中新金盾抗拒绝服务系统(以下简称金盾防火墙)基于嵌入式系统设计,系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了 IP/TCP/UDP 等高层系统网络堆栈的处理,使整个运算代价大大降低。并采用自主研发的高效防护算法,效率极高。方案的核心技术架构如图所示:

1) 攻击检测
金盾防火墙利用了多种技术手段对 DOS/DDOS 攻击进行有效的检测,在针对不同的流量触发不同的保护机制,提高效率的同时确保准确度;
2) 协议分析
金盾防火墙采用了协议独立的处理方法,对于 TCP 协议报文,通过连接跟踪模块来防护攻击;而对于 UDP 及 ICMP 协议报文,主要采用流量控制模块来防护攻击。
3) 主机识别
支持连接跟踪能力,对所有进出的连接,根据其源地址进行分类显示,同时支持连接超时,重置连接等功能;支持建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,可提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到不同的保护。
4) 连接跟踪
金盾防火墙针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对 TCP 协议的各种攻击。攻击的流量和连接数阀值来设置自动触发防护选项,并且连接数阀值可根据不同情况灵活控制。
5) 端口防护
金盾防火墙建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的 CC/DDOS 攻击保护。