随着网络技术的不断普及与发展,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击;同时,各种网络病毒的泛滥,也加剧了网络被攻击的危险。
异常流量清洗产品(抗DDoS)是面向运营商、互联网数据中心、金融行业数据中心、政企办公网络及行业市场的高性能网络安全防护产品。在安全功能方面,异常流量清洗产品为用户提供了全面的安全防范体系和远程安全接入能力,支持实时监控防护对象流量、包数、连接数,并对异常流量进行清洗过滤。同时产品支持根据业务需求过滤匹配某些特征的数据报文,封堵存有安全隐患的协议、端口,限制防护对象攻击流量,提供各类安全报表、日志记录等能力,能够有效的保证网络的安全。
支持对SYN Flood、UDP Flood、ICMP Flood、ACK Flood、DNS Flood、HTTP Flood、SIP Flood等流量型攻击。
支持对Smurf、Ping of death、Teardrop、IP fragment、Winnuke、Traceroute等单包攻击。
支持对HTTP/HTTPS/DNS/CC攻击防护,支持DNS request首包丢弃功能。
支持自定义协议类型防护特定应用层协议,如对网游、语音、即时通讯相关协议等的防护。
支持HTTP slow header、HTTP slow post、连接数限制等慢速攻击。
支持针对缓存DNS服务器及授权DNS服务器宕机保护、域名劫持防护,支持DNS IP地址TopN、DNS域名Top N、DNS Qps 统计
支持自动分析UDP等非链接协议payload长度和规律自动过滤。
支持连接、非连接协议业务逻辑策略自定义。
支持针对不同攻击流量启用相应的防护策略,对攻击流量进行相应限制。
支持自动识别保护的各个主机及其IP地址,并且某台主机受到攻击不会影响其它主机的正常服务。
支持根据攻击的流量和连接数阈值来设置自动触发防护选项,并且连接数阈值可根据不同情况灵活控制。
支持算法调整功能,即在监测到缺省算法无效或者不佳时,可通过人工调整算法。
支持自动和人工添加黑白名单及灵活的规则设置。
支持指纹防护,针对数据包头、数据包协议类型及各个字段值、特征自定义频率限制和连接限制功能。
支持精细化的流量基线动态学习能力,学习结果可以直接作为防御阈值。
支持超级ACL(协议、端口、IP、协议CODE、协议标志位、州、国家、省份组合过滤)。
支持多维度特征码过滤策略编制(特征码、特征码包长、特征码包频率、特征码流信认、特征码自动加白/加黑源IP)。
支持攻击溯源。
支持每域名限速/指定域名限速。
支持域名白黑名单功能。
分级防护,支持一级与二级域名分开防护,例如:可设置一级域名为放行,二级域名为屏蔽。
支持静态和动态牵引方式,支持OSPF协议、BGP协议、IS-IS协议。
支持二层回注、策略路由回注、GRE回注、MPLS LSP回注、MPLS VPN回注等多种方式。
提供丰富的报表,主要包括基于攻击事件的报表、基于类型的分析报表等。
支持报表以多种格式输出。
支持与管理中心联动。
支持自动抓包功能,当受到攻击时,自动抓被攻击主机的攻击报文,便于网络管理人员监控、取证。
支持在线报文分析,可根据HTTP、数据Payload生成分析报表。
支持指定目标/源IP地址、MAC地址等多种抓包参数,用于手动分析攻击类型。
表1-1 H3C SecPath AFC2000-G2系列异常流量清洗系统产品规格
项目 | H3C SecPath AFC2000-G2系列 | |||||
型号 | AFC2020-G2 | AFC2040-G2 | AFC2100-G2 | AFC2200-G2 | AFC2400-G2 | AFC2100-D-G2 |
接口 | 1GE*6 | 1GE*8+SFP*8 | 1GE*2 | 1GE*2 | 1GE*2 | 1GE*2 |
扩展槽 | 1 | 2 | 4 | 8 | 8 | 4 |
内存配置 | 8G | 16G | 16G | 32G | 64G | 16G |
硬盘 | 1TB | |||||
外形规格 | 1U | 2U | 2U | 2U | 2U | 2U |
外型尺寸(D×W ×H) | 435mmx450mmx44.5mm | 438mmx470mmx88mm | 600mmx440mmx88mm | 550mmx440mmx88mm | 550mmx440mmx88mm | 600mmx440mmx88mm |
净重 | 6Kg | 10Kg | 14Kg | 19Kg | 19Kg | 14Kg |
环境温度 | 0℃-40℃ (存储温度:-20℃-80℃) | |||||
环境湿度 | 工作:10~90%,无冷凝 | |||||
供电方式 | 单电源 | 支持冗余电源,默认单电源 | ||||
电源功率 | 60W | 350W | 350W | 550W | 550W | 350W |
属性 | 说明 |
状态监控 | 集群内所有设备实时输入、输出流量、连接数、拦截流量显示 |
服务器IP地址实时输入、输出、输入拦截流量、输入拦截包数显示 | |
支服务器服务器连接状态显示(源IP、目地IP、源端口、目地端口、协议状态) | |
支持服务器址二元(源IP地址、目地地址IP)连接计数统计 | |
服务器TOP N信息排名(流量、包数、拦截流量、拦截包数、设备) | |
支持抓包在线分析 | |
支持动、静态黑白名单查看 | |
流量牵引与黑洞 | 支持 BGP 引流 |
支持 RIP、RIPng 引流 | |
支持 OSPFv2/v3 引流 | |
支持静态路由引流 | |
支持策略路由引流 | |
支持自定义引流配置(引流、解除引流时间配置) | |
支持手动引流状态查看 | |
支持引流历史记录 | |
支持路由器动作命令日志记录 | |
支持自动路由黑洞策略定制 | |
支持总流量 TOP 排名次序牵引 | |
支持路由动作预设 | |
支持 ACL 引流、封堵 IP | |
支持路由牵引白名单保护 | |
黑洞计数周期支持(在规定时间内首次牵引、第二次牵引、第三次牵引...每次牵引解封时间自定义) | |
牵引 API 接口支持,支持接口牵引状态查询、牵引、反牵引支持、支持通过接口配配置牵引规则生效 IP 地址段、IP 地址 | |
支持对一组或多组地址配置按组内总流量牵引(定义一个流量阀值,当规则范围内的所有地址流量和超规定阈值时,牵引组流量排名 TOP1 地址) | |
流量回注 | PBR 流量回注 |
GRE 流量回注 | |
MPLS 流量回注 | |
MPLS VPN 流量回注 | |
VLAN 二层流量回注 | |
双臂三层流量回注 | |
攻击防御 | 攻击规则阈值自定义(支持自定义输入、输出 syn、tcp、udp、icmp、IP 防护触发阈值) |
支持字符/16 进字特征码过滤 | |
支持自定义特征报文频率限速 | |
支持自定义特征报文报文超出频率自动加黑源 IP | |
支持单报文自定义特征出现次数自动加黑源 IP | |
支持源、目地特征标记,根据标记加黑放行源 IP | |
支持按报文大小判断过滤 | |
支持按指定报文长度访问频率限制 | |
支持配置指定时间内允许通过的报文数(按源 IP 或目地 IP) | |
支持配置指定时间内允许通过的流量(按源 IP 或目地 IP) | |
支持每规则黑名单超时自定义 | |
支持对加黑源地址 IP 强制释放连接 | |
支持源 IP 地址全局加黑、针对特定服务器加黑 | |
支持规则行为继续、通过、跳出本地则 | |
支持规则内寄存器数据共享 | |
支持双向特征过滤 | |
支持以 TCP 数据为起始位的相对特征偏移过滤 | |
支持指定特征偏移位特征过滤 | |
支持根据特征值加白源 IP 地址 | |
支持根据包大小加白源 IP 地址 | |
支持流量限速 | |
支持包限速 | |
实时二元组(源、目地址 IP 地址)连接数条件加黑 | |
过滤规则 | 支持根据(地理位置、源 IP 地址、目的 IP 地址、源端口号、目的端口号、协议号、标志位)配置访问控制策略。 |
HTTP 防护插件 | 支持用户无感知 js 验证 |
支持跳转按钮交互式验证 | |
支持自定义交互式问题验证 | |
游戏防护插件 | 源、目地址最大连接数限制 |
服务器最大连接保护 | |
空连接自动释放 | |
DNS 防护插件 | DNS 域名黑、白名单 |
DNS 域名访问控制与限速 | |
DNS 缓存感染攻击(DNS 投毒)防御 | |
DNS 欺骗攻击防护 | |
防御域名劫持防护 | |
DNS 域名重定向 | |
DNS 动态 cache 代理 | |
DNS 宕机保护 | |
DNS TOP N 排名 | |
DNS 随机域名攻击 | |
DNS Query、Reply Flood 攻击防御 | |
静态采样插件 | udp 采样插件(自动防御 udp flood 攻击) |
icmp 采样插件(自动防御 icmp flood 攻击) | |
ip 采样插件(自动防御 ip flood 攻击) | |
部署方式 | 支持透明串联部署、旁路双臂部署、旁路单臂部署、旁路双臂部署,并支持单台混合模式部署;路由模式部署,单台设备可根据实际环境自由切换工作模式 |
攻击溯源 | 支持记录攻击源地址并主动分析攻击源 IP 所归属的地理位置与线路 |
支持集群统一管理 | 可统一查看、管理、配置各分节点设备状态及网络数据情况,最大管理集群容量无上限。 |
自定义安全报告 | 安全报告可导出 |
支持配置安全报告定时任务自动导出 | |
日志报表 | 攻击日志(攻击事件开始-结束时间、攻击时刻峰值 、拦截峰值、包数、拦截包数、攻击源 IP) |
流量日志,设备流量日志、每服务器流量日志(含输入流量、输出流量、拦截流量、连接次数)、默认 30 天存储 | |
连接监控日志 | |
攻击统计分析报表 | |
自定义系统标识 | 对多节点、多集群用户方便识别、人性化管理。 |
设备管理源地址限制 | 可限制源地址访问 |
异常流量清洗系统以透明网桥方式部署在用户网络中。在串联部署模式中用户网络配置无须变动,将异常流量清洗系统外网口连接用户网络核心设备下联端口,异常流量清洗系统内网口连接用户网络汇聚设备即可完成串联模式部署。
串联部署场景下由于在网络中增加了物理设备,使得网络中的故障风险点进一步增加,建议采用串联部署时考虑使用双机主主热备方式降低网络故障风险。
串联部署场景下可以监控全量双向网络流量,可以对服务器流量进行精细化分析,非常适用于web CC、游戏CC等应用型(资源耗用型)网络攻击的防护场景。
异常流量清洗系统串联场景组网图
异常流量清洗系统平级部署在用户网络核心设备一侧,在异常流量清洗系统与用户网络核心设备间建立BGP邻接关系,异常流量清洗系统通过发布主机地址或长掩码路由信息至用户核心设备,实现防护对象流量引入。异常流量清洗系统通过与用户核心设备互联端口接收防护对象实时流量,并对防护对象流量通过自身防御引擎过滤,将过滤后无攻击流量通过互联端口原路输出至用户核心设备,完成过滤后流量回注。此种模式场景中,用户网络设备需要在互联端口入口方向上提前预置好针对匹配目地地址为防护对象的策略路由,将接收到的匹配流量直接转发至下游汇聚节点防止产生路由环路。
旁路引流场景下,流量通过动态路由转发至异常流量清洗系统,一旦设备故障动态路由便会自动收敛,业务流量又重新回到原转发链路,因此不会因为异常流量清洗设备的增加而增加更多的网络故障点。
由于旁路引流场景的服务器上行数据不经过清洗设备,因此异常流量清洗系统无法对服务器全部流量进行全接管,无法进行精确分析,通常不建议使用旁路部署方式进行Web CC、游戏CC、dns宕机保护等应用层防护场景。
该部署方式下,充分利用核心设备与清洗设备之间的互联接口上下行带宽,降低了核心设备的接口占用率,从而降低了对核心设备的接口扩容等成本压力。
异常流量清洗系统旁路静态引流场景组网图
异常流量清洗系统和异常流量检测系统均旁路部署在用户网络核心设备一侧。通过镜像、分光等方式将流量实时发送到异常流量检测系统,当检测到异常流量攻击时,通过动态牵引将流量转发至异常流量清洗系统。
该模式部署简单无须调动现有网络结构;
动态引流:无攻击时业务不经过清洗设备,当业务地址存在攻击时,会由检测设备联动清洗系统动态牵引受攻击业务进入清洗设备。降低清洗系统载核;
动态恢复 :清洗设备故障时,牵引路由会自动收敛,恢复清洗业务路径转发,业务持续运行;
高可靠:清洗系统工作期间无攻击业务按原始路径正常转发,可杜绝因防御策略配置导致无攻击业务受损;
网络端口占用低:旁路单臂部署时,每条链路仅需要1个网络设备端口即可完成部署;
适用于运营商等数据中心出口带宽容量大,对网络可靠性要求高,禁止串行模式部署清洗系统的场景。
异常流量清洗系统旁路检测动态引流场景组网图
(1)主机选购一览表
主机 | 描述 | 备注 |
H3C SecPath AFC2020-G2 | H3C SecPath AFC2020-G2异常流量清洗系统设备,含系统功能授权 | 必配 |
H3C SecPath AFC2040-G2 | H3C SecPath AFC2040-G2异常流量清洗系统设备,含系统功能授权 | |
H3C SecPath AFC2100-G2 | H3C SecPath AFC2100-G2异常流量清洗系统设备,含系统功能授权 | |
H3C SecPath AFC2200-G2 | H3C SecPath AFC2200-G2异常流量清洗系统设备,含系统功能授权 | |
H3C SecPath AFC2400-G2 | H3C SecPath AFC2400-G2异常流量清洗系统设备,含系统功能授权 | |
H3C SecPath AFC2100-D-G2 | H3C SecPath AFC2100-D-G2异常流量检测系统设备,含系统功能授权 |
(2)模块选购一览表
主机 | 描述 | 备注 |
350W交流电源 | H3C SecPath-350W交流电源模块 | 选配: AFC2040-G2、AFC2100-G2、AFC2100-D-G2 |
550W交流电源 | H3C SecPath-550W交流电源模块 | 选配: AFC2200-G2、AFC2400-G2; |
8端口千兆以太网电接口模块 | H3C SecPath IPC 8端口千兆以太网电接口模块(RJ45) | 选配 |
8端口千兆以太网光接口模块 | H3C SecPath IPC 8端口千兆以太网光接口模块(SFP) | |
4端口千兆以太网电接口+4端口千兆以太网光接口模块 | H3C SecPath IPC 4端口千兆以太网电接口(RJ45)+4端口千兆以太网光接口(SFP)模块 | |
8端口千兆以太网电接口模块,含4组bypass | H3C SecPath IPC 8端口千兆以太网电接口模块(RJ45,4 Pair Bypass) | |
4端口千兆以太网电接口+4端口千兆以太网光接口模块,含2组电接口bypass | H3C SecPath IPC 4端口千兆以太网电接口(RJ45,2 Pair Bypass)+4端口千兆以太网光接口(SFP)模块 | |
4端口千兆以太网单模光接口模块,含2组bypass,单模 | H3C SecPath IPC 4端口千兆以太网光接口模块(SFP,2 Pair Bypass,单模) | |
4端口千兆以太网多模光接口模块,含2组bypass,多模 | H3C SecPath IPC 4端口千兆以太网光接口模块(SFP,2 Pair Bypass,多模) | |
4端口万兆以太网光接口模块 | H3C SecPath IPC 4端口万兆以太网光接口模块(SFP+) | |
4端口万兆以太网光接口模块,含2组bypass,多模 | H3C SecPath IPC 4端口万兆以太网光接口模块(SFP+,2 Pair Bypass,多模) |
· “必配”表示所描述项目是设备正常运行的最小配置。
· “选配”表示所描述项目是用户根据实际使用需要可选择配置。