金盾抗拒绝服务系统
目前,金盾系列抗拒绝服务系统单台已经实现520G吞吐的高效性能。并拥有专有的高层协议防护算法及小包线速处理能力。为高端客户提供应对超大异常流量攻击的防护能力!自2014年国内首家发布单台100G ATCA架构抗拒绝服务攻击(DDoS)防御设备,到2016年推出抗DDoS“云+端”立体防御平台和单台300G抗拒绝服务攻击产品,现在抗DDoS单台设备防御能力突破500G。每次在抗DDoS防护技术领域都引领产业升级,推动DDoS攻击防御技术由“点”到“线”,再到“面”不断提高!
产品定位
金盾抗拒绝服务系列产品是网安核心的抗分布式拒绝服务攻击(DDoS)高性能解决方案。通过部署在网络边缘检测、阻挡并缓解多向量DDoS攻击。最新型的金盾抗拒绝服务系统端设备更可以和网安的金盾云清洗中心联动,是企业网络基础设施对抗流量型攻击的第一道防线。
功能特点
防护功能
防御类型
支持对SYNFlood、UDPFlood、ICMPFlood、IGMPFlood、ACKFlood、DNSQuery Flood、PingSweep等流量型攻击,HTTPProxy Flood、HTTPGet Flood、CCProxy Flood、ConnectionExhausted等连接型攻击和Smurf、Land-based、Teardrop、FragmentFlood、RedCode等漏洞型攻击及其他各种常见的攻击行为均可有效识别。
应用层协议防护
支持对常见应用层协议的防护功能,如FTP/SMTP/POP3/HTTP等,并支持设置自定义协议类型防护特定应用层协议,如对网游、语音、即时通讯相关协议等的防护,具有常用应用层协议(如HTTP、FTP、GAME、DNS等)防护插件。
CC攻击防护
设备具备对连接耗尽型攻击的防御能力,利用连接跟踪、TCP重传机制和SYN分级保护等机制实现对连接型FLOOD的防护;支持协议自定义防护功能,支持插件定制功能。
专业的DNS服务器防护能力
支持针对缓存DNS服务器及授权DNS服务器专用的DNS防护功能,主要包括:支持DNS投毒防御、DNS源目的限速、DNS逆向TC验证、DNS静态缓存、动态缓存的攻击防御等多种防御能力。
特定服务防护
支持通过内置专用插件、协议自定义、黑名单管理及灵活的规则设置,达到对CC类的各种代理IP型攻击、僵尸网络攻击等完美的防御效果;针对Http协议,内置专用Web防护模块,能在统一界面中配置对Web页面和使用端口的防护;支持通过内置插件可检测各种代理IP型源IP地址;内置各种服务器专用防护插件,如针对游戏、DNS服务器、邮件服务器、web服务器等,支持通过分析被保护主机服务特点,来配置不同参数进行防护;具有特殊的WEB防护模块,可设置有攻击时自动启用,无攻击时自动取消。
算法调整
支持算法调整功能,即在监测到缺省算法无效或者不佳时,可通过人工调整算法。如对SYNflood攻击的保护,可以灵活选择重传防护机制,支持100%真实源探测防护机制。
防护特性
支持针对不同攻击流量自动启用相应的防护策略,对攻击流量进行相应限制;支持自动识别其保护的各个主机及其IP地址,并且某台主机受到攻击不会影响其它主机的正常服务;支持根据攻击的流量和连接数阀值来设置自动触发防护选项,并且连接数阀值可根据不同情况灵活控制。
包过滤功能
端口过滤
支持数据包规则过滤,可对端口和TCP SYN, FIN, PSH, ACK等标志位过滤。
内容过滤
支持数据包内容细致过滤,如数据包内关键字过滤,支持明文和十六进制格式。
自定义限制
支持针对数据包头、数据包协议类型及各个字段值、特征自定义频率限制和连接限制功能。
连接跟踪功能
连接跟踪
支持连接跟踪能力,对设备所有进出的连接,根据其源地址进行分类显示,同时支持连接超时,重置连接等功能;支持建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,可提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到不同的DOS/DDOS攻击保护。
域名审计功能
自动检测
支持域名自动检测,支持中文域名。
黑白名单
支持域名白黑名单功能。
分级设置
持一级与二级域名分开设置,可设置一级域名为放行,二级域名为屏蔽。
抓包取证功能
自动抓包
支持自动抓包功能,可依据自行设置的条件启动抓包任务,当受到攻击时,能够针对该DDoS攻击,自动获取符合抓包条件的网络数据包,为电子取证提供依据。
自动捕获
支持主机受攻击时,自动捕获数据包的功能,方便网络管理人员监控、取证。
异常流量抓包
支持异常流量抓包功能,可以指定目标/源IP地址、MAC地址等,用于人工分析攻击类型。
设备监控功能
显示功能
支持显示设备物理端口状态(如接口流量、连接信息),显示系统CPU、内存信息;支持显示防护主机带宽、频率、连接等信息;支持显示主机连接状态并可进行简单追踪,显示进出流量和过滤流量方便分析流量是否正常;支持显示当前活动TCP连接状态。
统计功能
支持全局及单IP流量统计;支持全局及单IP报文统计;支持关键端口流量统计;支持报警事件统计。
监控功能
支持详细的监控到每一个正常的连接和攻击的连接所有信息,通过对每个连接组合查找排序,可为专业人员可以发现已知和未知的异常攻击提供线索;支持通过设备管理界面了解设备监控信息,可提供集中监控软件,可以实现多台集中监控,满足大型系统和集群系统的管理需求。
牵引回注功能
牵引方式
支持静态和动态牵引方式,并且支持BGP路由协议。
回注方式
支持二层回注、三层回注、GRE回注、PBR回注、MPLSLSP回注、MPLSVPN回注等多种回注方式。
日志管理功能
日志显示
显示详细的日志时间,记录该时间内设备的状态操作记录,并支持日志事件的类别分类显示;日志显示支持日报周报等统计形式,统计主机流量、连接、事件等分析报告,并支持对单个IP主机形式输出显示。
日志保存
支持SYSLOG服务器日志保存;系统具备安全日志功能,可完整地记录用户对设备的重要操作、访问信息;不使用License控制功能和性能。
分级分权
系统支持用户分级分权管理,并具备合理的分级层次及权限划分粒度。
系统管理功能
管理方式
支持集中管理、本地管理、远程管理等多种管理方式,并能实时显示攻击事件、流量、系统运行状况等信息;支持对系统自身的管理方式支持串口命令行和Web图形化管理两种方式,无需安装专门的客户端管理系统,且图形化界面为中文。
远程管理
支持系统Web界面具备设备的远程升级功。能;支持系统具备远程重启功能,并可在命令行和Web界面中进行操作;支持对设备的远程管理方式具备加密能力,通过https和SSH等加密方式实现。
统一管理
系统具备统一管理平台,在集群部署时支持对多台设备的集中管理,日志收集,运行状态监控,策略下发;支持SNMP网管软件管理。
自定义功能
规则匹配
支持通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,以提高产品通用性及防护力度。
预定义
支持内置若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用;支持协议自定义,可针对不同的服务类型编写协议定义,自行定制防护策略。
IP访问
支持对单个IP与服务器的连接数进行限制,以对连接进行严格的时间控制,同时支持可以清除服务器上的残余连接;支持设置忽略国外IP访问。
黑白名单
支持域名黑白名单功能
需求定制
全局防护功能可根据用户需求进行模块化定制和选择。