石家庄电信DDOS解决方案.doc

中国电信石家庄分公司防DDOS攻击解决方案安徽中新软件有限公司ANHUI ZXSOFT CO. LTD.版权所有 2002-2010 /webmoney 第 36 页 共 36 页一、公司简介安徽中新软件有限公司（简称“中新软件”）创立于2002年，是集网络安全产品、软硬件开发的高科技公司。公司自2002年已开始针对DDoS攻击的产品研发，次年，“金盾抗DDOS防火墙” 正式推向市场，市场反应强烈。作为安徽省唯一一家自主研发抗拒绝服务产品的单位，中新软件在解决国内抗拒绝服务技术层面一直处于领先地位，为全国各地的客户提供创新的、客户化的网络安全设备、服务和解决方案，持续为客户创造长期价值。截止至2005年12月，中新软件已建立起一个具备强有竞争力的营销与服务网络随着公司业务的不断扩大，中新软件在北京、上海、哈尔滨等各直辖市已有 3 个分公司，产品在全国覆盖率达到 70 %中新软件成功的进入了国内市场，其良好的经营业绩和售后服务得到客户良好口碑传播，并在电信、网通移动机房、中小型企业和个人用户中获得一致好评，同时与合肥市公安局网监支队建立长期稳定合作的的业务关系中新软件真诚地向全国用户提供了 千 台的网络安全产品，并始终以超前的技术、出色的管理和独树一帜的产品引领信息技术的发展，保证了全国范围内所有用户对网络科技的全方位需求，得到用户的欢迎和推崇。中新软件的事业就像一艘破浪的帆船永远向着更高的目标不断奋进，造福社会。 中新软件既是一个充满活力，又是具有发展前景的持续成长性公司。公司各个部门尽职尽能，精益求精，发挥团队合作，致力于达到客户满意的目标。面对未来，中新软件以组织创新为保障、以技术创新为手段、以市场创新为目标，提高企业核心竞争力，努力实现新跨越，确保企业全面协调持续发展。 发展理念 -自强不息、坚韧不拔、勇于创新、讲究实效 把创新作为企业发展的基础，把至善至美、精益求精作为追求目标，立足于过去、迈向未来，追求卓越永远奋进。 管理理念 -文化的熏陶 制度的约束 把企业文化看作管理的最高境界，通过公司企业文化的熏陶来求得员工在价值观、事业观等方面的共识，培养员工敬业爱岗的精神，促进公司与员工的共同进步 服务理念 -客户是永远的上帝，客户的满意是我们永远的追求 一切围绕客户的需求，把服务跟随产品贯穿前后，以客户的满意是我们永远的追求作为工作的准则。 我们的服务定义是： 专心、专注、专业 惟其以唯一性，并与用户做到最充分的融合， 我们才能一起打造出最完美的品牌 我们的服务宗旨-承诺: 客户至上,服务第一 只要您一个电话,剩下的事由金盾来做 我们一直希望告诉您： 除了专业的工作、高效的服务和真诚的沟通外，还有我们火一样的热情和一颗与您一起在网络安全行业舞台上演绎辉煌的心。 二、DDOS概述拒绝服务攻击（DOS/DDOS）是近年来愈演愈烈的一种攻击手段，其主要目的是造成目标主机的TCP/IP协议层拥塞、或者导致应用层异常终止而形成拒绝服务现象。目前，DOS/DDOS攻击方式主要有以下几种： 利用TCP/IP协议的漏洞，消耗目标主机的系统资源，使其过度负载。此种攻击也是目前最普遍存在的一种攻击形式，攻击者动辄发起几十兆甚至上百兆的攻击流量，造成目标的彻底瘫痪。常见的有SYN Flood，UDP Flood，ICMP Flood等等； 利用某些基于TCP/IP协议的软件漏洞，造成应用异常。此种攻击比较单一，通常是针对某个软件的特定版本的攻击，影响范围较小，且具有时限性。但通常此种攻击较难防治，漏洞查找较困难； 不断尝试，频繁连接的野蛮型攻击。此种攻击早期危害有限，但随着代理型攻击的加入，已渐有成为主流之势。常见的有web stress，CC Proxy Flood等。随着网络上各种业务的普遍展开，DOS/DDOS攻击所带来的损失也愈益严重。当前运营商、企业及政府机构的各种用户时刻都面临着攻击的威胁，而可预期的更加强大的攻击工具也会成批出现，此种攻击只会数量更多、破坏力更强大，更加难以防御。正是DOS/DDOS攻击难于防御，危害严重，所以如何有效的应对DOS攻击就成为对网络安全工作者的严峻挑战。传统网络设备或者边界安全设备，诸如防火墙、入侵检测系统，作为整体安全策略中不可缺少的重要模块，都不能有效的提供针对DOS攻击完善的防御能力。因此必须采用专门的机制，对攻击进行检测、防护、进而遏制这类不断增长的、复杂的且极具隐蔽性的攻击形为。三、DDoS的形势及趋势DDoS攻击一般通过Internet上那些“僵尸”系统完成，由于大量个人电脑联入Internet，且防护措施非常少，所以极易被黑客利用，通过植入某些代码，这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时，只需要同时向这些将僵尸机发送某些命令，就可以由这些“僵尸”机器完成攻击。随着Botnet的发展，DDoS造成的攻击流量的规模可以非常惊人，会给应用系统或是网络本身带来非常大的负载消耗。31 攻击影响成功的DDoS攻击所带来的损失是巨大的。DDoS攻击之下的门户网站性能急剧下降，无法正常处理用户的正常访问请求，造成客户访问失败；服务质量协议（SLA）也会受到破坏，带来高额的服务赔偿。同时，公司的信誉也会蒙受损失，而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等，这些损失都是由于DDoS攻击造成的。32 攻击分析那么DDoS攻击究竟如何工作呢？通常而言，网络数据包利用TCP/IP协议在Internet传输，这些数据包本身是无害的，但是如果数据包异常过多，就会造成网络设备或者服务器过载；或者数据包利用了某些协议的缺陷，人为的不完整或畸形，就会造成网络设备或服务器服务正常处理，迅速消耗了系统资源，造成服务拒绝，这就是DDoS攻击的工作原理。DDoS攻击之所以难于防护，其关键之处就在于非法流量和合法流量相互混杂，防护过程中无法有效的检测到DDoS攻击，比如利用基于模式匹配的IDS系统，就很难从合法包中区分出非法包。加之许多DDoS攻击都采用了伪造源地址IP的技术，从而成功的躲避了基于异常模式监控的工具的识别。一般而言，DDoS攻击主要分为以下两种类型：带宽型攻击这类DDoS攻击通过发出海量数据包，造成设备负载过高，最终导致网络带宽或是设备资源耗尽。通常，被攻击的路由器、服务器和防火墙的处理资源都是有限的，攻击负载之下它们就无法处理正常的合法访问，导致服务拒绝。流量型攻击最通常的形式是flooding方式，这种攻击把大量看似合法的TCP、UDP、ICPM包发送至目标主机，甚至，有些攻击还利用源地址伪造技术来绕过检测系统的监控。应用型攻击这类DDoS攻击利用了诸如TCP或是HTTP协议的某些特征，通过持续占用有限的资源，从而达到阻止目标设备无法处理处理正常访问请求的目的，比如HTTP Half Open攻击和HTTP Error攻击就是该类型的攻击。33 受到攻击的现象当服务器主机被DOS/DDOS攻击时，主要有如下现象： 被攻击主机上有大量等待的TCP连接 CPU占用率达到100%，严重时会死机 网络中充斥着大量的无用的数据包，源地址为伪造 高流量无用数据，网络拥塞，受害主机无法正常和外界通讯成功的DOS攻击将造成网络服务商的巨大损失，客户访问失败，服务质量受损。同时，公司的信誉也会受到影响。而这种危害又常常是长期性的，形成恶性循环。 34 DDOS攻击实例分析下面以一次SYN Flood攻击为例，分析DOS攻击的流程。SYN-Flood是目前最流行的DOS/DDOS攻击手段，其利用了TCP/IP协议固有的漏洞，形成大量虚假连接，造成服务器拒绝服务。众所周知，TCP是面向连接的协议类型，其建立连接的过程成为三次握手过程。在第一步握手时，客户端向服务端提出连接请求，此时SYN标志置位；随后服务端在第二步回应该报文，此时SYN-ACK标志置位；在第三步中，客户端发送确认报文，此时ACK标志置位。至此，完整的TCP连接建立完成，数据传输过程开始。假设服务器在发出SYN-ACK应答报文后一段时间内没有收到客户端的ACK报文，则服务器一般会重试若干次，完全失败后才会彻底丢掉这个请求。这段时间称为SYN Timeout，一般来说这个时间是分钟的数量级。如果恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源内存、CPU及网络带宽。最终形成拒绝服务状态或者死机。SYN Flood攻击之所以难于防护，其关键之处就在于非法流量和合法流量相互混杂。且大量数据报均为伪造，无法通过特征库模式匹配来区分。从而可轻易躲避基于异常模式监控的工具的识别。35 DDOS攻击的发展趋势DDoS攻击有两个发展趋势：其一是黑客不断采用更加复杂的欺骗技术，用于躲避各类防护设备检测；其二是DDoS攻击更多地采用了合法协议构造攻击，比如利用某些游戏服务的验证协议等。这些技术的使用造成DDoS攻击更加隐蔽，也更具有破坏性。尤其是那些利用了合法应用协议和服务的DDoS攻击，非常难于识别和防护，而采用传统包过滤或限流量机制的防护设备只能更好的帮助攻击者完成DDoS攻击。四、DDoS防护的必要性和基本要求41 DDOS防护的必要性任何需要通过网络提供服务的业务系统，不论是处于经济原因还是其他方面，都应该对DDoS攻击防护的投资进行考虑。大型企业、政府组织以及服务提供商都需要保护其基础业务系统（包括Web、DNS、Mail、交换机、路由器或是防火墙）免受DDoS攻击的侵害，保证其业务系统运行的连续性。虽然DDoS防护需要增加运营成本，但是从投资回报率上进行分析，可以发现这部分的投资是值得的。企业/政府网络对于企业或政府的网络系统，一般提供内部业务系统或网站的Internet出口，虽然不会涉及大量的Internet用户的访问，但是如果遭到DDoS攻击，仍然会带来巨大的损失。对于企业而言，DDoS攻击意味着业务系统不能正常对外提供服务，势必影响企业正常的生产；政府网络的出口如果遭到攻击，将会带来重大的政治影响，这些损失都是可以通过部署DDoS防护系统进行规避的。电子商务网站电子商务网站是黑客经常实施DDoS攻击的对象，其在DDoS防护方面的投资非常有必要。如果一个电子商务网站遭受了DDoS攻击，则在系统无法提供正常服务的时间内，由此引起的交易量下降、广告损失、品牌损失、网站恢复的代价等等，都应该作为其经济损失计算在内，甚至目前有些黑客还利用DDoS攻击对网站进行敲诈勒索，这些都给网站的正常运营带来极大的影响，而DDoS防护措施就可以在很大程度上减小这些损失；另一方面，这些防护措施又避免了遭受攻击的网站购买额外的带宽或是设备，节省了大量重复投资，为客户带来了更好的投资回报率。电信运营商对于运营商而言，保证其网络可用性是影响ROI的决定因素。如果运营商的基础网络遭受攻击，那么所有承载的业务都会瘫痪，这必然导致服务质量的下降甚至失效。同时，在目前竞争激烈的运营商市场，服务质量的下降意味着客户资源的流失，尤其是那些高ARPU值的大客户，会转投其他的运营商，这对于运营商而言是致命的打击。所以，有效的DDoS防护措施对于保证网络服务质量有着重要意义。另一方面，对运营商或是IDC而言，DDoS防护不仅仅可以避免业务损失，还能够作为一种增值服务提供给最终用户，这给运营商带来了新的利益增长点，也增强了其行业竞争能力。42 DDOS防护的基本要求 DDoS防护一般包含两个方面：其一是针对不断发展的攻击形式，尤其是采用多种欺骗技术的技术，能够有效地进行检测；其二，也是最为重要的，就是如何降低对业务系统或者是网络的影响，从而保证业务系统的连续性和可用性。完善的DDoS攻击防护应该从四个方面考虑：l 能够从背景流量中精确的区分攻击流量；l 降低攻击对服务的影响，而不仅仅是检测；l 能够支持在各类网络入口点进行部署，包括性能和体系架构等方面；l 系统具备很强的扩展性和良好的可靠性；基于以上四点，抗拒绝服务攻击的设备应具有如下特性：l 通过集成的检测和阻断机制对DDoS攻击实时响应；l 采用基于行为模式的异常检测，从背景流量中识别攻击流量；l 提供针对海量DDoS攻击的防护能力；l 提供灵活的部署方式保护现有投资，避免单点故障或者增加额外投资；l 对攻击流量进行智能处理，保证最大程度的可靠性和最低限度的投资；l 降低对网络设备的依赖及对设备配置的修改；l 尽量采用标准协议进行通讯，保证最大程度的互操作性和可靠性；五、DDOS的防护手段虽然目前网络安全产品的种类非常多，但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等，由于涉及之初就没有考虑相应的DDoS防护，所以无法针对复杂的DDoS攻击进行有效的检测和防护。而至于退让策略或是系统调优等方法只能应付小规模DDoS攻击，对大规模DDoS攻击还是无法提供有效的防护。51 手工防护一般而言手工方式防护DDoS主要通过两种形式：系统优化主要通过优化被攻击系统的核心参数，提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护，当黑客提高攻击的流量时，这种防护方法就无计可施了。网络追查遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商，这有可能是ISP、IDC等，目的就是为了弄清楚攻击源头。但是如果DDoS攻击流量的地址是伪造的，那么寻找其攻击源头的过程往往涉及很多运营商以及司法机关。再者，即使已经确定了攻击源头，进而对其流量进行阻断，也会造成相应正常流量的丢失。加之目前Botnet以及新型DrDoS攻击的存在，所以通过网络追查来防护DDoS攻击的方法没有任何实际意义。52 退让策略为了抵抗DDoS 攻击，客户可能会通过购买冗余硬件的方式来提高系统抗DDoS的能力。但是这种退让策略的效果并不好，一方面由于这种方式的性价比过低，另一方面，黑客提高供给流量之后，这种方法往往失效，所以不能从根本意义上防护DDoS攻击。53 路由器通过路由器，我们确实可以实施某些安全措施，比如ACL等，这些措施从某种程度上确实可以过滤掉非法流量。一般来说，ACL可以基于协议或源地址进行设置，但是目前众多的DDoS攻击采用的是常用的一些合法协议，比如http协议，这种情况下，路由器就无法对这样的流量进行过滤。同时，如果DDoS攻击如果采用地址欺骗的技术伪造数据包，那么路由器也无法对这种攻击进行有效防范。另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在网络边界来阻断伪造源地址IP的攻击，但是对于今天的DDoS攻击而言，这种方法也不能奏效，其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址，如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击，这样就完全可以绕过uRPF防护策略。除此之外，如果希望uRPF策略能够真正的发挥作用，还需要在每个潜在攻击源的前端路由器上配置uRPF，但是要实现这种情况，现实中几乎不可能做到。54 防火墙防火墙几乎是最常用的安全产品，但是防火墙设计原理中并没有考虑针对DDoS攻击的防护，在某些情况下，防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。首先是防火墙缺乏DDoS攻击检测的能力。通常，防火墙作为三层包转发设备部署在网络中，一方面在保护内部网络的同时，它也为内部需要提供外部Internet服务的设备提供了通路，如果DDoS攻击采用了这些服务器允许的合法协议对内部系统进行攻击，防火墙对此就无能为力，无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测，但是这些检测机制一般都是基于特征规则，DDoS攻击者只要对攻击数据包稍加变化，防火墙就无法应对，对DDoS攻击的检测必须依赖于行为模式的算法。 第二个原因就是传统防火墙计算能力的限制，传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。而DDoS攻击中的海量流量会造成防火墙性能急剧下降，不能有效地完成包转发的任务。最好防火墙的部署位置也影响了其防护DDoS攻击的能力。传统防火墙一般都是部署在网络入口位置，虽然某种意义上保护了网络内部的所有资源，但是其往往也成为DDoS攻击的目标，攻击者一旦发起DDoS攻击，往往造成网络性能的整体下降，导致用户正常请求被拒绝。55 入侵检测目前IDS系统是最广泛的攻击检测工具，但是在面临DDoS攻击时，IDS系统往往不能满足要求。原因其一在于入侵检测系统虽然能够检测应用层的攻击，但是基本机制都是基于规则，需要对协议会话进行还原，但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量，所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力，但这都需要安全专家手工配置才能真正生效，其实施成本和易用性极低。原因之二就在于IDS系统一般对攻击只进行检测，但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力，这样才能真正意义上减缓DDoS对于网络服务的影响。IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDoS攻击主要以三层或是四层的协议异常为其特点，这就注定了IDS技术不太可能作为DDoS的检测或是防护手段。六、金盾抗拒绝服务系统针对当前的DOS/DDOS攻击现状，安徽中新软件自主研发的抗拒绝服务产品金盾抗拒绝服务系统，具有很强的DOS/DDOS攻击的防护能力。并可在多种网络环境下轻松部署，保证网络的整体性能和可靠性。61 产品功能 DOS/DDOS攻击检测及防护金盾抗拒绝服务系列产品，应用了自主研发的抗拒绝服务攻击算法，对SYN Flood，UDP Flood，ICMP Flood，IGMP Flood，Fragment Flood，HTTP Proxy Flood，CC Proxy Flood，Connection Exhausted等各种常见的攻击行为均可有效识别，并通过集成的机制实时对这些攻击流量进行处理及阻断，保护服务主机免于攻击所造成的损失。内建的WEB保护模式及游戏保护模式，彻底解决针对此两种应用的DOS攻击方式。 通用方便的报文规则过滤金盾抗拒绝服务系列产品，除了提供专业的DOS/DDOS攻击检测及防护外，还提供了面向报文的通用规则匹配功能，可设置的域包括地址、端口、标志位，关键字等，极大的提高了通用性及防护力度。同时，内置了若干预定义规则，涉及局域网防护、漏洞检测等多项功能，易于使用。 专业的连接跟踪机制金盾抗拒绝服务系列产品，内部实现了完整的TCP/IP协议栈，具有强大的连接跟踪能力。每个进出的连接，防火墙都会根据其源地址进行分类，并显示给用户，方便用户对受保护主机状态的监控。同时还提供连接超时，重置连接等辅助功能，弥补了TCP协议本身的不足，使您的服务器在攻击中游刃有余。 简洁丰富的管理金盾抗拒绝服务系列产品具有丰富的设备管理功能，基于简洁的WEB的管理方式，支持本地或远程的升级。同时，丰富的日志和审计功能也极大地增强了设备的可用性，不仅能够针对攻击进行实时监测，还能对攻击的历史日志进行方便的查询和统计分析，便于对攻击事件进行有效的跟踪和追查。 广泛的部署能力针对不同的客户，抗拒绝服务所面临的网络环境也不同，企业网、IDC、ICP或是城域网等多种网络协议并存，给抗拒绝服务系统的部署带来了不同的挑战。金盾抗拒绝服务系统具备了多种环境下的部署能力。6.2 防护原理金盾抗拒绝服务产品基于嵌入式系统设计，在系统核心实现了防御拒绝服务攻击的算法，创造性地将算法实现在协议栈的最底层，避开了IP/TCP/UDP等高层系统网络堆栈的处理，使整个运算代价大大降低。并采用自主研发的高效的防护算法，效率极高。方案的核心技术架构如下图所示：金盾防火墙防护原理图 攻击检测金盾抗拒绝服务系统利用了多种技术手段对DOS/DDOS攻击进行有效的检测，在不同的流量触发不同的保护机制，在提高效率的同时确保准确度； 协议分析金盾抗拒绝服务系统采用了协议独立的处理方法，对于TCP协议报文，通过连接跟踪模块来防护攻击；而对于UDP及ICMP协议报文，主要采用流量控制模块来防护攻击。 主机识别金盾抗拒绝服务系统可自动识别其保护的各个主机及其地址。某些主机受到攻击不会影响其它主机的正常服务。 连接跟踪金盾抗拒绝服务系统针对进出的连接均进行连接跟踪，并在跟踪的同时进行防护，彻底解决针对TCP协议的各种攻击。 端口防护建立在连接跟踪模块上的端口防护体制，针对不同的端口应用，提供不同的防护手段，使得运行在同一服务器上的不同服务，都可以受到完善的DOS/DDOS攻击保护。63 防护类型金盾抗拒绝服务系统可有效防御各类DDoS攻击及其变种，如SYN Flood、UDP Flood、UDP Flood 、ICMP Flood、DNS Query Flood、(M)Stream Flood和HTTP Get Flood、TearDrop、murf、连接耗尽、碎片攻击、Ping of Death、Land、WinNuke、及各种基于代理的攻击，如FatBoy、CC、传奇终结者等。及各种混合拒绝服务攻击 。 64 产品系列经过多年的研发推广，目前金盾抗拒绝服务系统包含软、硬件两个产品线：软件产品：主要有JDFW-SW8000及JDFW-SWU两种，按照连接数划分，提供不同的处理能力，分别为8000及无限连接数；硬件产品：主要有JDFW-300+、JDFW-1000+、JDFW-2000+、JDFW-8000+等产品，分别对应百兆及千兆级接入环境。为了更加适应客户的网络需求，我们金盾提出了具有自己特色的“金盾百M/千M双路防火墙解决方案”以及“金盾防火墙集群解决方案”。其中群集提供最高防范4G超大流量攻击的能力。65部署方式金盾抗拒绝服务系统采用透明模式接入，如一根导线接入网络，对DOS/DDOS攻击进行检测、分析和阻断。部署拓扑图如下所示： 防火墙接入拓朴图七、金盾解决方案71 网络现状分析当前网络拓扑结构如图所示：当前贵单位网络拓扑结构如上图所示， 整个网络处在完全裸露面对INTERNET状态下，针对现在网络上的DDOS攻击没有任何的保护。当今网络出现的DDOS大规模攻击会严重影响到整条线路及下面服务器的正常工作，甚至于整个机房的断网。另外网络上经常出现的CC攻击也是威胁服务器安全的重要因素，CC攻击是利用对交换机下服务器某端口进行的连接攻击，出现的现象是没受攻击之前连接到服务上的连接可以正常访问，但遭受攻击以后造成正常连接无法访问，CC攻击也是威胁网络安全的重要隐患。为了贵公司以后更好的发展，针对贵公司现在的网络情况，我公司提出以下解决方案，希望贵公司能根据本身的实际情况选择合适的网络解决方案。具体方案如下 ：7.2 解决方案改造方案一：拓扑如下图所示：1. 接入步骤：a) 首先在交换机的相应端口设置端口聚合Port Trunking（某些交换机称为链路聚合Link Aggregation），或者直接设置路由器完成线路的聚合。根据防火墙集群数量的不同，在外部交换机和内部交换机上都需要设置2端口聚合或4端口聚合；b) 分别接入防火墙，每个防火墙接入一路数据（入口和出口）。随后将防火墙的两根心跳线接入内部交换机（千兆型集群必须采用千兆型交换机，并且推荐该交换机独立于其它网络）；c) 将配置端口接入内部交换机，开启防火墙，进入配置页面，设置集群参数并启动集群模式，完成安装。2. 基本参数JDFW-1000+集群型防火墙基本参数如下：硬件设备：JDFW-1000+集群型硬件防火墙4台接入环境：四条千兆接入线路管理方式：WEB，SSH，UART性能参数：每台防火墙均可以在64字节报文下达到0.8Gbps的处理能力128字节报文下达到0.9Gbps的处理能力256-1514字节报文下达到0.99Gbps的处理能力JDFW 1000+ 产品详细规格参数窗体顶部外型2U机架式级别千兆级网络接口两个LCLC多模光纤接口(进出口)，二个千M电口(管理口)，集群接口可选攻击防御量千兆光纤环境下4G，支持集群环境部署，可防御超过16G以上攻击并发连接数100万延迟38um说明适合千兆光纤环境（单模环境可选）适合中型企业, 骨干网络及大型IDC特性防止连接耗尽/即插即用，网络隐身，透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/支持集群防护/端口设置/规则设置等防御种类SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/Fragments Flood/Fatboy/DNS QUERY FLOOD/CC防护/以及各种漏洞型拒决服务攻击等电源交流电源输入220V，4763MHZ，510W工作温度-20C-60MTBF120000小时市场报价合作价格我们在交换机之间，以透明网桥模式把金盾防火墙JDFW-1000+ 4G集群接入现有网络,上下两层交换机需要做端口聚合(静态聚合或动态聚合)，对于我们原有网络结构不进行任何调整. 4G集群是4台千兆级的防火墙对4G线路进行联合防御, 实际防护能力达到3.5G以上的流量攻击,这样部署不会出现因单点故障导致整调线路瘫痪,大大提高了我们机房的安全.针对来自INTERNET访问对所有服务器的数据进行监测、过滤和防护。这样我们就弥补了所有服务器完全未对攻击进行防范的空洞可以满足当前实际的网络访问流量的需求。在配置规则得当的情况下基本上可以对网络上常见的攻击进行很好的防御。改造方案二：拓扑如下图所示1.接入步骤：金盾集群型防火墙接入图如下所示其主要接入步骤如下：a) 首先在交换机的相应端口设置端口聚合Port Trunking（某些交换机称为链路聚合Link Aggregation），或者直接设置路由器完成线路的聚合。根据防火墙集群数量的不同，在外部交换机和内部交换机上都需要设置2端口聚合或4端口聚合；b) 分别接入防火墙，每个防火墙接入一路数据（入口和出口）。随后将防火墙的两根心跳线接入内部交换机（千兆型集群必须采用千兆型交换机，并且推荐该交换机独立于其它网络）；c) 将配置端口接入内部交换机，开启防火墙，进入配置页面，设置集群参数并启动集群模式，完成安装。1. 基本参数JDFW-2000+型防火墙基本参数如下：硬件设备：JDFW-2000+型硬件防火墙二台接入环境：双千兆线路管理方式：WEB，SSH，UART性能参数：64字节报文下可达1.2Gbps的处理能力 128字节报文下可达1.6Gbps的处理能力 256-1514字节报文下可达1.9Gbps的处理能力JDFW 2000+ 产品详细规格参数（电信级）窗体顶部外型2U机架式级别双千兆级网络接口四个LCLC多模光纤接口(进出口)，二个千M电口(管理口)，集群接口可选攻击防御量千兆光纤环境下2-4G，支持集群环境部署并发连接数100万延迟38um说明适合多路接入环境特性防止连接耗尽/即插即用，网络隐身，透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/支持集群防护端口设置/规则设置等防御种类SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/Fragments Flood/Fatboy/DNS QUERY FLOOD/CC防护/以及各种漏洞型拒决服务攻击等电源交流电源输入220V，4763MHZ，510W，工作温度-20C-60MTBF1000000小时市场报价合作价格改造方案三：拓扑如下图所示2. 接入步骤：金盾JDFW-8000+防火墙接入图如下所示：金盾JDFW-2000+防火墙接入图其主要接入步骤如下：a) 首先在交换机的相应端口设置端口聚合Port Trunking（某些交换机称为链路聚合Link Aggregation），或者直接设置路由器完成线路的聚合。外部交换机和内部交换机都需要设置；b) 接入防火墙，第一路数据通道和第二路数据通道的进口接入外部交换机上设置聚合的两个端口，出口则接入内部交换机设置聚合的两个端口；c) 将配置端口接入内部交换机，开启防火墙，完成安装。2 金盾8000+产品简介金盾防火墙JDFW-8000+系列采用了X86+NP架构，具有冗余电源，BYPASS，稳定性能更卓越。金盾防火墙JDFW-8000+集群产品，主要是针对电信与网通运营商而设计，工作模式下实现了自动错误转移功能可有效的避免了由于单台故障而影响集群工作，同时硬件本身具备了光转实现了设备在停止使用的状态下也不会中断网络，充分利用现有的带宽实现更强的防御效果。基本参数: JDFW-8000+ 集群型防火墙基本参数如下：硬件设备：JDFW-8000+ 集群型硬件防火墙 1台接入环境：四条千兆接入线路管理方式：WEB ， SSH ， UART性能参数：每台防火墙均可以在64字节报文下达到 0.9Gbps 的处理能力128字节报文下达到 0.96Gbps 的处理能力256-1514字节报文下达到 0.99Gbps 的处理能力JDFW 8000+(4G) 产品详细规格参数（电信级）窗体顶部外型2U机架式级别双千兆级网络接口四个LCLC多模光纤接口(进出口)，二个千M电口(管理口)，集群接口可选攻击防御量千兆光纤环境下2-4G，支持集群环境部署支持集群环境部署，可防御超过32G以上攻击并发连接数300万延迟38um说明适合多路接入环境(X86+NP架构)主要是针对电信与网通运营商而设计特性防止连接耗尽/即插即用，网络隐身，透明接入/分级管理模式/支持多网段防护/跨路由模式,跨网段模式/跨VLAN等模式的防护/支持集群防护端口设置/规则设置等支持BYPASS功能(需订制软硬件功能,包括系统崩溃，硬件故障，意外断电等情况下也不会中断网络）防御种类SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/Fragments Flood/Fatboy/DNS QUERY FLOOD/CC防护/以及各种漏洞型拒决服务攻击等电源交流电源输入220V，4763MHZ，510W，冗余电源可选工作温度-20C-60MTBF1400000小时市场报价合作价格八、成功案例81 案例分析一：金盾防火墙应用于苏州网通机房：82 案例分析二： 金盾防火墙应用