构。
动态引流:无攻击时业务不经过清洗设备,当业务地址存在攻击时,会由检测设备联动清洗系统动态牵引受攻击业务进入清洗设备。降低清洗系统载核;
动态恢复:清洗设备故障时,牵引路由会自动收敛,恢复清洗业务路径转发,业务持续运行;
高可靠:清洗系统工作期间无攻击业务按原始路径正常转发,可杜绝因防御策略配置导致无攻击业务受损;
网络端口占用低:旁路单臂部署时,每条链路仅需要1个网络设备端口即可完成部署;
适用于运营商等数据中心出口带宽容量大,对网络可靠性要求高,禁止串行模式部署清洗系统的场景。
异常流量清洗系统旁路检测动态引流场景组网图
AFC2000系列产品是新华三技术有限公司自主研发的产品,用户可以根据实际需求按照型号进行选购。
(1)产品选购一览表
中文描述 | 配置选择 |
H3C SecPath AFC2000-S异常流量清洗设备 | 必配 |
H3C SecPath AFC2000-M异常流量清洗设备 | 必配 |
H3C SecPath AFC2000-A异常流量清洗设备 | 必配 |
H3C SecPath AFC2000-D异常流量检测设备 | 必配 |
H3C SecPath AFC2000-MP系统软件功能授权函(管理中心) | 选配 |
· “必配”表示所描述项目是设备正常运行的最小配置。
· “选配”表示所描述项目是用户根据实际使用需要可选择配置。