防护DDoS解决方案
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击日益严重地威胁着全球企业。这些攻击能够躲避当前多数安全工具的检测,进而快速瓦解目标企业,使企业遭受数千甚至高达数百万美元的收入和生产效率的损失。DDoS 攻击是破坏面极广的杀伤性武器,与传统的穿越安全外围设备盗取信息的接入攻击不同,DDoS 攻击可通过伪造的流量淹没服务器、网络链路和网络设备(路由器和防火墙等),造成整个互联网系统的瘫痪。
需求分析
目前IP网络遭受的DDOS攻击,主要是基于TCP Flooding、ICMP Flooding和UDP Flooding以及碎片为主的特大流量攻击。之前,流量相对较少的攻击主要影响用户主机和网络,而目前的特大流量攻击已经影响到了IP网络的骨干层,主要表现为设备板卡转发异常、交换机脱网以及网络中继拥塞等。其次,在受攻击的用户类型中,城域网内的大客户(网吧、商业用户、企业用户等)受攻击的情况比较严重。因此网络面临以下的DDoS安全威胁:
攻击流量由小向大的演进,已经直接威胁到IDC,大客户的出口带宽拥塞;
攻击类型由原有的协议层向应用层转变,短时间内即可造成被攻击服务器无法提供正常的连接和服务;
僵尸网络的不断发展,造成范围越来越广,传播层次越来越深,难于防护和追查;
网吧和中小企业用户没有专业的安全管理人员,DDoS攻击发生时,束手无策;
根据对网络的DDoS攻击风险分析,我们发现想要对DDoS攻击进行有效的防护,实现真正的安全网络需要网络具备以下方面的能力:
专用的DDoS防护设备;
层次化的网络设备,企业出口+大型运营级网络设备。
对于攻防技术持续的专业投入和及时更新样本库
易于管理,易于和其他产品的联动融合
方案概述
华为公司防护DDoS解决方案主要是针对网络异常流量的检测和控制,其中的异常流量包括网络上危害最大的DDoS攻击,蠕虫病毒,占用带宽的P2P业务,非法VoIP等。解决方案主要包括三个组建,即监测中心,清洗中心,安全管理中心。方案可灵活部署在网络出口及用户接入结点,例如城域网出口,POP结点,IDC中心,大客户出口等。华为防护DDoS解决方案是全流量DPI深层异常流量清洗的方案,因此可实现应用层攻击防范(例如UDP、DNS和Http等),可实现P2P,VoIP的业务控制,同时还可提供非法私接防范及用户行为分析。
工作原理
清洗中心采用分光的方式连接在城域网的出口,清洗中心采用物理接口直接旁挂在城域网出口核心路由器的旁边。监控分析中心采用分光的方式连接到城域网的出口,监控所有的流量。当发现有DDoS攻击发生的时候,通知安全管理中心。安全管理中心记录攻击发生的时间、流量等相关内容,通知控制清洗中心对攻击流量进行引流。正常情况下,任何流量是不经过清洗中心。当清洗中心收到管理中心的通知的时候,启动自动牵引策略。异常流量改变流向,先从城域网出口骨干路由器上清洗中心,将大量的攻击流量清除之后再流入到城域网中。
方案特点
丰富的部署模式,可依据客户需求灵活裁剪及扩展
华为DDoS清洗解决方案支持四种模式,即Netflow+E8000、SIG+E8000、独立E8000、USG9000系列,根据网络的层次和业务的需求可灵活的裁剪和扩展,可部署在省网、城域网出口、POP结点、IDC中心和大客户接入结点等,丰富的部署模式使得方案灵活的适配运营商的实际网络和业务需求。
高性能及可扩展分布式架构的运营级设备
USG9000系列产品采用先进的分布式硬件体系结构,各业务单板之间负载均衡,通过配置不同数量的业务单板,为用户提供最高20Gbps吞吐量可扩展安全防护方案。
深度的攻击检测和强大的攻击防护能力
USG9010、USG9020最大可抵御6G/20G的DDoS攻击,即使在万兆线速的攻击下仍然能够有效鉴别攻击流量和正常流量,对异常的攻击流量进行清洗、有效保证用户正常业务流量的传输。USG9000系列产品支持丰富灵活的攻击防范技术,包括攻击指纹识别、攻击库自学习、ICA(智能连接算法)等技术,可有效防范SYN FLOOD、UDP FLOOD、CC攻击、ICMP FLOOD等各种攻击。
丰富的网络接口支持能力
USG9000系列产品支持多种接口卡,包括155M、622M、2.5G、10G的POS接口板,以及FE、GE、10G等以太网接口板,整机可提供2个10GE接口、16个GE接口或128个FE接口,可灵活适应大接口容量或高接口密度等不同的应用场景需求,满足大型企业、运营商城域网、数据中心网络等多种复杂的组网环境。
全网集中的攻击日志管理系统
以城域网为单位部署一个集中的日志管理系统,由部署在接入点的防御设备统一监控城域网的流量状况,对攻击目的地址、攻击流量、攻击源地址等信息统一实时出报表,可以清晰的反映出整个城域网DDoS等多种攻击的状态。
Secoway USG9000提供业界最高的防火墙/VPN性能,在确保用户对高可靠性和高性能要求的同时,以较低的投资成本就能满足金融大型数据中心、大型WEB网站、政府和大型企业纵向网络等高端应用的安全防护要求。
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击日益严重地威胁着全球企业。这些攻击能够躲避当前多数安全工具的检测,进而快速瓦解目标企业,使企业遭受数千甚至高达数百万美元的收入和生产效率的损失。DDoS 攻击是破坏面极广的杀伤性武器,与传统的穿越安全外围设备盗取信息的接入攻击不同,DDoS 攻击可通过伪造的流量淹没服务器、网络链路和网络设备(路由器和防火墙等),造成整个互联网系统的瘫痪。
需求分析
目前IP网络遭受的DDOS攻击,主要是基于TCP Flooding、ICMP Flooding和UDP Flooding以及碎片为主的特大流量攻击。之前,流量相对较少的攻击主要影响用户主机和网络,而目前的特大流量攻击已经影响到了IP网络的骨干层,主要表现为设备板卡转发异常、交换机脱网以及网络中继拥塞等。其次,在受攻击的用户类型中,城域网内的大客户(网吧、商业用户、企业用户等)受攻击的情况比较严重。因此网络面临以下的DDoS安全威胁:
攻击流量由小向大的演进,已经直接威胁到IDC,大客户的出口带宽拥塞;
攻击类型由原有的协议层向应用层转变,短时间内即可造成被攻击服务器无法提供正常的连接和服务;
僵尸网络的不断发展,造成范围越来越广,传播层次越来越深,难于防护和追查;
网吧和中小企业用户没有专业的安全管理人员,DDoS攻击发生时,束手无策;
根据对网络的DDoS攻击风险分析,我们发现想要对DDoS攻击进行有效的防护,实现真正的安全网络需要网络具备以下方面的能力:
专用的DDoS防护设备;
层次化的网络设备,企业出口+大型运营级网络设备。
对于攻防技术持续的专业投入和及时更新样本库
易于管理,易于和其他产品的联动融合
方案概述
华为公司防护DDoS解决方案主要是针对网络异常流量的检测和控制,其中的异常流量包括网络上危害最大的DDoS攻击,蠕虫病毒,占用带宽的P2P业务,非法VoIP等。解决方案主要包括三个组建,即监测中心,清洗中心,安全管理中心。方案可灵活部署在网络出口及用户接入结点,例如城域网出口,POP结点,IDC中心,大客户出口等。华为防护DDoS解决方案是全流量DPI深层异常流量清洗的方案,因此可实现应用层攻击防范(例如UDP、DNS和Http等),可实现P2P,VoIP的业务控制,同时还可提供非法私接防范及用户行为分析。
工作原理
清洗中心采用分光的方式连接在城域网的出口,清洗中心采用物理接口直接旁挂在城域网出口核心路由器的旁边。监控分析中心采用分光的方式连接到城域网的出口,监控所有的流量。当发现有DDoS攻击发生的时候,通知安全管理中心。安全管理中心记录攻击发生的时间、流量等相关内容,通知控制清洗中心对攻击流量进行引流。正常情况下,任何流量是不经过清洗中心。当清洗中心收到管理中心的通知的时候,启动自动牵引策略。异常流量改变流向,先从城域网出口骨干路由器上清洗中心,将大量的攻击流量清除之后再流入到城域网中。
方案特点
丰富的部署模式,可依据客户需求灵活裁剪及扩展
华为DDoS清洗解决方案支持四种模式,即Netflow+E8000、SIG+E8000、独立E8000、USG9000系列,根据网络的层次和业务的需求可灵活的裁剪和扩展,可部署在省网、城域网出口、POP结点、IDC中心和大客户接入结点等,丰富的部署模式使得方案灵活的适配运营商的实际网络和业务需求。
高性能及可扩展分布式架构的运营级设备
USG9000系列产品采用先进的分布式硬件体系结构,各业务单板之间负载均衡,通过配置不同数量的业务单板,为用户提供最高20Gbps吞吐量可扩展安全防护方案。
深度的攻击检测和强大的攻击防护能力
USG9010、USG9020最大可抵御6G/20G的DDoS攻击,即使在万兆线速的攻击下仍然能够有效鉴别攻击流量和正常流量,对异常的攻击流量进行清洗、有效保证用户正常业务流量的传输。USG9000系列产品支持丰富灵活的攻击防范技术,包括攻击指纹识别、攻击库自学习、ICA(智能连接算法)等技术,可有效防范SYN FLOOD、UDP FLOOD、CC攻击、ICMP FLOOD等各种攻击。
丰富的网络接口支持能力
USG9000系列产品支持多种接口卡,包括155M、622M、2.5G、10G的POS接口板,以及FE、GE、10G等以太网接口板,整机可提供2个10GE接口、16个GE接口或128个FE接口,可灵活适应大接口容量或高接口密度等不同的应用场景需求,满足大型企业、运营商城域网、数据中心网络等多种复杂的组网环境。
全网集中的攻击日志管理系统
以城域网为单位部署一个集中的日志管理系统,由部署在接入点的防御设备统一监控城域网的流量状况,对攻击目的地址、攻击流量、攻击源地址等信息统一实时出报表,可以清晰的反映出整个城域网DDoS等多种攻击的状态。
Secoway USG9000提供业界最高的防火墙/VPN性能,在确保用户对高可靠性和高性能要求的同时,以较低的投资成本就能满足金融大型数据中心、大型WEB网站、政府和大型企业纵向网络等高端应用的安全防护要求。
机房配备电信级DDOS硬件防火墙
千兆直连,6类线直连交换设备
所有机房双光纤冗余备份
BGP高可用冗余带宽
24*7*365 NOC不间断监控
24*7*365机房实地应急响应
支持电话、在线多种方式
整柜租用客户送摄像监控系统
公司公告
热卖信息
