集群DDOS攻击解决方案

1、XX电信网络系统DDOS攻击解决方案安徽中新软件有限公司2007-9-5DDOS概述目前，DDOS攻击越来越频繁，攻击规模越来越大，成为威胁互联网最主要的攻击模式。成功的DDOS攻击所带来的损失是巨大的，攻击之下的门户网站性能急剧下降，无法处理用户访问请求，最终导致系统瘫痪。由此而带来高额的服务赔偿，公司信誉也会因此蒙受损失。DDOS攻击可以简单的分为三类，即流量型攻击、连接型攻击和漏洞型攻击。流量型攻击依靠巨大的带宽压力来达到使目标系统拒绝服务的目的，源地址易于伪造，攻击者难以定位；连接型攻击利用网络中预先“种植”的大量的傀儡机，通过频繁访问目标系统来达到拒绝服务的目的；而漏洞型攻击则利用系

2、统缺陷，发送针对性的攻击报文，使得目标系统瘫痪，最终拒绝服务。普通的网络系统对于这两种攻击完全素手无策，因此对于IDC/ISP来说，建立专用的DDOS攻击防护系统是必要的。关于中新金盾安徽中新软件有限公司创立于2002年，是专业的网络安全产品开发商。公司自成立起便致力于DDOS攻击防护产品的研发。次年，“中新金盾抗DDOS防火墙” 正式推向市场，市场反应强烈。中新软件在国内抗拒绝服务技术产品方面一直处于领先地位，为全国各地的客户提供创新的、客户化的网络安全设备、服务和解决方案，保证客户长期稳定的收益，并以良好的经营业绩和售后服务受到客户推崇，产品覆盖率达到70%。中新软件目前已建立起一个强大的

3、营销与服务网络，并先后在北京、上海、重庆等地建立分公司，使得信息沟通更及时，售后服务更贴心。产品介绍目前流量型攻击愈演愈烈，攻击者频繁的利用海量报文来对IDC/ISP实行打击。中新金盾2000+DDOS防火墙，为本公司针对此种趋势而推出的高性能产品。其采用双线路接入，具有双倍于单路防火墙的带宽上限优势，可有效解决各种DDOS攻击，确保您的投资收益。1、 性能指标中新金盾2000+DDOS防火墙的性能指标，列表如下：64字节128字节256字节及以上最大吞吐量200万PPS190万PPS150万PPS最大处理带宽1.2Gbps1.9Gbps1.99Gbps数据延时<40us最大连接数100

4、万并发连接数10万2、 接口描述网络接口：四个千兆光口/电口，一个心跳口，一个管理口外设接口：一个标准串口管理接口：Console+Web3、 接入步骤中新金盾2000+DDOS防火墙的集群模式接入，如下图所示：基本接入步骤为：1. 在上下层路由器/交换机上，需要将相应端口设为等价路由或链路聚合模式（可为Port Trunking, LACP或PAgP），保证流量平均分配到集群内的各个防火墙上；2. 将上层路由器/交换机的引出线接入防火墙的入口，将下层路由器/交换机的引出线接入防火墙的出口；3. 将防火墙的心跳口接入心跳交换机，将防火墙的管理口连入管理终端。中新金盾解决方案针对XX电信的网络接入环境，我们设计了基于中新金盾的DDOS防御系统，拓扑结构如下图所示：原网络环境为16Gbps接入，因此我们设计在Cisco 7609和Cisco 3750之间接入两组共8台中新金盾2000+防火墙，使得攻击承受能力可以达到16Gbps。防火墙之间数据交换，通过将心跳口连入心跳交换机实现。心跳交换机应独立于其它网络，避免影响主网络通信。防火墙管理通过WEB接口管理结论中新金盾防火墙，基于嵌入式系统设计，专用的防御内核加上高效的防御算法，使得处理效率远远大于其它同类别防火墙。我们的数据