天鹰抗DDoS防火墙(技术白皮书最新最新版)

1、天鹰抗 DDoS 防火墙 技术白皮书用天鹰，我放心 http:/北京天鹰网安科技有限公司天鹰抗 DDoS 防火墙技术白皮书Apollo北京天鹰网安科技有限公司天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司ii注意：本安装和使用说明中的内容是天鹰抗DDoS防火墙的安装和使用说明。本材料的相关权利归北京天鹰网安科技有限公司所有。安装和使用说明中的任何部分未经北京天鹰网安科技有限公司许可，不得转印、影印或复印。 2010 北京天鹰网安科技有限公司保留所有权力天鹰抗DDoS防火墙本资料将定期更新，如欲获取最新相关信息，请访问北京天鹰网安科技有限公司网站：

2、http:/ ，您的意见和建议请发送至：北京天鹰网安科技有限公司Skeagle Network Security Ltd.天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司iii目目 录录1 1 概述概述.5 51.11.1 DDoSDDoS 的形势及趋势的形势及趋势 .6 61.1.1 攻击影响 .61.1.2攻击分析.61.1.3发展趋势.71.21.2 DDoSDDoS 防护手段防护手段 .7 71.1.4普通防护措施.71.1.5网络安全设备.81.31.3 DDoSDDoS 防护的基本要求防护的基本要求 .9 92 2 天鹰抗天鹰抗 DDD

3、DO OS S 防火墙防火墙.10102.12.1 产品介绍产品介绍 .10102.22.2 功能功能 .12122.2.1 防御已知的各种攻击手段 .122.2.2 快速应对新的攻击手段 .142.2.3 精细流量监控，及早发现攻击 .142.2.4 灵活端口控制，安全和效率并举 .142.2.5 防端口扫描，自动屏蔽黑客 IP.152.2.6 黑白名单功能，敌友一清二楚 .152.2.7 丰富的日志，强大审计分析能力 .152.2.8 自带 ARP 防火墙，一石两鸟 .162.32.3 特点特点 .16162.3.1 傻瓜式安装，零配置使用.162.3.2 自动升级，与时俱进 .162.3

4、.3 量身定做，贴心服务 .162.42.4 核心原理核心原理 .17172.4.1 天鹰抗 DDoS 防火墙的核心架构.172.52.5 部署方式部署方式 .18182.5.1 串行部署方式 .182.5.2 旁路部署方式 .182.5.3 集群部署方式 .192.62.6 产品的优势产品的优势 .2020天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司iv3 3 运行环境和技术指标运行环境和技术指标.21213.13.1 运行环境运行环境 .21213.23.2 技术指标技术指标 .21214 4 总结总结.21215 5 联系我们联系我们.2

5、222天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司5【英文名解释】：ApolloApollo：阿波罗太阳神【希腊神话】 。太阳一出，邪恶尽散。1 1 概述概述随着互联网快速的发展和微软等操作系统频繁出现的重大安全漏洞事件发生，从国外到国内；从政府到企业；从运营商到个人服务器等等，频繁出现被DDoS 攻击和被黑客入侵的新闻。一谈到互联网经营，大家马上就会想到怎样保护服务器的安全不受 DDoS 攻击和黑客入侵、篡改等。据初步估计近两年来被DDoS 攻击和被入侵的损失，全球多达 50 亿美金，光是中国就损失 72 亿元人民币，这是一个十分庞大的数字。

6、根据全球互联网检测报告，常见的拒绝服务攻击（DoS/DDoS）手段主要有以下三种形式：（1） 利用 TCP/IP 协议的漏洞，消耗目标主机的系统资源，使其过度负载。常见的有 SYN Flood，UDP Flood，ICMP Flood、CC 等等；（2） 利用某些基于 TCP/IP 协议的软件漏洞，造成应用异常。（3） 不断尝试，频繁连接的野蛮型攻击行为。常见的有 web stress，CC Proxy Flood 等。目前一些常见的防火墙设备、入侵检测设备、路由器等网络设备，对于DoS/DDoS 攻击、SQL 注入等普遍束手无策。且由于设计的缺陷，在面临大量攻击的情况下，这些设备反倒很容易最

7、先瘫痪。至于退让策略或是系统优化等方法只能应付小规模 DoS 攻击，对大规模 DoS 击还是无法提供有效的防护。 本文内容将包含如下部分：（1（DDoS 的形势及趋势；（2（DDoS 防护手段；（3（DDoS 防护的基本要求；天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司61.11.1 DDoSDDoS 的形势及趋势的形势及趋势.1 攻击影响攻击影响成功的 DDoS 攻击所带来的损失是巨大的。DDoS 攻击之下的门户网站性能急剧下降，无法正常处理用户的正常访问请求，造成客户访问失败；服务质量协议（SLA）也会受到破坏，带来高额的服

8、务赔偿。同时，公司的信誉也会蒙受损失，而这种危害又常常是长期性的。利润下降、生产效率降低、IT 开支增高以及相应问题诉诸法律而带来的费用增加等等，这些损失都是由于 DDoS 攻击造成的。.2 攻击分析攻击分析那么 DDoS 攻击究竟如何工作呢？通常而言，网络数据包利用 TCP/IP 协议在 Internet 传输，这些数据包本身是无害的，但是如果数据包异常过多，就会造成网络设备或者服务器过载；或者数据包利用了某些协议的缺陷，人为的不完整或畸形，就会造成网络设备或服务器服务正常处理，迅速消耗了系统资源，造成服务拒绝，这就是 DDoS 攻击的工作原理。DDoS 攻击之所以难于防护，

9、其关键之处就在于非法流量和合法流量相互混杂，防护过程中无法有效的检测到DDoS 攻击，比如利用基于特征库模式匹配的 IDS 系统，就很难从合法包中区分出非法包。加之许多 DDoS 攻击都采用了伪造源地址 IP 的技术，从而成功的躲避了基于异常模式监控的工具的识别。一般而言，DDoS 攻击主要分为以下两种类型： 带宽型攻击这类 DDoS 攻击通过发出海量数据包，造成设备负载过高，最终导致网络带宽或是设备资源耗尽。通常，被攻击的路由器、服务器和防火墙的处理资源都是有限的，攻击负载之下它们就无法处理正常的合法访问，导致服务拒绝。应用型攻击这类 DDoS 攻击利用了诸如 TCP 或是 HTTP 协议的

10、某些特征，通过持续占用有限的资源，从而达到阻止目标设备无法处理处理正常访问请求天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司7的目的，比如 HTTP Half Open 攻击和 HTTP Error 攻击就是该类型的攻击。.3 发展趋势发展趋势目前 DOS/DDoS 攻击也在迅速发展，攻击者不断采用更加复杂的欺骗伪造技术，用于躲避各类防护设备检测。并倾向于模拟合法用户，使攻击流量同正常流量更加契合，难以区分。而采用传统包过滤或限流量机制的防护设备只能更好的帮助攻击者完成 DOS 攻击。1.21.2 DDoSDDoS 防护手段防护手

11、段常见的防火墙、入侵检测设备、路由器等网络设备，对于 DOS/DDoS 攻击普遍束手无策。且由于设计的缺陷，在面临大量攻击的情况下，这些设备反倒很容易最先瘫痪。至于退让策略或是系统优化等方法只能应付小规模 DOS 攻击，对大规模 DOS 击还是无法提供有效的防护。 .4 普通防护措施普通防护措施在缺少专用设备的情况下，防护 DOS/DDoS 的措施主要有以下几种：(1) 系统优化：通过设置并优化操作系统参数，提高系统本身对 DOS 攻击的抵御能力。比如 Windows 操作系统内部集成了简单的 DOS 响应策略，而 Linux 自带的 SYN Cookie 也是一种较好的防护手

12、段。这些策略对小规模的 DOS 攻击具有较好的防护效果，然而，当攻击量增大就无计可施了。(2) 退让策略：为了抵抗 DDoS 攻击，客户可能会通过购买冗余硬件的方式来提高系统抗DDoS 的能力。但是这种退让策略的效果并不好，一方面由于这种方式的性价比过低，另一方面，黑客提高攻击流量之后，这种方法往往失效，所以不能从根本意义上防护 DDoS 攻击。天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司8（3）溯源追查：找到攻击源头，并从源头处解决攻击，是最好的办法。然而，当前攻击普遍采用的伪造源地址，及大量傀儡机的存在，使这种方法不可行。（4）路由器设置：

13、通过路由器，我们确实可以实施某些安全措施，比如 ACL 等，这些措施从某种程度上确实可以过滤掉非法流量。一般来说，ACL 可以基于协议或源地址进行设置，但是目前众多的 DDoS 攻击采用的是常用的一些合法协议，比如http 协议，这种情况下，路由器就无法对这样的流量进行过滤。同时，如果DDoS 攻击如果采用地址欺骗的技术伪造数据包，那么路由器也无法对这种攻击进行有效防范。另一种基于路由器的防护策略是采用 Unicast Reverse Path Forwarding (uRPF)在网络边界来阻断伪造源地址 IP 的攻击，但是对于今天的 DDoS 攻击而言，这种方法也不能奏效，其根本原因就在于

14、uRPF 的基本原理是路由器通过判断出口流量的源地址，如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的 IP 地址进行 DDoS 攻击，这样就完全可以绕过 uRPF 防护策略。除此之外，如果希望 uRPF 策略能够真正的发挥作用，还需要在每个潜在攻击源的前端路由器上配置 uRPF，但是要实现这种情况，现实中几乎不可能做到。.5 网络安全设备网络安全设备网络上大量存在的安全设备，是否可以承担 DOS/DDoS 的防护重任？（1）防火墙：防火墙几乎是最常用的安全产品，但是防火墙设计原理中并没有考虑针对DDoS 攻击的防护，在某些情况下，防火墙甚至成为 DDoS 攻击

15、的目标而导致整个网络的拒绝服务。首先是防火墙缺乏 DDoS 攻击检测的能力。通常，防火墙作为三层包转发设备部署在网络中，一方面在保护内部网络的同时，它也为内部需要提供外部Internet 服务的设备提供了通路，如果 DDoS 攻击采用了这些服务器允许的合天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司9法协议对内部系统进行攻击，防火墙对此就无能为力，无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测，但是这些检测机制一般都是基于特征规则，DDoS 攻击者只要对攻击数据包稍加变化，防火墙就无法应对，对 DDoS 攻击

16、的检测必须依赖于行为模式的算法。第二个原因就是传统防火墙计算能力的限制，传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。而 DDoS 攻击中的海量流量会造成防火墙性能急剧下降，不能有效地完成包转发的任务。（2）入侵检测：目前 IDS 系统是最广泛的攻击检测工具，但是在面临 DDoS 攻击时，IDS 系统往往不能满足要求。原因其一在于入侵检测系统虽然能够检测应用层的攻击，但是基本机制都是基于规则，需要对协议会话进行还原，但是目前 DDoS 攻击大部分都是采用基于合法数据包的攻击流量，所以 IDS 系统很难对这些攻击有效检测。虽然某些IDS 系统本身也具备某些协议异常检测的能力

17、，但这都需要安全专家手工配置才能真正生效，其实施成本和易用性极低。原因之二就在于 IDS 系统一般对攻击只进行检测，但是无法提供阻断的功能。IDS 系统需要的是特定攻击流检测之后实时的阻断能力，这样才能真正意义上减缓 DDoS 对于网络服务的影响。IDS 系统设计之初就是作为一种基于特征的应用层攻击检测设备。而 DDoS攻击主要以三层或是四层的协议异常为其特点，这就注定了 IDS 技术不太可能作为 DDoS 的检测或是防护手段。1.31.3 DDoSDDoS 防护的基本要求防护的基本要求DDoS 防护一般包含两个方面：其一是针对不断发展的攻击形式，尤其是采用多种欺骗技术的技术，能够有效地进行检

18、测；其二，也是最为重要的，就是如何降低对业务系统或者是网络的影响，从而保证业务系统的连续性和可用性。天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司10完善的 DDoS 攻击防护应该从几个方面考虑： （1（针对不断发展的攻击形式，尤其是采用多种欺骗技术的技术，能够有效地进行检测，并完成相应防护；（2（降低对受保护系统及受保护网络的影响，保证系统的连续可用。（3（因此，一个完善的 DOS/DDoS 防护解决方案，应该具有以下特性：（4（采用基于行为模式的异常检测，从正常流量中精确的区分攻击流量；（5（通过集成的检测和阻断机制对 DOS 攻击实时响应，

19、完成基本 DOS 防护功能需求；（6（支持各类网络接入模式，并具有较高的吞吐量，避免单点故障；2 2 天鹰抗天鹰抗 DDoSDDoS 防火墙防火墙2.12.1 产品介绍产品介绍面对目前互联网在 DDoS 防护方面愈演愈烈，天鹰抗 DDoS 防火墙是专门针对目前日益泛滥的拒绝服务攻击 DDoS 攻击研发的具有创新思想和专有技术的新型网络安全防护软件。天鹰抗 DDoS 防火墙是天鹰家族系列产品的组成之一。天鹰抗 DDoS 防火墙采用了系统底层核心技术，能够完全控制所有流入流出的网络数据包。通过专有、高效的攻击判断算法能够准确辨别真实 IP 和虚伪 IP 地址；并且，在不影响正常使用的前提下，通过辨

20、识各种攻击的特征以及状态检测，进而能够进一步辨识各种基于真实 IP 的进攻手段，例如，基于 Proxy 的 CC 攻击，空连接、多连接以及僵尸攻击等。此外，天鹰抗 DDoS 防火墙还有一个独一无二的网络数据包实时采集、分析功能，能够记录攻击者的攻击数据包，分析其特征，进而迅速找出其防御方法。而且，天鹰抗 DDoS 防火墙还具有自动升级功能，一旦软件升级，防火墙能够自发现，并实现自动升级。天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司11同时，由于采用了系统底层核心驱动技术，运行级别高，并且使用了专有、高效的攻击判断算法，运行效率极高，能够将服务器

21、硬件的性能发挥到极致：达到相当于网卡线速的防御效果（参见 2.2 技术指标， ） ；而且，由于采用了专利算法，系统资源占用很少，一般情况下，额外资源占用不超过 10%。天鹰抗 DDoS 防火墙典型应用环境如图所示：图 1 天鹰抗 DDoS 防火墙的典型应用除了优异的防御性能，天鹰抗 DDoS 防火墙也有良好的易用性。天鹰抗DDoS 防火墙支持透明桥接模式，也就是说，天鹰抗 DDoS 防火墙方便地串接到网络的任何位置（一般放置于主交换机之前或路由器之前） ，而无需对原有网络连接和配置做任何改动；其二，天鹰抗 DDoS 防火墙支持多集群模式，首先，单台天鹰抗 DDoS 防火墙支持多网卡集群防御，增

22、强单台防御攻击能力，其次，多台天鹰抗 DDoS 防火墙支持可任意扩展的多台集群，增强整体防御能力；其三，天鹰防火墙缺省配置基本就能够满足绝大多数网络情况，无需管理员额外再做专门规则配置，真正实现即插即用（既，接上就能正常工作） ，极大方便管理员对防火墙的配置管理，而且，支持批量配置，即使做定制化配置，也能方便地天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司ii批量配置管理。天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司132.22.2 功能功能天鹰抗 DDoS 防火墙有许多独有的、典型的特色功能：2

23、. 防御已知的各种攻击手段防御已知的各种攻击手段天鹰抗 DDoS 防火墙能够防御目前已知的各种攻击手段，包括：DoS、DDoS、DrDoS、CC、CCProxy，ARP，Http_GET、ACK、DB、阿拉丁 UDP、僵尸攻击等。天鹰抗 DDoS 防火墙针对目前流行的 DDoS 攻击提供了不同的解决方案（1）SYN 变种攻击发送伪造源 IP 的 SYN 数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器 CPU 内存的同时还会堵塞带宽。（2）TCP 混乱数据包攻击发送伪造源 IP 的 TCP 数据包，TCP 头的 TCP Flags 部分是

24、混乱的可能是syn ,ack ,syn+ack ,syn+rst 等等，会造成一些防火墙处理错误锁死，消耗服务器 CPU 内存的同时还会堵塞带宽。（3）针对用 UDP 协议的攻击很多聊天室，视频音频软件，都是通过 UDP 数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截。 (4) 针对 WEB Server 的多连接攻击通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个

25、连接过来的IP 连接数来防护，但是这样会造成正天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司14常用户稍微多打开几次网站也会被封 。 (5) 针对 WEB Server 的变种攻击通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的 GET 访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的 IP 连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。 (6) 针对 WEB Server 的变种攻击通过控制大量肉鸡同时连接网站端口，但是不发送GET 请求而是乱七八糟的字符，大部分防火

26、墙分析攻击数据包前三个字节是GET 字符然后来进行 http 协议的分析，这种攻击，不发送 GET 请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET 字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问。 (7) 针对游戏服务器的攻击因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口 7000,人物选择端口 7100，以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的

27、非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家。 天鹰抗 DDoS 防火墙针对不同种类的网络攻击都具备了不同的解决办法，使得服务器更安全。提供了更友好的服务。此外，天鹰抗 DDoS 防火墙采用了系统底层核心技术，程序运行于系统核心层，运行级别极高；并且，采用了专有、高效的 DDoS 特征数据包分析算法，运行极快，防御攻击的效果极佳。天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限

28、公司.2 快速应对新的攻击手段快速应对新的攻击手段天鹰抗 DDoS 防火墙具有遇攻击自动抓包和手动抓包功能，能够及时获取攻击数据包，分析其特征，找出相应的应对策略。.3 精细流量监控，及早发现攻击精细流量监控，及早发现攻击天鹰抗 DDoS 防火墙同时提供图形化和数字化的网络流量监控功能，而且，对网络流量进行了合理分类和细分。能够让用户形象、准确地监控网络流量，并且能够辅助判断攻击类型。例如，如果接收到异常大量的 TCP Syn 数据包，则可以判定是 Syn Flood 攻击；以此类推，如果是大量异常的 ARP 数据包，则可以判定是 ARP 攻击。2.2.42

29、.2.4 灵活端口控制，安全和效率并举灵活端口控制，安全和效率并举操作系统启动时，除了必须对外提供的服务端口，例如：80（Web） ，21（FTP） ，往往还会开放一些非必要的端口（例如，UDP 138，TCP 445 等） ，这些端口有的还是系统端口，往往还不能、也太容易关闭） ，而这些非必要的端口往往会存在可以被黑客利用的漏洞，存在严重的安全隐患。天鹰抗 DDoS 防火墙中可以从网络底层严格限制服务器对外开放的端口，能够完全、绝对关闭非必要的端口，杜绝可能存在的安全隐患，同时也不会影响操作系统的正常运行。同时，对于一些特殊应用端口，例如，防火墙远程连接端口 TCP-8888 端口，可以设置

30、为无防御模式，既，不进行 DDoS 防御，提升该端口的网络响应速度；同时，由于防火墙自带防端口扫描功能，有效防御黑客探测端口，不用担心由此带来安全隐患。此外，天鹰抗 DDoS 防火墙还独有端口密码功能，能够做到在对外开放一个允许端口的情况下，动态开放、关闭所有端口，方便管理员不定期的管理需求。具体参见 4.5.1 更改服务器远程端口密码。天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司.5 防端口扫描，自动屏蔽黑客防端口扫描，自动屏蔽黑客 IPIP 黑客攻击的第一个步骤一般都是端口扫描，天鹰抗 DDoS 防火墙具有防端口扫描功能

31、：一旦发现某个 IP 试图对受保护主机进行端口扫描，则会自动屏蔽该IP 地址，将黑客攻击扼杀在最开始的阶段。.6 黑白名单功能，敌友一清二楚黑白名单功能，敌友一清二楚通过黑白名单，用户可以人为设定需要完全阻断或免验证通过的 IP 地址，IP 地址可以是单个 IP 地址或是网段 IP 地址，网段 IP 地址支持两种网段形式：起止网段：从某个开始地址到某个结束地址的网段，例如，-00，表示从 0.1-0.100 这个网段。类型网段：某个类型的整网段，例如，-，表示整个 192.168.0.X

32、 网段。同时，支持黑白名单文件功能，可以设置无数量限制的黑白名单。.7 丰富的日志，强大审计分析能力丰富的日志，强大审计分析能力天鹰抗 DDoS 防火墙提供丰富的日志信息，用户可根据需要进行日志查看，独创的网络实时监测信息，可详细审计命令级操作，便于入侵行为的分析和追踪。大大提高防火墙的审计分析的有效性。天鹰抗 DDoS 防火墙提供对于流经防火墙的数据流的字节数的统计功能，根据用户定义的统计规则分段采样数据并进行保留，用户可以随时通过生成的直观的统计图了解防火墙的各个时段的工作负荷和数据类型。 CPU 负载与流量实时监视天鹰抗 DDoS 防火墙通过界面可以让用户以图形的方式实时

33、的了解防火墙的CPU 负载与通过防火墙的流量变化与峰值情况。天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司.8 自带自带 ARPARP 防火墙，一石两鸟防火墙，一石两鸟天鹰抗 DDoS 防火墙自带 ARP 防火墙功能，在防御各种 DDoS 攻击的同时，也能够有效防御各种 ARP 攻击。用户无需额外再安装其他 ARP 防火墙，真真正正做到一旦拥有，别人所求。2.32.3 特点特点.1 傻瓜式安装，零配置使用傻瓜式安装，零配置使用天鹰抗 DDoS 防火墙安装支持傻瓜式安装，安装非常简单，基本是一路回车式安装；升级、

34、卸载也非常容易。天鹰抗 DDoS 防火墙安装完毕缺省就具备所有防御功能，用户无法任何配置就能保护自己的服务器。真正做到“零配置使用” 。同时，所有配置都可以调整，用户可以根据自己的实际网络和应用情况进行适度调整。此外，天鹰抗 DDoS 防火墙有专用的图形配置界面，而且支持远程连接管理（远程连接管理和本地管理完全一样） ，所有设置都有友好提示和容错功能，非常容易上手，方便用户的设置和管理。.2 自动升级，与时俱进自动升级，与时俱进天鹰抗 DDoS 防火墙能够支持自动升级。而且，一旦发布新版本就会有提示信息，提示用户及时升级。真真正正做到与时俱进，及时响应。.3 量

35、身定做，贴心服务量身定做，贴心服务一旦成为天鹰的正版注册用户，就可以享受天鹰专业技术支持人员提供的一年 724 小时的贴心服务：根据用户的网络情况，量身定做最佳解决方案、专业参数设置将防火墙性能发挥至极致，并随时帮助用户应对各种新的攻击手段，为用户的网络安全保驾护航。天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司182.42.4 核心原理核心原理天鹰抗 DDoS 防火墙基于嵌入式系统设计，在系统核心实现了防御攻击的算法，创造性地将算法实现在协议栈的最底层，避免了 TCP/UDP/IP 等高层系统网络堆栈的处理，使整个运算代价大大降低，并结合特有硬

36、件加速运算，因此系统效率极高。.1 天鹰抗天鹰抗 DDoSDDoS 防火墙的核心架构防火墙的核心架构（1）反欺骗天鹰抗 DDoS 防火墙技术将会对数据包源地址和端口的正确性进行验证，同时还对流量在统计和分析的基础上提供针对性的反向探测。（2）协议栈行为模式分析 根据协议包类型判断其是否符合 RFC 规定，若发现异常，则立即启动统计分析机制；随后针对不同的协议，采用天鹰专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行。（3）特定应用防护 天鹰抗 DDoS 防火墙还会根据某些特殊协议类型，诸如 DNS、HTTP、VOIP SIP 等，启用分析模式算法机制，进一步对不

37、同协议类型的 DDoS 攻击进行防护。（4）用户行为模式分析 网络上的真实业务流量往往含有大量的背景噪声，这体现了网络流量的随机性；而攻击者或攻击程序，为了提高攻击的效率，往往采用较为固定的负载进行攻击。天鹰抗 DDoS 防火墙对用户的行为模式进行统计、跟踪和分析，分辨出真实业务浏览，并对攻击流量进行带宽限制和信誉惩罚。（5）带宽控制天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司19对经过系统净化的流量进行整形输出，减轻对下游网络系统的压力。2.52.5 部署方式部署方式无论中小企业，还是数据中心，或是运营商网络，天鹰网安提供不同环境下的抗 DD

38、oS 攻击系统。.1 串行部署方式串行部署方式针对少量服务器或出口带宽较小的网络，天鹰抗 DDoS 防火墙提供串行部署方式，通过 Collapsar-D 设备“串联”在网络入口端，对 DDoS 攻击进行检测、分析和阻断。天鹰抗 DDoS 防火墙串行部署方式如图所示：图 2 天鹰抗 DDoS 防火墙串行部署方式.2 旁路部署方式旁路部署方式针对 IDC、ICP 或关键业务系统，天鹰抗 DDoS 防火墙提供了旁路部署的方式。通常，Collapsar-P 设备部署在网络任意位置，Collapsar-D 设备“旁路”部署在网络入口下端。Collapsar-P 设备主要对

39、网络入口的流量提供监控功能，及时检测 DDoS 攻击的类型和来源。当发现 DDoS 攻击发生时，Collapsar-P 设备会及时通知 Collapsar-D 设备，随后由 Collapsar-D 设备启动流量牵引机制，从路由器或交换机处分流可疑流量至 Collapsar-D 设备，在完成 DDoS 攻击的过天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司20滤后，Collapsar-D 再将“干净”的流量注入网络中。天鹰抗 DDoS 防火墙旁路部署方式如图所示：图 3 天鹰抗 DDoS 防火墙的旁路部署方式.3 集群部署方式集群部

40、署方式针对中、大型IDC，当发生海量DDoS攻击时，天鹰抗DDoS防火墙还能够提供集群部署的方式。集群部署方式分为串联集群部署和旁路集群部署两种形式。(1)在串联集群部署方式中，将多台Defender设备透明接入网络，利用交换机的负载均衡（Port Channel等） ，将攻击流量分担到多台Defender设备上进行净化，保证整个网络的正常运行。(2)在旁路集群部署中，若干台Collapsar-D设备并联在网络中，在某台Collapsar-D设备接收到Collapsar-P设备的攻击告警后，会启动流量牵引机制，天鹰抗 DDoS 防火墙 技术白皮书天鹰，创新成就安心 http:/ 北京天鹰网安科技有限公司21将可疑流量均衡分配到若干台Collapsar-D上进行流量过滤。天鹰抗 DDoS 防火墙集群部署方式如图所示：图 4 天鹰抗 DDoS 防火墙的集群部署方式2.62.6 产品的优势产品的优势操作系统