Система защиты от атак DDoS серии AntiDDoS1000 <<<<<<< Linkbar star>>>>>>> Брошюра Поддержка Программное обеспечение Дополнительные материалы <<<<<<< Linkbar end>>>>>>> tabRegion_start <<<<<<<tab title starting>>>>>> Обзор оборудования Возможности оборудования Спецификации Применение Информация для заказа <<<<<<<tab title ending>>>>>>> <<<<<<< 产品特点_start>>>>>>> Общая информация По мере развития информационных и сетевых технологий совершенствуется и мастерство хакеров, которые применяют самые разнообразные способы для того, чтобы атаки DDoS (Distributed Denial of Service/Распределенный отказ в обслуживании) становились эффективными. В настоящее время создана целая подпольная индустрия, наносящая огромный ущерб своими действиями. Серьезные атаки DDoS Одна атака DDoS занимает полосу пропускания более 100 Гбит/с. С 2007 года число атак DDoS возросло в 20 раз, более 30 млн. зомби-узлов наводняют сеть. Средства организации атаки становятся легкодоступными. Большое количество ботнетов проделывают бреши для DDoS атак. Атака осуществляется всего лишь в три этапа, а именно, загружается программа для атаки, покупаются зомби-узлы и инициируется атака. Эволюция атаки DDoS от генерирования трафика до распространения зловредных приложений Раньше в сетях операторов преобладали флуд-атаки. Сейчас же DDoS-атаки направлены на приложения и услуги, например, на приложения портала предприятия, интернет-магазины, онлайн-видео, онлайн-игры, DNS и почту. Цели атак становятся более разнообразными. Отдельная атака создает меньше трафика и обходится дешевле. Алгоритмы атак становятся более сложными, поэтому современные атаки практически незаметны для рядового пользователя. Следовательно, обнаружение и защита от атак DDoS значительно усложняются. Негативное влияние прерывания услуг на работу предприятия Часто атаки DDoS затрагивают сервисные системы предприятий и приводят к серьезным нарушениям в их функционировании. С одной стороны, прерывание услуг отрицательно сказывается на имидже предприятия, отталкивает потенциальных клиентов и снижает доходы. Особенно это касается небольших интернет-компаний, работающих в области электронной коммерции, онлайн-игр и порталов. С другой стороны, создание и обслуживание системы защиты от атак DDoS требует от предприятия больших инвестиций и ухудшает функционирование обычных услуг. Потери клиентов IDC из-за атак DDoS Если сервисная система подвергается атаке DDoS, то трафик атаки занимает всю полосу пропускания IDC, вызывая отказ в обслуживании остальных пользователей. В результате пользователи IDC уходят, конкурентоспособность снижается, эксплуатационные расходы растут. Такое влияние серьезно ухудшает работу оператора и снижает прибыль. Обзор решения Решение Anti-DDoS компании Huawei, предназначенное для операторов, предприятий, центров обработки данных и провайдеров услуг ICP (включая провайдеров для веб-порталов, онлайн-игр, онлайн-видео и услуг DNS), объединяет богатый опыт Huawei в области сетевой безопасности и полное понимание потребностей заказчиков. Данное решение предоставляет надежную защиту от атак на уровне приложений, атак IPv4-IPv6, атак зомби-узлов, троянов и червей. Оно гарантирует полную безопасность сети и бесперебойное обслуживание. Используемые устройства <<<<<<<table starting>>>>>>> Таблица Внешний вид Описание Устройство для очистки данных AntiDDoS1520 (комбинированный интерфейс 4*1GE + 4*1GE; 2 слота расширения; производительность 2 Гбит/с) Устройство для очистки данных AntiDDoS1550 (комбинированный интерфейс 4*1GE + 4*1GE; 2 слота расширения; производительность 5 Гбит/с) Устройство обнаружения AntiDDoS1500-D (комбинированный интерфейс 4*1GE + 4*1GE; 2 слота расширения; производительность 5 Гбит/с) Таблица <<<<<<<table ending>>>>>>> <<<<<<<产品特点_end>>>>>>> <<<<<<<产品规格_star>>>>>>> Политика защиты на базе услуг Решение anti-DDoS Huawei поддерживает постоянное периодическое изучение и анализ сервисного трафика в контролируемой зоне, отрисовывает форму нормального трафика и запускает дифференцированные типы защиты и политики защиты в зависимости от вида услуг или для одной услуги в различные промежутки времени, реализуя тем самым четкую защиту. Аккуратная очистка аномального трафика В решении anti-DDoS Huawei применяется технология анализа каждого пакета. При обнаружении атаки защита включается немедленно. Для надежной защиты от разного рода флуд-атак, атак веб-приложений, атак DNS, атак SSL DoS/DDoS и атак уязвимости стека протоколов в данном решении предусмотрены такие функции, как семиуровневая фильтрация, анализ поведения и мониторинг сеансов. Благодаря этим функциям обеспечивается защита серверов приложений. Интеллектуальное кэширование трафика DNS Помимо защиты сервера DNS от разных атак, решение anti-DDoS Huawei поддерживает кэш-память DNS для улучшения производительности в условиях интенсивного трафика. Защита от зомби/троянов/червей С помощью троянов и червей, установленных на большое количество узлов, хакеры осуществляют иерархическое управление захваченными узлами и формируют ботнет для начала атаки. Ботнеты запускают атаки DDoS. Решение anti-DDoS Huawei способно идентифицировать и блокировать более 200 видов, самых распространенных в мире, зомби/троянов/червей, тем самым обеспечивая защиту от атак ботнетов. . Идеальная защита IPv4-IPv6 В феврале 2011 года организация IANA заявила о том, что все ресурсы IPv4-адресов были исчерпаны. Предприятиям больше не будут выдаваться "старые" IPv4-адреса, поэтому им необходимо переводить сетевое оборудование в новый формат протокола IPv6. В решении anti-DDoS Huawei используется технология IPv4-IPv6, которая позволяет обеспечить одновременную защиту от атак DDoS для двух протоколов: IPv4 и IPv6. Решение обеспечивает надежную защиту двойного стека от атак DDoS и плавный переход пользователей к сети следующего поколения. Гибкая организация сети Решение защиты от атак DDoS должно быть настраиваемым для удовлетворения требований различных условий функционирования сетей и различных уровней обслуживания. Исходя из этого, решение anti-DDoS Huawei поддерживает несколько операционных и автономных режимов развертывания, которые позволят клиентам выбрать наиболее подходящий для их услуг и сетей. Развертывание в операционном режиме: последовательное подключение модулей обнаружения и очистки трафика к сети обеспечивает непрерывность процесса обнаружения и очистки. Использование высокопроизводительной и многоядерной аппаратной платформы не только гарантирует точность обнаружения и очистки, но также минимизирует задержку обработки. Более того, решение anti-DDoS Huawei имеет модуль транзитной передачи. При появлении отклонения от нормы трафик передается в модуль очистки, что позволяет избежать новых сбоев. Развертывание в автономном режиме с изменением маршрута прохождения трафика: модуль очистки подключается к сети в автономном режиме. После обнаружения трафика атаки DDoS центры обнаружения и очистки начинают выполнять операции, предусмотренные политиками, которые были сконфигурированы в центре управления. Особенности Эффективность и скорость: производительность защиты 5 Гбит/с и отклик в течение нескольких секунд Высокопроизводительные многоядерные процессоры, а также операционная система, предназначенная для защиты от атак DDoS, обеспечивающие производительность 5 Гбит/с. Способность адаптации модели обслуживания и технология анализа каждого пакета. Автоматическое включение политики защиты после обнаружения аномального трафика или пакета. Задержка защиты в пределах двух секунд. Точность и комплексность: защита от сотен различных атак и защита IPv6 Лидирующая в отрасли семиуровневая технология фильтрации, обеспечивающая защиту от более 100 атак DDoS. Защита от более 200 разновидностей зомби, троянов и червей, обеспечивающая безопасность пользователей от хакеров. IPv4/IPv6 для поддержки защиты IPv6 от атак. Технология идентификации терминалов для точного определения незаконного доступа и обеспечения полного отсутствия ложноположительных срабатываний. Удобство использования: простое управление и различные виды отчетов Простоту управления обеспечивает структура управления, ориентированная на пользователя/услуги, с поддержкой автоматической адаптации модели трафика услуг и генерирования политик. Различные виды отчетов, отображающие статус атаки с точки зрения трафика услуги, статистики атак и анализа тенденций атак, предоставляют возможность визуального контроля услуг и угроз безопасности. Автоматическое извлечение характерных признаков атаки, обеспечивающее эффективную защиту в экстренных ситуациях и от атак нулевого дня. <<<<<<<产品规格_end>>>>>>> <<<<<<< 产品特点_start>>>>>>> <<<<<<<table starting>>>>>>> Таблица Серия AntiDDoS1000 Модель AntiDDoS1520 AntiDDoS1550 AntiDDoS1500-D 3 млн. пакетов/с 3 млн. пакетов/с 3 млн. пакетов/с 2 Гбит/с 5 Гбит/с 5 Гбит/с (обнаружение) ≤2с ≤2с ≤2с Быстродействие защиты от флуд-атак Быстродействие обнаружения/ очистки Задержка срабатывания защиты Фиксированные 4 × GE (RJ45)+4 × GE (комбинированный) интерфейсы Слоты расширения 2 × FIC Интерфейсные 2 × 10GE (SFP+), 2 × 10GE (SFP+)+8 × GE (RJ45), 8 × 1GE (SFP), 8 × 1GE платы расширения (RJ45) Платы транзитной 4 × 1 GE (RJ45), многомодовый оптический интерфейс с каналами LC/UPC, передачи одномодовый оптический интерфейс с каналами LC/UPC Габаритные 43.6 × 442 × 560 размеры (В × Ш × Г) Максимальная 150 Вт потребляемая мощность Виды защиты IPv4 Фильтрация Черный список, фильтрация на базе HTTP и фильтрация на базе нагрузки аномального TCP/UDP/Другой протокол трафика Защита уязвимостей Защита от таких атак, как IP-спуфинг, LAND, Fraggle, Smurf, WinNuke, Ping of протокола Death, Tear Drop и IP Option, проверка достоверности метки TCP, атака пакетами управления IP-фрагментами, большими пакетами управления ICMP, переадресуемыми пакетами управления ICMP и недостижимыми пакетами ICMP. Защита от атак на Защита от таких флуд-атак, как SYN, ACK, SYN-ACK, FIN/RST, фрагментами уровне передачи TCP, UDP, фрагментами UDP и ICMP Защита от Защита от атак сканирования портов и адресов, пакетами управления Tracert, сканирования и IP Option, IP timestamp и записи маршрутов IP анализа трафика Защита DNS Защита от флуд-атак запросами DNS с фиктивных источников, запросами DNS с реальных источников, ответами DNS, заражением кэша DNS, направленных на уязвимости протокола DNS и от ботнета с доменами fast-flux Защита от веб-атак Защита от атак многочисленными запросами HTTP get/post, атак CC, атак HTTP slow header/post, флуд-атак HTTPS, атак SSL DoS/DDoS, атак на TCP-соединения, атак Sockstress, атак TCP-ретрансляции и нулевого соединения TCP Защита от атак VoIP Защита от флуд-атак SIP Защита от Защита от более 200 разновидностей зомби, троянов и червей, включая LOIC, зомби/троянов/черв HOIC, Slowloris, Pyloris, HttpDosTool, Slowhttptest и Thc-ssl-dos ей Виды защиты IPv6 Виды защиты IPv6 Защита от атак фрагментами ICMP, черный список, фильтрация на базе HTTP, фильтрация на базе нагрузки TCP/UDP/Другой протокол, защита от таких флуд-атак, как SYN, ACK, SYN-ACK, FIN/RST, фрагментами TCP, UDP, фрагментами UDP, ICMP, запросами DNS с фиктивных источников, запросами DNS с реальных источников, ответами DNS, заражением кэша DNS, атак, направленных на уязвимости протокола DNS, атак от ботнета с доменами fast-flux, атак многочисленными запросами HTTP get/post, атак CC, атак HTTP slow header/post, флуд-атак HTTPS, атак SSL DoS/DDoS, атак на TCP-соединения, атак Sockstress, атак TCP-ретрансляции, атак нулевого соединения TCP и флуд-атаки SIP Защита от атак на Поддерживается двойной стек IPv4/IPv6 Таблица <<<<<<<table ending>>>>>>> <<<<<<<产品特点_end>>>>>>> <<<<<<<Datasheet_star>>>>>>> Сценарии защиты центра обработки данных Решение Anti-DDoS HUAWEI, развернутое на выходе корпоративной сети, предоставляет следующие функции: 1. Обеспечивает защиту от атак, направленных на DNS-сервер, включая атаки на уязвимости стека протоколов DNS, атаки посредством отражения DNS-запросов, флуд-атаки DNS и атаки неудачного обращения к кэш-памяти DNS, и поддерживает кэш DNS для повышения производительности DNS-сервера в условиях интенсивного трафика. 2. Обеспечивает защиту от атак, направленных на веб-серверы, включая SYN-флуд, HTTP-флуд, CC и низкоскоростные соединения. 3. Обеспечивает защиту от атак, направленных на онлайн-игры, включая, UDP-флуд, SYN-флуд и атаки на TCP. 4. Обеспечивает защиту от атак SSL DoS/DDoS на серверах HTTPS. <<<<<<<table starting>>>>>>> Таблица Таблица <<<<<<<table ending>>>>>>> <<<<<<< Datasheet _end>>>>>>> <<<<<<<Datasheet_star>>>>>>> <<<<<<<table starting>>>>>>> Таблица Базовые конфигурации AntiDDoS1500-D Хост AntiDDoS1500 D-SUBZ31UAH-AMS1500-D AC с AntiDDoS1500D-AC программным обеспечением HS General Security Platform На выбор Хост AntiDDoS1500 D-SUBZ31UDH-AMS1500-D DC с AntiDDoS1500D-DC программным обеспечением HS General Security Platform Базовые конфигурации AntiDDoS1520 Хост AntiDDoS1520-SUBZ11UAH-AMS1520 AC с AntiDDoS1520-AC программным обеспечением HS General Security Platform На выбор Хост AntiDDoS1520-SUBZ11UDH-AMS1520 DC с AntiDDoS1520-DC программным обеспечением HS General Security Platform Базовые конфигурации AntiDDoS1550 Хост AntiDDoS1550-SUBZ21UAH-AMS1550 AC с AntiDDoS1550-AC программным обеспечением HS General Security Platform На выбор Хост AntiDDoS1550-SUBZ21UDH-AMS1550 DC с AntiDDoS1550-DC программным обеспечением HS General Security Platform Интерфейсные модули серии AntiDDoS Плата с 2 оптическими интерфейсами 10GE и плата с 8 FIC-2SFP+&8GE электрическими интерфейсами GE, с программным По заказу обеспечением HS General Security Platform Плата с 8 электрическими интерфейсами GE, с FIC-8GE программным обеспечением HS General Security Platform Плата FIC с 2 оптическими интерфейсами 10GE, с FIC-2SFP+ По заказу По заказу программным обеспечением HS General Security Platform Плата FIC с 8 оптическими интерфейсами GE, с FIC-8SFP По заказу программным обеспечением HS General Security Platform FIC-8SFP Плата FIC с 8 оптическими интерфейсами GE, с По заказу программным обеспечением HS General Security Platform Защитная плата многомодовых оптических интерфейсов FIC-2LINE-M-BYPASS с 2 каналами LC/UPC для транзитной передачи, с По заказу программным обеспечением HS General Security Platform Защитная плата одномодовых оптических интерфейсов с FIC-2LINE-S-BYPASS 2 каналами LC/UPC для транзитной передачи, с По заказу программным обеспечением HS General Security Platform Компоненты Anti-DDoS Платформа Windows Chinese (ПК-сервер AC, жесткий ADSCT001WIN01 диск, сервер Microsoft Windows и патчи на китайском По заказу языке), включая лицензию на ОС Платформа Windows Chinese (ПК-сервер DC, жесткий ADSCT001WIN03 диск, сервер Microsoft Windows и патчи на китайском По заказу языке), включая лицензию на ОС NS19MKM00 Клавиатура и мышь, монитор 19 дюймов TFT LCD По заказу Центр управления Anti-DDoS Основные функции ATIC, с программным обеспечением На выбор LIC-ADS-NOFA00 HS General Security Platform Таблица <<<<<<<table ending>>>>>>> <<<<<<< Datasheet _end>>>>>>> <<<<<<<tabRegion_end>>>>>>>