为什么需要中新金盾系列防火墙防护DDoS攻击

金盾防火墙是中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙简称,为什么需要金盾防火墙防护DDoS攻击主要有一下几点原因。

常规技术和产品的不足

传统的DDoS防御主要是采用为各种不同的攻击行为设置网络流量阈值的方式,这种DDoS防御方式有以下几点不足:

配置复杂,自动化不强。传统DDoS防御一般要求用户针对某种流量配置相应的阈值,如果对网络及其流量没有清楚的了解,用户很难做出正确的配置。并且,这种用户指定阈值的防御方式也无法根据网络流量的变化动态的对防御规则进行调整。

防御能力比较单一。目前DDoS攻击的趋势是多层次和全方位的。在一次攻击过程中,会产生针对半连接的SYN Flood、UDP Flood和ICMP Flood,针对连接的TCP Connection Flood,以及针对应用层协议的HTTP Get Flood、HTTP Put Flood等多种攻击。而传统DDoS防御主要针对SYN Flood等单一攻击类型,无法应对这种多层次、全方位的攻击,防御能力比较单一。

无法应对未知的攻击。随着DDoS攻击工具源代码在网上散播,攻击者可以很容易改变DDoS攻击的报文类型,形成DDoS攻击的变体。而传统DDoS防御主要针对已知DDoS攻击,对未知的DDoS攻击变体无法进行防御。

技术防护的不足

  • 安全策略

路由器的一些安全策略,如ACL(访问控制列表)、QoS(服务质量)、黑洞路由等,可以对非法的流量进行过滤和对优先服务提供保证。比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量,一般来说,ACL可以基于协议或源地址进行设置。比如设置只允许TCP端口访问,可以一定程度上防护UDP Flood攻击,但是目前较多的DDoS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的协议进行过滤。同时,如果DDoS攻击采用伪造IP地址方式进行攻击,ACL就无法根据源地址进行防护。路由器还有一些功能,比如黑洞路由方式进行防护攻击,这种方式相当于直接屏蔽掉对被攻击IP的访问,但在目前市场竞争激烈的情况下,这种做法无疑会流失一定的用户量。

  • 资源扩容

对于用户来说,为了防御DDoS攻击,有些客户可能会通过多台冗余设备,或者增加多条链路来提高网络系统防护能力。对于运行商或IDC提供商来说,可能会通过扩大链路带宽的方式来增加防护能力,但这些都只是一种类似“妥协”的手段,无法从根本上去防御DDOS攻击。一方面会造成成本成倍增加,另一方面,如果攻击者同样提高攻击流量,同样会造成这种防御的方法彻底失效,长期下来会导致用户体验下降,用户资源流失。

  • uRPF

uRPF是一种单播反向路由查找技术,用于防止基于源地址欺骗的网络攻击行为。uRPF通过检查数据包中源IP地址,根据接收到数据包的接口和路由表中是否存在源地址路由信息条目,来确定流量是否真实有效,并选择数据包是转发或丢弃。通信网络中,诸如DoS攻击、TCP SYN洪泛攻击、UDP洪泛攻击和ICMP洪泛攻击等,都可能通过借助源地址欺骗的方式攻击目标设备或者主机,造成被攻击者系统性能严重的降低,甚至导致系统崩溃。uRPF技术就是网络设备为了防范此类攻击而使用的一种常用技术。但是uRPF防护的是非本子网发出的伪造源IP地址数据包,如果攻击者攻击采用本子网IP地址作为源IP地址,uRPF无法防御。

产品防护的不足

传统的网络安全产品的种类非常多,但对DDoS攻击防护却表现得非常薄弱。传统的抗拒绝服务产品、入侵检测系统、路由器和交换机等,因其设计之初并未考虑对DDoS的防护,而不能全面的对DDoS攻击进行有效检测和防护。

  • 传统防火墙设备

防火墙产品是我们比较常用的网络安全设备,通过NAT隐藏内部网络结构,设置DMZ区(非军事化区)保护内部网络,三层数据包过滤非法数据。虽然有些防火墙内置了某些模块能够对攻击进行检测,但这些检测机制一般都是基于特征规则,DDoS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDoS攻击的检测必须依赖于行为模式的算法。另一个原因是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDoS攻击中的高流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。而防火墙最主要的功能是提供内网网络访问外网的功能,主要是NAT、VPN服务等。这样防火墙的性能将成为瓶颈,如果防火墙遭到DDoS攻击防火墙性能下降,将导致整个网络陷入瘫痪。

  • IPS/IDS

IPS/IDS作为当前网络攻击防御和检测的有力工具,主要基于特征规则库检测阻断攻击。但是常见的DDoS攻击多以合法的数据包进行流量攻击,这样IPS/IDS就很难通过规则对这些攻击进行检测。

鉴于以上的不足,我们需要选择专业的DDoS防护产品, 中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙即金盾防火墙就是一款专业级的防护产品

中新网安通过十多年的发展以及在抗拒绝服务产品研发、生产和部署中,形成了具有自主知识产权、性能优越、品质优秀的金盾防火墙,可为您的信息系统提供完善的安全保护。一流的核心模块,高效的防护算法使得本系列产品成为抗拒绝服务的防护顶尖品牌。

  1. 防御架构

中新金盾抗拒绝服务系统采用智能的自适应多层次防御架构对DDoS攻击进行检测和防御。该架构采用验证、分析等方法标识出可疑流量,并针对可疑流量做一系列的验证和防御。

1.过滤规则模块

过滤规则包括静态过滤规则和动态过滤规则:静态过滤规则是由用户手动配置的;动态过滤规则是由异常流量识别模块和异常应用识别模块通过流量统计、行为分析等方法发现可疑流量后动态添加的。

过滤规则模块根据过滤规则对流量进行过滤,将已经确定是攻击的流量进行阻断;将可疑的流量交给动态验证模块进行动态验证。

2.动态验证模块

动态验证模块采用各种方法对通过过滤规则模块的流量进行动态验证,阻止源地址欺骗的报文通过。所采用的动态验证方法例如:针对HTTP请求采用HTTP重定向方法;针对DNS请求采用DNS重定向方法。

3.异常流量识别模块

异常流量识别模块对通过过滤规则模块和动态验证模块的流量进行统计,并与已经获得的学习流量基线进行比较。如果超出,则生成动态过滤规则,从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。

学习流量基线是指保护对象在正常业务运行状态下的流量信息模型。如果网络流量超出学习流量基线,则说明网络中可能存在异常,需要对其进行验证和确认。

4.应用异常识别模块

应用异常识别模块针对不同的应用协议,对通过过滤规则模块和动态验证模块的应用层流量(如HTTP Error攻击等)进行深入分析。如果发现有异常流量,则生成动态过滤规则,从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。

5.带宽控制模块

各种流量如果通过了上述模块,表明数据报文是正常的,但仍有可能出现流量过大导致保护对象过载的情况。通过带宽控制模块,可以对要流入保护对象的流量进行带宽限制,保证保护对象不会过载。

  1. 功能一览

中新金盾抗拒绝服务系统产品,功能丰富,界面简洁,便于管理。概括起来有以下主要功能和技术优势:设备均采用主动探测防护模式,防护更加主动、人性、精准,DFI+DPI结合的数据包分析识别技术,更加丰富多样的DDoS攻击防护策略、灵活进行多种防护手段的随意切换,更加详尽的应用层协议及端口保护,对更多的特殊应用的定向保护,更加丰富、人性化的数据包规则过滤,丰富多样的审计报表格式,人性化的设备需求DIY定制,丰富多样的部署方式、支持各种网络环境的部署等。

  • 精确智能的攻击检测及防护

中新金盾抗拒绝服务系统,应用了自主研发的抗拒绝服务攻击算法,拥有智能参数阀值,对SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、DNS Query Flood、Ping Sweep等流量型攻击,HTTP Proxy Flood、HTTP Get Flood、CC Proxy Flood、Connection Exhausted等连接型攻击和Smurf、Land-based、Teardrop、Fragment Flood、Red Code等漏洞型攻击,及其他各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行阻断处理,保障业务系统正常运行。内置各种针对网站、网络游戏、音视频聊天室等专门的Web防护插件及游戏防护插件,彻底解决针对此类应用的DDoS攻击。

  • 简洁丰富的WEB管理

中新金盾抗拒绝服务系统,具有丰富的设备管理功能,基于简洁的Web管理方式,支持本地或远程升级。丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。整个Web界面主要有状态监控、攻击防御、日志分析、系统配置和服务支持五个模块。

  • 专业健全的连接跟踪机制

中新金盾抗拒绝服务系统,内部实现了完整的TCP/IP协议族,具有强大的连接跟踪能力。每个进出的连接,抗拒绝服务产品都会根据其源地址进行分类,并显示出来给用户,方便用户对受保护主机状态的监控。并且提供了连接超时,重置连接等辅助功能,弥补了TCP/IP协议族本身的不足,使您的服务器在面对拒绝服务攻击中游刃有余。

  • 通用方便的报文规则过滤

中新金盾抗拒绝服务系统,除了提供专业的DoS/DDoS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的包括IP地址、端口、TCP标志位、关键字、协议等,极大的提高了通用性及防护力度。系统中还内置了若干预定义规则,易于使用。

  • 便捷快速的抓包取证功能

中新金盾抗拒绝服务系统,内置抓包工具,具有数据包捕获功能,依据自行设置的条件启动抓包任务,针对DoS/DDoS攻击,获取符合抓包条件的网络数据包,为电子取证提供依据。

  • 完善强大的模块防护功能

中新金盾抗拒绝服务系统具有完善的连接跟踪机制,准确的应用层协议过滤。应用层协议高级防护,如对FTP、SMTP、POP3、HTTP等应用服务的保护。数据包规则过滤可对端口和TCP的SYN、FIN、PSH、ACK等标志位过滤。数据包内容细致过滤可对数据包内关键字过滤并支持明文和十六进制格式。金盾抗拒绝服务系统还可以实现数据包捕获功能、单IP流量限制、SNMP管理、支持查询CPU内存利用率和接口流量及系统健康状态等。

  • IPV4/IPV6混合网络功能

针对IPv6越来越多的普及,运用IPv4与IPv6的双栈兼容技术,对网络中巨大的数据量进行深度的分析清洗,提取受保护服务器与众多客户端的通信进行数据统计,发现数据中的攻击特征;运用流量防护模块、WEB防护模块、GAME防护模块、DNS防护模块、语音防护模块等高效的模块化防护技术,对攻击流量进行处理、过滤,再将纯净的流量转发给服务器,从而保护网络的正常使用。同时,提供给用户全面的日志、报表输出功能,为网络管理员在日常的管理和对网络安全的判断提供详细的依据。

  1. 系统防护原理

中新金盾抗拒绝服务系统系列产品是基于嵌入式系统设计的,其在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。自主研发的高效防护算法,效率极高。

中新金盾抗拒绝服务系统主要采用了攻击检测、主机识别、指纹识别、协议分析、攻击过滤、流量控制、端口保护、连接控制、连接跟踪和日志审计来达到拒绝服务攻击的防护。

  • 攻击检测

利用了多种技术手段对DoS/DDoS攻击进行有效的检测,在针对不同的流量触发不同的保护机制,提高效率的同时确保准确度。

  • 主机识别

中新金盾抗拒绝服务系统可自动识别其保护的各个主机及其地址,某些主机受到攻击不会影响其它主机的正常服务。

  • 指纹识别

用来识别整个连接过程,其中包括:源、目的、协议、端口等情况的识别。

  • 协议分析

中新金盾抗拒绝服务系统采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。

  • 攻击过滤

攻击过滤为默认模式,此模式下,运行完整的攻击过滤流程,过滤攻击保证正常流量到达主机。

  • 流量控制

主要是针对一些攻击流量做限制。紧急触发状态,针对攻击频率较高的攻击防护模式,此模式将更为严格过滤攻击。简单过滤流量限制,是针对某些显见的攻击报文做的一种过滤模式,目前可以过滤内容完全相同的报文,及使用真实地址进行攻击的报文。忽略主机流量限制,用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃。伪造源流量限制,用于限制内网攻击。当某数据包的源MAC地址不同于记录到的MAC地址,该数据包将被认为是伪造源流量,超过设置值的伪造源流量将被丢弃。

  • 连接控制

根据攻击的流量和连接数阀值来设置触发防护选项,连接数阀值可以根据不同情况来灵活控制。

  • 连接跟踪

中新金盾抗拒绝服务系统针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP协议的各种攻击。

  • 日志审计

日志记录可全面记录产品系统运行及防护状态,并对不同权限的操作进行记录。