规格 | 标准1U专用千兆硬件平台 |
标配网口数量 | 6*GE电口 |
性能 | 设备清洗能力≥500Mbps |
通道组数量≥1 |
小包防御能力pps@64bytes≥74万/pps |
主机防护数量≥10-30万/个 |
新建连接数≥15万/S |
并发连接数≥500万 |
防护能力 | 规格描述 |
抗攻击功能 | 采用自主知识产权的抗拒绝服务攻击算法,包括流量触发技术、协议分析技术、主机识别技术、连接跟踪技术、端口防护技术等,实现对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断,保护服务主机免于攻击所造成的损失。 |
防护模式要求 | 对于同类DDOS攻击流量,根据部署情况和防护需求能够进行不同防护模式的切换,如对SYN flood攻击的保护,可以灵活选择重传防护机制或100%真实源探测防护机制。需提供设备截图 |
通用报文过滤 | 除了提供专业的DOS/DDOS攻击检测及防护外,还应该提供面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。 |
应用层协议防护 | 支持对应用层协议高级防护(如:FTP,SMTP,POP3,HTTP等),并且能够通过自定义协议类型防护特定应用层协议(如网游、语音、即时通讯相关协议等),系统应具有常用应用层协议(如HTTP、FTP、GAME、DNS等)防护模块 |
特定服务防护 | 抗拒绝服务系统内置的各种服务器插件(如针对游戏、DNS服务器、邮件服务器、web服务器等)并经过分析被保护主机服务特点,配置不同参数进行防护;利用连接跟踪、TCP重传机制、SYN分级保护机制实现对连接型FLOOD的防护;支持协议自定义防护功能;支持插件定制功能。 需提供设备截图。 |
CC类的全连接攻击 | 通过内置插件、协议自定义、黑名单管理及灵活的规则设置,对CC类的各种代理ip型攻击、僵尸网络攻击具备良好的防御效果。 |
流量分析监测 | 通过曲线,图表条,可以实时的看到当前网络的流量,数据包、拦截的数据包、累计流量等信息;除了对设备本身的入口流量进行实施监控外,还需要能够实时显示网络中被保护主机的进出流量,这样可以准确的了解到每个主机当前的网络流量情况,更准确的进行配置调整,实现更好的防护效果。 |
防护算法和功能 | 无防护IP数量限制;
可选择是否使用状态检测方式,进而可提高通讯效率和性能;
为提高防护性能和针对未来DDoS攻击的变形,采用智能识别和指纹识别技术,不需要特征匹配方式,不需要基于特定规则,针对末知攻击无需进行手工进行规则匹配就可进行防护 |
在串联部署中,设备支持网络隐身,业务流量处理和设备管理功能分离。抗DDoS工作端口不设置IP,提高自身安全性。 |
特殊的WEB防护模块,可设置有攻击时自动启用,无攻击时自动取消。 |
自定义功能 | 支持协议定义,可针对不同的服务类型编写协议定义,自行定制防护策略 |
支持域名黑白名单功能 |
可以通过设置忽略国外IP访问 |
需求定制 | 全局防护功能可根据用户需求进行模块化定制和选择。 |
防护特性 | 主机识别:可自动识别其保护的各个主机及其地址。实现某台主机受到攻击不会影响其它主机的正常服务。 |
流量控制 | 主要是针对攻击流量限制:
紧急触发状态: 针对攻击频率较高的攻击防护模式,此模式将更为严格过滤攻击;
简单过滤流量限制 :是针对某些显见的攻击报文做的一种过滤模式,目前可以过滤内容完全相同的报文,及使用真实地址进行攻击的报文;
忽略主机流量限制 :用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃;
伪造源流量限制 :用于限制内网攻击。当某数据包的原 MAC 地址不同于系统记录到的 MAC 地址,该数据包将被认为是伪造源流量,超过设置值的伪造源流量将被丢弃。 |
端口防护 | 建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的DOS/DDOS攻击保护。 |
连接控制 | 根据攻击的流量和连接数阀值来设置触发防护选项,连接数阀值可以根据不同情况来灵活控制。 |
连接跟踪能力 | 每个进出的连接,会根据其源地址进行分类,并显示给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP协议本身的不足,使您的服务器在攻击中游刃有余 |
包过滤 | 数据包规则过滤(可对端口和TCP SYN,FIN,PSH,ACK等标志位过滤)
数据包内容细致过滤(数据包内关键字过滤,支持明文和十六进制) |
提供基于多种对象的访问控制规则,以及根据业务类型制定分组策略 |
可对单个IP与服务器的连接数进行限制,对连接进行严格的时间控制,同时可以清除服务器上的残余连接 |
支持面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。 |
设备监控 | 显示当前活动TCP连接状态 |
全局及单IP流量统计 |
全局及单IP报文统计 |
关键端口流量统计 |
报警事件统计 |
可以详细的看到每一个正常的连接和攻击的连接所有信息,并且可以组合查找排序每个连接,通过这个功能专业人员可以发现已知和未知的异常的攻击 |
除了可以通过管理界面了解设备监控信息,还提供集中监控软件,可以实现多台集中监控,满足大型系统和集群系统的管理需求。 |
设备监控 | 显示当前活动TCP连接状态 |
全局及单IP流量统计 |
全局及单IP报文统计 |
关键端口流量统计 |
报警事件统计 |
可以详细的看到每一个正常的连接和攻击的连接所有信息,并且可以组合查找排序每个连接,通过这个功能专业人员可以发现已知和未知的异常的攻击 |
除了可以通过管理界面了解设备监控信息,还提供集中监控软件,可以实现多台集中监控,满足大型系统和集群系统的管理需求。 |
自动取证 | 支持主机受攻击时,自动捕获数据包的功能,方便网络管理人员监控、取证;
也可依据自行设置的条件启动抓包任务,针对DDoS攻击,获取符合抓包条件的网络数据包,为电子取证提供依据。 |
协议 | 具体描述 |
链路层协议 | 支持802.1Q协议 |
网络层协议 | 支持TCP/IP协议的处理 |
支持3层回注,支持2层回注 |
支持VLAN、GRE、MPLS、MPLS-VPN回注 |
网络管理 | 支持WEB/SSH/CLI/SNMP的终端管理访问 |
支持SNMP网管软件管理 |
支持SYSLOG服务器日志保存 |
路由协议 | BGP |
OSPF |
部署方式 | 支持串联部署 |
支持旁路部署 |
单台设备可支持双链路接入部署模式 |
支持透明/路由接入模式 |
支持集群部署方式,可实现多路并行处理,提高防护的容量,满足大型网络应用需求 |
配置与管理 | 具体描述 |
终端服务 | 支持Console接口终端服务 |
支持SSH终端服务 |
系统管理 | 支持配置文件导入导出 |
支持多用户分权限管理,支持权限颗粒化开关,用户角色自定义 |
不使用License控制功能和性能 |
维护 | 具体描述 |
连接跟踪功能 | 每个进出的连接,设备都会根据其源地址进行分类,并显示给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP协议本身的不足; |
系统诊断和调试功能 | 显示设备物理端口状态(接口流量、连接信息),显示系统CPU、内存信息,显示主机带宽(IN OUT)、频率(YN ACK UDP ICMP FRAG NonIP NewTCP NewUDP)、连接(SIN OUT UDP)信息,显示主机连接状态进可进行简单追踪,显示进出流量和过滤流量-方便分析流量是否正常 |
显示牵引路由表信息、显示牵引IP的历史记录、显示对端路由器IP的可达性、显示bgp状态信息 |
日志和报警 | 具体描述 |
日志管理 | 显示详细日志时间,并记录该时间内设备的状态及操作记录。“全部”记录到的所有日志信息;“关键”记录重启信息,接口UP、DOWN等信息;“保护”记录是否进入防护状态及相关防护信息;“普通”记录网络使用流量、CPU和内存,以及各项操作权限(登录、修改密码、修改保存下载配置等)所进行的操作记录。 |
日志分析 | 支持按主机、按时间、按攻击类型等分析、查询,支持日志分析内容输出下载 |
日志服务 | 支持Syslog日志服务器和专用管理器日志服务 |
支持通过邮件自动发送日志 |
报警 | 支持邮件通知、SNMP Trap、Syslog等报警方式,支持根据报警条件:总流量报警、总连接报警、单墙流量报警、单墙连接报警、主机流量报警、主机连接报警,支持攻击频率报警:SYN频率报警、ACK频率报警、UDP频率报警、ICMP频率报警、Frag频率报警、New-Tcp频率报警、New-UDP频率报警。 |
售后服务 | 具体描述 |
服务时间 | 7*24实时应急响应,24小时有专业工程师值班服务。 |
服务方式 | 电话、网络远程、上门服务等多种方式。 |
