Система защиты от атак DDoS серии AntiDDoS1000

Система защиты от атак DDoS серии AntiDDoS1000
<<<<<<< Linkbar star>>>>>>>
Брошюра
Поддержка
Программное обеспечение
Дополнительные материалы
<<<<<<< Linkbar end>>>>>>>
tabRegion_start
<<<<<<<tab title starting>>>>>>
Обзор оборудования
Возможности оборудования
Спецификации
Применение
Информация для заказа
<<<<<<<tab title ending>>>>>>>
<<<<<<< 产品特点_start>>>>>>>
Общая информация
По мере развития информационных и сетевых технологий совершенствуется и мастерство хакеров,
которые применяют самые разнообразные способы для того, чтобы атаки DDoS (Distributed Denial of
Service/Распределенный отказ в обслуживании) становились эффективными. В настоящее время создана
целая подпольная индустрия, наносящая огромный ущерб своими действиями.
Серьезные атаки DDoS
Одна атака DDoS занимает полосу пропускания более 100 Гбит/с. С 2007 года число атак DDoS возросло в
20 раз, более 30 млн. зомби-узлов наводняют сеть. Средства организации атаки становятся
легкодоступными. Большое количество ботнетов проделывают бреши для DDoS атак. Атака
осуществляется всего лишь в три этапа, а именно, загружается программа для атаки, покупаются
зомби-узлы и инициируется атака.
Эволюция атаки DDoS от генерирования трафика до
распространения зловредных приложений
Раньше в сетях операторов преобладали флуд-атаки. Сейчас же DDoS-атаки направлены на приложения и
услуги, например, на приложения портала предприятия, интернет-магазины, онлайн-видео, онлайн-игры,
DNS и почту. Цели атак становятся более разнообразными. Отдельная атака создает меньше трафика и
обходится дешевле. Алгоритмы атак становятся более сложными, поэтому современные атаки практически
незаметны для рядового пользователя. Следовательно, обнаружение и защита от атак DDoS значительно
усложняются.
Негативное влияние прерывания услуг на работу предприятия
Часто атаки DDoS затрагивают сервисные системы предприятий и приводят к серьезным нарушениям в их
функционировании. С одной стороны, прерывание услуг отрицательно сказывается на имидже
предприятия, отталкивает потенциальных клиентов и снижает доходы. Особенно это касается небольших
интернет-компаний, работающих в области электронной коммерции, онлайн-игр и порталов. С другой
стороны, создание и обслуживание системы защиты от атак DDoS требует от предприятия больших
инвестиций и ухудшает функционирование обычных услуг.
Потери клиентов IDC из-за атак DDoS
Если сервисная система подвергается атаке DDoS, то трафик атаки занимает всю полосу пропускания IDC,
вызывая отказ в обслуживании остальных пользователей. В результате пользователи IDC уходят,
конкурентоспособность снижается, эксплуатационные расходы растут. Такое влияние серьезно ухудшает
работу оператора и снижает прибыль.
Обзор решения
Решение Anti-DDoS компании Huawei, предназначенное для операторов, предприятий, центров обработки
данных и провайдеров услуг ICP (включая провайдеров для веб-порталов, онлайн-игр, онлайн-видео и
услуг DNS), объединяет богатый опыт Huawei в области сетевой безопасности и полное понимание
потребностей заказчиков.
Данное решение предоставляет надежную защиту от атак на уровне приложений, атак IPv4-IPv6, атак
зомби-узлов, троянов и червей. Оно гарантирует полную безопасность сети и бесперебойное
обслуживание.
Используемые устройства
<<<<<<<table starting>>>>>>>
Таблица
Внешний вид
Описание
Устройство для очистки данных
AntiDDoS1520
(комбинированный интерфейс 4*1GE +
4*1GE; 2 слота расширения;
производительность 2 Гбит/с)
Устройство для очистки данных
AntiDDoS1550 (комбинированный
интерфейс 4*1GE + 4*1GE; 2 слота
расширения; производительность 5
Гбит/с)
Устройство обнаружения
AntiDDoS1500-D (комбинированный
интерфейс 4*1GE + 4*1GE; 2 слота
расширения; производительность 5
Гбит/с)
Таблица
<<<<<<<table ending>>>>>>>
<<<<<<<产品特点_end>>>>>>>
<<<<<<<产品规格_star>>>>>>>
Политика защиты на базе услуг
Решение anti-DDoS Huawei поддерживает постоянное периодическое изучение и анализ сервисного
трафика в контролируемой зоне, отрисовывает форму нормального трафика и запускает
дифференцированные типы защиты и политики защиты в зависимости от вида услуг или для одной услуги
в различные промежутки времени, реализуя тем самым четкую защиту.
Аккуратная очистка аномального трафика
В решении anti-DDoS Huawei применяется технология анализа каждого пакета. При обнаружении атаки
защита включается немедленно. Для надежной защиты от разного рода флуд-атак, атак веб-приложений,
атак DNS, атак SSL DoS/DDoS и атак уязвимости стека протоколов в данном решении предусмотрены
такие функции, как семиуровневая фильтрация, анализ поведения и мониторинг сеансов. Благодаря этим
функциям обеспечивается защита серверов приложений.
Интеллектуальное кэширование трафика DNS
Помимо защиты сервера DNS от разных атак, решение anti-DDoS Huawei поддерживает кэш-память DNS
для улучшения производительности в условиях интенсивного трафика.
Защита от зомби/троянов/червей
С помощью троянов и червей, установленных на большое количество узлов, хакеры осуществляют
иерархическое управление захваченными узлами и формируют ботнет для начала атаки. Ботнеты
запускают атаки DDoS. Решение anti-DDoS Huawei способно идентифицировать и блокировать более 200
видов, самых распространенных в мире, зомби/троянов/червей, тем самым обеспечивая защиту от атак
ботнетов.
.
Идеальная защита IPv4-IPv6
В феврале 2011 года организация IANA заявила о том, что все ресурсы IPv4-адресов были исчерпаны.
Предприятиям больше не будут выдаваться "старые" IPv4-адреса, поэтому им необходимо переводить
сетевое оборудование в новый формат протокола IPv6. В решении anti-DDoS Huawei используется
технология IPv4-IPv6, которая позволяет обеспечить одновременную защиту от атак DDoS для двух
протоколов: IPv4 и IPv6. Решение обеспечивает надежную защиту двойного стека от атак DDoS и плавный
переход пользователей к сети следующего поколения.
Гибкая организация сети
Решение защиты от атак DDoS должно быть настраиваемым для удовлетворения требований различных
условий функционирования сетей и различных уровней обслуживания.
Исходя из этого, решение anti-DDoS Huawei поддерживает несколько операционных и автономных
режимов развертывания, которые позволят клиентам выбрать наиболее подходящий для их услуг и сетей.
Развертывание в операционном режиме: последовательное подключение модулей обнаружения и очистки
трафика к сети обеспечивает непрерывность процесса обнаружения и очистки. Использование
высокопроизводительной и многоядерной аппаратной платформы не только гарантирует точность
обнаружения и очистки, но также минимизирует задержку обработки. Более того, решение anti-DDoS
Huawei имеет модуль транзитной передачи. При появлении отклонения от нормы трафик передается в
модуль очистки, что позволяет избежать новых сбоев.
Развертывание в автономном режиме с изменением маршрута прохождения трафика: модуль очистки
подключается к сети в автономном режиме. После обнаружения трафика атаки DDoS центры обнаружения
и очистки начинают выполнять операции, предусмотренные политиками, которые были
сконфигурированы в центре управления.
Особенности
Эффективность и скорость: производительность защиты 5 Гбит/с и
отклик в течение нескольких секунд
Высокопроизводительные многоядерные процессоры, а также операционная система, предназначенная для
защиты от атак DDoS, обеспечивающие производительность 5 Гбит/с.
Способность адаптации модели обслуживания и технология анализа каждого пакета. Автоматическое
включение политики защиты после обнаружения аномального трафика или пакета.
Задержка защиты в пределах двух секунд.
Точность и комплексность: защита от сотен различных атак и
защита IPv6
Лидирующая в отрасли семиуровневая технология фильтрации, обеспечивающая защиту от более 100 атак
DDoS.
Защита от более 200 разновидностей зомби, троянов и червей, обеспечивающая безопасность
пользователей от хакеров.
IPv4/IPv6 для поддержки защиты IPv6 от атак.
Технология идентификации терминалов для точного определения незаконного доступа и обеспечения
полного отсутствия ложноположительных срабатываний.
Удобство использования: простое управление и различные виды
отчетов
Простоту управления обеспечивает структура управления, ориентированная на пользователя/услуги, с
поддержкой автоматической адаптации модели трафика услуг и генерирования политик.
Различные виды отчетов, отображающие статус атаки с точки зрения трафика услуги, статистики атак и
анализа тенденций атак, предоставляют возможность визуального контроля услуг и угроз безопасности.
Автоматическое извлечение характерных признаков атаки, обеспечивающее эффективную защиту в
экстренных ситуациях и от атак нулевого дня.
<<<<<<<产品规格_end>>>>>>>
<<<<<<< 产品特点_start>>>>>>>
<<<<<<<table starting>>>>>>>
Таблица
Серия AntiDDoS1000
Модель
AntiDDoS1520
AntiDDoS1550
AntiDDoS1500-D
3 млн. пакетов/с
3 млн. пакетов/с
3 млн. пакетов/с
2 Гбит/с
5 Гбит/с
5 Гбит/с (обнаружение)
≤2с
≤2с
≤2с
Быстродействие
защиты от
флуд-атак
Быстродействие
обнаружения/
очистки
Задержка
срабатывания
защиты
Фиксированные
4 × GE (RJ45)+4 × GE (комбинированный)
интерфейсы
Слоты расширения 2 × FIC
Интерфейсные
2 × 10GE (SFP+), 2 × 10GE (SFP+)+8 × GE (RJ45), 8 × 1GE (SFP), 8 × 1GE
платы расширения
(RJ45)
Платы транзитной
4 × 1 GE (RJ45), многомодовый оптический интерфейс с каналами LC/UPC,
передачи
одномодовый оптический интерфейс с каналами LC/UPC
Габаритные
43.6 × 442 × 560
размеры (В × Ш ×
Г)
Максимальная
150 Вт
потребляемая
мощность
Виды защиты IPv4
Фильтрация
Черный список, фильтрация на базе HTTP и фильтрация на базе нагрузки
аномального
TCP/UDP/Другой протокол
трафика
Защита уязвимостей Защита от таких атак, как IP-спуфинг, LAND, Fraggle, Smurf, WinNuke, Ping of
протокола
Death, Tear Drop и IP Option, проверка достоверности метки TCP, атака
пакетами управления IP-фрагментами, большими пакетами управления ICMP,
переадресуемыми пакетами управления ICMP и недостижимыми пакетами
ICMP.
Защита от атак на
Защита от таких флуд-атак, как SYN, ACK, SYN-ACK, FIN/RST, фрагментами
уровне передачи
TCP, UDP, фрагментами UDP и ICMP
Защита от
Защита от атак сканирования портов и адресов, пакетами управления Tracert,
сканирования и
IP Option, IP timestamp и записи маршрутов IP
анализа трафика
Защита DNS
Защита от флуд-атак запросами DNS с фиктивных источников, запросами
DNS с реальных источников, ответами DNS, заражением кэша DNS,
направленных на уязвимости протокола DNS и от ботнета с доменами fast-flux
Защита от веб-атак Защита от атак многочисленными запросами HTTP get/post, атак CC, атак
HTTP slow header/post, флуд-атак HTTPS, атак SSL DoS/DDoS, атак на
TCP-соединения, атак Sockstress, атак TCP-ретрансляции и нулевого
соединения TCP
Защита от атак VoIP Защита от флуд-атак SIP
Защита от
Защита от более 200 разновидностей зомби, троянов и червей, включая LOIC,
зомби/троянов/черв HOIC, Slowloris, Pyloris, HttpDosTool, Slowhttptest и Thc-ssl-dos
ей
Виды защиты IPv6
Виды защиты IPv6
Защита от атак фрагментами ICMP, черный список, фильтрация на базе HTTP,
фильтрация на базе нагрузки TCP/UDP/Другой протокол, защита от таких
флуд-атак, как SYN, ACK, SYN-ACK, FIN/RST, фрагментами TCP, UDP,
фрагментами UDP, ICMP, запросами DNS с фиктивных источников,
запросами DNS с реальных источников, ответами DNS, заражением кэша
DNS, атак, направленных на уязвимости протокола DNS, атак от ботнета с
доменами fast-flux, атак многочисленными запросами HTTP get/post, атак CC,
атак HTTP slow header/post, флуд-атак HTTPS, атак SSL DoS/DDoS, атак на
TCP-соединения, атак Sockstress, атак TCP-ретрансляции, атак нулевого
соединения TCP и флуд-атаки SIP
Защита от атак на
Поддерживается
двойной стек
IPv4/IPv6
Таблица
<<<<<<<table ending>>>>>>>
<<<<<<<产品特点_end>>>>>>>
<<<<<<<Datasheet_star>>>>>>>
Сценарии защиты центра обработки данных
Решение Anti-DDoS HUAWEI, развернутое на выходе корпоративной сети, предоставляет следующие
функции:
1. Обеспечивает защиту от атак, направленных на DNS-сервер, включая атаки на уязвимости стека
протоколов DNS, атаки посредством отражения DNS-запросов, флуд-атаки DNS и атаки неудачного
обращения к кэш-памяти DNS, и поддерживает кэш DNS для повышения производительности
DNS-сервера в условиях интенсивного трафика.
2. Обеспечивает защиту от атак, направленных на веб-серверы, включая SYN-флуд, HTTP-флуд, CC и
низкоскоростные соединения.
3. Обеспечивает защиту от атак, направленных на онлайн-игры, включая, UDP-флуд, SYN-флуд и атаки на
TCP.
4. Обеспечивает защиту от атак SSL DoS/DDoS на серверах HTTPS.
<<<<<<<table starting>>>>>>>
Таблица
Таблица
<<<<<<<table ending>>>>>>>
<<<<<<< Datasheet _end>>>>>>>
<<<<<<<Datasheet_star>>>>>>>
<<<<<<<table starting>>>>>>>
Таблица
Базовые конфигурации AntiDDoS1500-D
Хост AntiDDoS1500 D-SUBZ31UAH-AMS1500-D AC с
AntiDDoS1500D-AC
программным обеспечением HS General Security Platform
На выбор
Хост AntiDDoS1500 D-SUBZ31UDH-AMS1500-D DC с
AntiDDoS1500D-DC
программным обеспечением HS General Security Platform
Базовые конфигурации AntiDDoS1520
Хост AntiDDoS1520-SUBZ11UAH-AMS1520 AC с
AntiDDoS1520-AC
программным обеспечением HS General Security Platform
На выбор
Хост AntiDDoS1520-SUBZ11UDH-AMS1520 DC с
AntiDDoS1520-DC
программным обеспечением HS General Security Platform
Базовые конфигурации AntiDDoS1550
Хост AntiDDoS1550-SUBZ21UAH-AMS1550 AC с
AntiDDoS1550-AC
программным обеспечением HS General Security Platform
На выбор
Хост AntiDDoS1550-SUBZ21UDH-AMS1550 DC с
AntiDDoS1550-DC
программным обеспечением HS General Security Platform
Интерфейсные модули серии AntiDDoS
Плата с 2 оптическими интерфейсами 10GE и плата с 8
FIC-2SFP+&8GE
электрическими интерфейсами GE, с программным
По заказу
обеспечением HS General Security Platform
Плата с 8 электрическими интерфейсами GE, с
FIC-8GE
программным обеспечением HS General Security Platform
Плата FIC с 2 оптическими интерфейсами 10GE, с
FIC-2SFP+
По заказу
По заказу
программным обеспечением HS General Security Platform
Плата FIC с 8 оптическими интерфейсами GE, с
FIC-8SFP
По заказу
программным обеспечением HS General Security Platform
FIC-8SFP
Плата FIC с 8 оптическими интерфейсами GE, с
По заказу
программным обеспечением HS General Security Platform
Защитная плата многомодовых оптических интерфейсов
FIC-2LINE-M-BYPASS
с 2 каналами LC/UPC для транзитной передачи, с
По заказу
программным обеспечением HS General Security Platform
Защитная плата одномодовых оптических интерфейсов с
FIC-2LINE-S-BYPASS
2 каналами LC/UPC для транзитной передачи, с
По заказу
программным обеспечением HS General Security Platform
Компоненты Anti-DDoS
Платформа Windows Chinese (ПК-сервер AC, жесткий
ADSCT001WIN01
диск, сервер Microsoft Windows и патчи на китайском
По заказу
языке), включая лицензию на ОС
Платформа Windows Chinese (ПК-сервер DC, жесткий
ADSCT001WIN03
диск, сервер Microsoft Windows и патчи на китайском
По заказу
языке), включая лицензию на ОС
NS19MKM00
Клавиатура и мышь, монитор 19 дюймов TFT LCD
По заказу
Центр управления Anti-DDoS
Основные функции ATIC, с программным обеспечением
На выбор
LIC-ADS-NOFA00
HS General Security Platform
Таблица
<<<<<<<table ending>>>>>>>
<<<<<<< Datasheet _end>>>>>>>
<<<<<<<tabRegion_end>>>>>>>