- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
随着网络技术的不断普及与发展,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击;同时,各种网络病毒的泛滥,也加剧了网络被攻击的危险。
异常流量清洗产品(抗DDoS)是面向运营商、互联网数据中心、金融行业数据中心、政企办公网络及行业市场的高性能网络的安全防护产品。在安全功能方面,异常流量清洗产品为用户提供了全面的安全防范体系和远程安全接入能力,支持实时监控防护对象流量、包数、连接数,并对异常流量进行清洗过滤。同时产品支持根据业务需求过滤匹配某些特征的数据报文,封堵存有安全隐患的协议、端口,限制防护对象攻击流量,提供各类安全报表、日志记录等能力,能够有效的保证网络的安全。
H3C SecPath M9000系列异常流量清洗产品拥有最高T级清洗能力,并且充分考虑网络应用对高可靠性的要求,采用专业的多核全分布式架构,模块分离可拔插式设计,便于灵活组网和扩容。主控引擎1+1冗余,提供整机统一配置管理,支持安全集群;业务引擎和接口单元支持混插,可以根据性能需求灵活进行选择;风扇模块冗余,风扇框支持风扇状态监控,风扇支持无级调速,可以根据环境温度、单板配置自动分组调速;电源模块M+N备份,交、直流电源模块支持热插拔,多电源模块负载分担,可灵活根据系统功耗配置模块数量,保证模块高效工作。设备所有单元均支持热插拔,充分满足网络维护、升级、优化的需求。产品主要用于抵抗拒绝服务类的网络攻击,例如:SYN-flood、UDP-flood、DNS-Query-flood等类型攻击,产品旨在应用于IDC机房,政府、事业单位,大型企业,为客户解决拒绝服务类的攻击防护问题,保证重要网络环境的安全和完整性,创造安全可靠的网络环境。
采用控制、业务、数据相分离的全分布式架构,控制引擎、交换引擎、业务引擎及接口单元硬件分离,解耦合系统关键部件,提高系统可靠性;独立的硬件交换引擎,支撑高性能安全业务无阻塞处理及转发
拥有自主的抗拒绝服务攻击算法,拥有智能参数阀值,对流量型攻击、连接型攻击、漏洞型攻击及其他各种常见的攻击行为均可有效识别和防护,保障业务系统正常运行
内置的各种针对网站、网络游戏、音视频聊天室等专门的Web防护插件及游戏防护插件
支持WEB、SSH2、Console三种设备管理方式
支持web页面手动方式软件升级
具有丰富的设备管理功能,基于简洁的Web管理方式,支持本地或远程升级
能够针对攻击进行实时监测,对攻击的历史日志进行方便的查询和统计分析
支持自动抓包功能,当受到攻击时,自动抓被攻击主机的报攻击文,便于网络管理人员监控、取证
支持指定目标/源IP地址、MAC地址等,用于手动分析攻击类型
支持双机热备功能,支持Active/Passive工作模式
支持集群功能,支持Active/Active工作模式
项目 | H3C SecPath M9000异常流量清洗产品 |
主控板槽位数 | 2 |
业务板槽位数 | 8 |
交换网槽位数 | 2 |
整机最大清洗性能(IMIX混合包) | 300Gbps |
整机最大并发连接数 | 3亿 |
整机最大新建连接数 | 600万 |
每业务板清洗性能 (AFC2000异常流量清洗业务卡) | IMIX混合包吞吐:50Gbps 新建连接数:100万 并发连接数:5000万 |
开启IPS、AV后没业务卡性能 | 40G |
冗余设计 | 主控、交换网板、电源、风扇 |
重量(kg) | < 140kg |
总功耗(W) | <2252W |
(W ×H ×D) | 440mm×264mm×857mm(6RU) |
环境温度 | 工作:0~45℃ 非工作:-40~70℃ |
属性 | 说明 | |
攻击防护能力 | 1.支持对欺骗与非欺骗的TCP (SYN, SYN-ACK, ACK, FIN, fragments) 、UDP (random port floods, fragments)、ICMP (unreachable, echo, fragments)、(M)Stream Flood及混合类型攻击的防护。 | |
SYN攻击防御 | 对欺骗与非欺骗等不同类型的SYN Flood攻击支持算法调整功能,在监测到缺省算法无效或者不佳时,可通过人工灵活调整算法;串联模式至少3种防护机制,旁路模式至少5种,支持真实源探测防护机制; | |
UDP攻击防御 | 对欺骗与非欺骗等不同类型的UDP Flood攻击支持组合防御,在监测到缺省算法无效或不佳时,可通过人工灵活调整防御模式;需具备“业务代理”、“数据包生命周期验证”、“数据包频率限制”、“协议关联验证”、“限时转发”等防御算法,支持真实源探测防护机制; | |
ICMP攻击防御 | 对非欺骗类型的ICMP Flood攻击具备“限时转发”防御算法。 | |
2.支持链接类型攻击组合防御,在监测到缺省算法无效或不佳时,可通过人工灵活调整防御模式,需包含Global(客户源)-To-IP(防护主机)模式、IP(客户源)-To-IP(防护主机)模式、IP-To-Port(防护主机)模式和IP(防护主机)-To-Global(客户源)模式等链接控制功能。 | ||
3.支持链接类型攻击组合防御,在监测到缺省算法无效或不佳时,可通过人工灵活调整防御模式,需包含“空连接释放”、“连接主动和被动断开次数限制”、“延时提交验证”和“端口关联验证”等防御功能。 | ||
4.支持链接类型攻击组合防御,在监测到缺省算法无效或不佳时,人员可提取数据包中内容字符,对客户源进行访问频率和并发数量限制,并且能够自动加入动态黑名单。 | ||
5.提供数据包访问控制功能,能够基于“数据内容长度”、“数据内容字符”、“客户源IP”、“防护主机IP”、“协议类型”、“客户源端口”、“防护主机端口”、“TCP Flags”和“TCP Windows size”等条件组合使用,并且能够输出匹配日志和自动加入动态黑名单。 | ||
6.提供IP黑、白名单功能。 | ||
7.提供网络中未知主机发现功能,能够基于IP地址和MAC地址对未知主机进行流量限制。 | ||
8.支持针对FTP、POP3、SMTP、SSH、HTTP、SSL/TLS协议类型进行防御,能够根据协议特征自定义防御类型。 | ||
9.设备具备针对HTTP业务提供专用的防护手段,支持文本文件、动态站点等不同级别防御设置,攻击程度较深时可进行手工验证。 | ||
10.设备具备针对UDP53、TCP53及DNS提供专用的DNS Query Flood防护手段。 | ||
11.提供流量过滤功能,可根据报文长度、源目IP、协议、源目端口号、标志位、窗口大小和数据内容等主键对流量进行控制。 | ||
12.支持对网络中未知的主机,根据IP、MAC进行输入和输出流量控制。 | ||
13.具备对网络中数据包字符相同的流量值限制功能。 | ||
14.攻击结束后具备攻击事件历史记录,记录需包含攻击源地址、目的地址、目的端口、开始时间、结束时间、持续时间、攻击类型、最大流量和报文档案等信息。 | ||
15.具备动态黑名单历史分析功能,包含屏蔽时间、源地址、目的地址和屏蔽原因等信息。 | ||
16.具备动态流量牵引功能,可根据流量值、攻击状态自动在其它路由器或交换机上改变流量走向。 | ||
管理功能 | 1.管理界面要友好、易用性强,应支持本地管理、远程管理等多种管理方式,并能实时显示攻击事件、流量、系统运行状况等信息。 | |
2.系统具备统一管理平台,在集群部署时支持对多台设备的集中管理,日志收集,运行状态监控,策略下发。 | ||
3.针对防御主机IP能够进行流量排名、链接排名、攻击状态筛选等功能。 | ||
4.能够根据总流量、输入流量、输出流量、攻击频率、总连接、新建连接进行TOP 100过滤。 | ||
5.支持手动和自动报文捕捉功能,手工报文捕捉功能可根据协议类型、源IP地址、目的IP地址、MAC地址、采样比等条件进行自定义报文捕捉,捕捉报文可以自动上传TFTP服务器。 | ||
6.支持攻击时自动邮件告警功能,邮件信息需要包含攻击源地址、目的地址、目的端口、开始时间等信息。 | ||
牵引方式 | 1.支持静态和动态牵引方式,并且支持BGP、OSPF路由协议。 | |
2.支持二层回注、三层回注、GRE回注、MPLS LSP回注、MPLS VPN回注等多种回注方式。 | ||
异常流量清洗系统以透明网桥方式部署在用户网络中。在串联部署模式中用户网络配置无须变动,将异常流量清洗系统外网口连接用户网络核心设备下联端口,异常流量清洗系统内网口连接用户网络汇聚设备即可完成串联模式部署。
串联部署场景下由于在网络中增加了物理设备,使得网络中的故障风险点进一步增加,建议采用串联部署时考虑使用双机主主热备方式降低网络故障风险。
串联部署场景下可以监控全量双向网络流量,可以对服务器流量进行精细化分析,非常适用于web CC、游戏CC等应用型(资源耗用型)网络攻击的防护场景。
异常流量清洗系统串联场景组网图
异常流量清洗系统平级部署在用户网络核心设备一侧,在异常流量清洗系统与用户网络核心设备间建立BGP邻接关系,异常流量清洗系统通过发布主机地址或长掩码路由信息至用户核心设备,实现防护对象流量引入。异常流量清洗系统通过与用户核心设备互联端口接收防护对象实时流量,并对防护对象流量通过自身防御引擎过滤,将过滤后无攻击流量通过互联端口原路输出至用户核心设备,完成过滤后流量回注。此种模式场景中,用户网络设备需要在互联端口入口方向上提前预置好针对匹配目地地址为防护对象的策略路由,将接收到的匹配流量直接转发至下游汇聚节点防止产生路由环路。
旁路引流场景下,流量通过动态路由转发至异常流量清洗系统,一旦设备故障动态路由便会自动收敛,业务流量又重新回到原转发链路,因此不会因为异常流量清洗设备的增加而增加更多的网络故障点。
由于旁路引流场景的服务器上行数据不经过清洗设备,因此异常流量清洗系统无法对服务器全部流量进行全接管,无法进行精确分析,通常不建议使用旁路部署方式进行Web CC、游戏CC、dns宕机保护等应用层防护场景。
该部署方式下,充分利用核心设备与清洗设备之间的互联接口上下行带宽,降低了核心设备的接口占用率,从而降低了对核心设备的接口扩容等成本压力。
异常流量清洗系统旁路静态引流场景组网图
异常流量清洗系统和异常流量检测系统均旁路部署在用户网络核心设备一侧。通过镜像、分光等方式将流量实时发送到异常流量检测系统,当检测到异常流量攻击时,通过动态牵引将流量转发至异常流量清洗系统。
该模式部署简单无须调动现有网络结构;
动态引流:无攻击时业务不经过清洗设备,当业务地址存在攻击时,会由检测设备联动清洗系统动态牵引受攻击业务进入清洗设备。降低清洗系统载核;
动态恢复 :清洗设备故障时,牵引路由会自动收敛,恢复清洗业务路径转发,业务持续运行;
高可靠:清洗系统工作期间无攻击业务按原始路径正常转发,可杜绝因防御策略配置导致无攻击业务受损;
网络端口占用低:旁路单臂部署时,每条链路仅需要1个网络设备端口即可完成部署;
适用于运营商等数据中心出口带宽容量大,对网络可靠性要求高,禁止串行模式部署清洗系统的场景。
异常流量清洗系统旁路检测动态引流场景组网图
H3C SecPath M9000系列异常流量清洗产品是H3C公司自主开发的异常流量清洗产品,用户可以根据实际需求选购主机和业务板卡。
主机选购一览表
|
|
|
H3C SecPath M9000 | H3C SecPath M9000异常流量清洗机框主机框 | 必配 |
主控制引擎模块 | H3C SecPath M9000主控引擎 | 必配,1+1冗余 |
AFC2000业务引擎选购一览表
|
|
|
AFC2000业务引擎模块 | AFC2000异常流量清洗业务引擎模块 | 选配 |
接口单元选购一览表
|
|
|
接口交换A模块(SH) | 选配 | |
2端口100G以太网光接口(QSFP28)+16端口万兆以太网光接口模块(SFP+) | 支持100G、40G、10G、1G光模块和光转电模块 | 选配 |
4端口40G以太网光接口(QSFP+)+16端口万兆 | 支持40G、10G、1G光模块和光转电模块 | 选配 |
24端口万兆以太网光接口模块(SFP+) | 支持10G、1G光模块和光转电模块 | 选配 |
6端口100G以太网光接口模块(QSFP28) | 支持100G、40G光模块 | 选配 |
交换引擎
|
|
|
H3C SecPath交换网板 | 必配 |
电源模块选购一览表
|
|
2400W交流电源模块 | 必配 |
2400W直流电源模块 | 必配 |
3000W交流电源模块 | 必配 |
3000W交流&240V-380V高压直流电源模块 | 必配 |
风扇模块选购一览表
|
|
H3C 风扇框模块 | 必配 |
主机
文档中心
软件下载
售前咨询
售后咨询
人工在线咨询
