随着互联网的高速发展,黑客攻击手段不断演进,行业内的恶意竞争日趋激烈,促使DDoS攻击强
度、频率和复杂度持续提升,DDoS防御面临新的挑战:
• 攻击强度持续攀升,挑战防御成本;
• 大流量攻击呈现Fast Flooding,挑战防御系统响应速度;
• 业务多元化,攻击复杂化,传统防御技术失效。
为应对新的防御挑战,华为推出了AntiDDoS12000系列产品:全流量逐包检测,60+流量模型,毫
秒级攻击响应;NP防御加速,单机T级防御,高效阻断网络层攻击;7层智能“滤板”,多维度行为
分析及机器学习,精确识别各种复杂CC攻击;独创在线升级防御引擎,快速应对0-day DDoS;防
御策略自动调优,防御全程智能驾驶。
产品亮点
• 卓越性能: CPU智能协同NP防御加速,单机T级
• 毫秒响应: 全流量逐包检测, 60+流量模型,毫秒级攻击响应,业务零影响
• 精准防御: 7层智能“滤板”,多维度机器学习加持,逐层过滤L3/4/7攻击;独创在线升级防御引 擎,快速应对0-day DDoS;三层防御架构,秒级应对扫段攻击
• 智能驾驶: 专家策略模板,防御效果评估,防御策略自动调优,防御全程智能驾驶
方案功能
网络层DDoS防御
• 采用电信级硬件架构, CPU智能协同NP防御加速,单机防御性能最高T级
• 全流量采集,逐包检测, 60+流量模型,毫秒级攻击响应,快速阻断网络层攻击,保障网络链路带 宽可用性
应用层DDoS防御
基于多维度行为分析和机器学习,精准防御HTTP CC&HTTPS CC,不解密防御加密攻击,性能更高
• 全面抵御会话层及应用层攻击,保护网站、 APP、API 、DNS等关键业务系统
增值运营
• 基于租户业务、防护带宽提供差异化防护及报表管理
• 开放API 、SYSLOG日志满足第三方运营平台防御策略和报表集成
典型场景
城域网防护
随着大流量DDoS攻击泛滥,挤占运营商网络价值带宽,企业投诉增多;同时,针对DNS系统的 DDoS攻击频发,危及网络基础设施可用性。运营商网络部署DDoS攻击缓解系统,保护网络管道及基 础设施可用性成为刚需。
如图所示, xFlow检测设备实时采集和分析路由器产生的xFlow日志,对防护网络进行DDoS攻击 检测。当检测到攻击,检测中心上报管理中心异常告警, 触发清洗中心对被攻击IP发布引流路由,流 量被牵引至清洗中心进行精细化过滤,丢弃攻击流量,干净的业务流量再被回注到原有网络。
数据中心防护
行业内的恶意竞争导致数据中心成为DDoS攻击的重灾区。攻击发生时,不仅被攻击IP的业务不 可用;严重时,危及数据中心网络基础设施可用性。网络边界DDoS防御是数据中心必备的第一道安 全屏障。
如图所示, AntiDDoS设备旁路部署在网络边界,将防护网络流量1:1分光或镜像到检测中心进行 逐包实时检测,一旦发现DDoS攻击,检测中心上报异常告警到管理中心,管理中心触发清洗中心发 布引流路由,将被攻击 IP的流量牵引到清洗中心。清洗中心过滤掉攻击流量,将干净流量回注到网 络。整体方案无单点故障,且仅需要牵引被攻击IP到清洗中心,方案可靠性最高。
增值运营
管理中心支持租户级的DDoS防护服务运营功能。系统基于防护对象进行防御策略配置和报表呈 现,防护对象可和租户一一对应,方便ISP基于租户业务类型和防护带宽提供差异化的DDoS防护服 务。管理中心支持丰富的Restful API和第三方运营平台实现防御策略对接;并支持多维度的Syslog日志
和第三方运营平台对接,提供攻击日志、防御效果报表展示。
规格清单
DDoS防御功能
畸形报文防御:
支持LAND 、Fraggle 、Smurf 、Winnuke 、Ping of Death 、Tear Drop 、TCP Error Flag等攻击防御。
扫描窥探型攻击防御:
支持端口扫描、地址扫描、 TRACERT控制报文攻击、 IP源站选路选项攻击、 IP时间戳选项攻击、 IP路由记录选项 攻击等攻击防御。
网络泛洪攻击防御:
支持SYN Flood 、SYN-ACK Flood、ACK Flood 、FIN Flood 、RST Flood 、TCP Fragment Flood 、TCP Malformed Flood 、UDP Flood 、UDP Malformed 、UDP Fragment Flood 、IP Flood 、ICMP Fragment Flood 、ICMP Flood、 Other Flood等常见网络层泛洪攻击防御;支持扫段攻击、脉冲攻击防御。
会话层攻击防御:
支持真实源SYN Flood、真实源ACK Flood 、TCP连接耗尽、 Sockstress 、TCP空连接等常见会话层攻击防御。
UDP反射攻击防御:
支持NTP 、DNS 、SSDP 、CLDAP 、Memcached 、Chargen 、SNMP、WSD等常见UDP反射放大攻击静态过滤规则; 支持动态生成过滤规则防御新型UDP反射放大攻击。
TCP反射攻击防御:
支持基于网络层特征创建静态过滤规则;支持动态生成TCP反射攻击过滤规则。
WEB、APP、API应用层攻击/HTTP CC攻击防御:
支持基于行为分析防御高频HTTP应用攻击/HTTP CC;支持基于机器学习防御低频HTTP应用攻击/HTTP CC;支持基于行为分析防御慢速HTTP攻击,包括HTTP Slow Header 、HTTP Slow Post 、RUDY 、LOIC 、HTTP Multi- Methods 、HTTP Range放大、 HTTP空连接等。
WEB、APP、API加密应用层攻击/HTTPS CC/TLS加密攻击防御:
支持高频HTTPS/TLS加密攻击防御;支持慢速TLS不完整会话及空连接防御。
DNS应用攻击防御:
支持DNS Malformed 、DNS Query Flood 、NXDomain Flood 、DNS Reply Flood 、DNS缓存投毒防御; 支持源限速、域名限速。
SIP应用攻击防御:
支持SIP Flood/SIP Methods Flood防御,包括: Register Flood 、Deregistration Flood、Authentication Flood, Call Flood等攻击防御;
支持源限速。
自定义过滤规则:
支持自定义本地软件及硬件过滤规则,支持自定义BGP flowspec过滤规则执行远端过滤,可定义的字段包括: 源/目的IP 、报文长度、 IP协议、 IP载荷、源/目的端口、 TCP-Flag 、TCP载荷、 UDP载荷、 ICMP载荷、 DNS域名、 HTTP URI 、HTTP User-Agent字段、 SIP caller字段、 SIP callee字段等。
地理位置过滤:
阻断策略支持自定义,海外到国家,国内到省。
共栈防御:
支持IPv4/IPv6共栈DDoS攻击防御。
防御策略智能调优:
支持攻击流量快照及防御效果评估;支持防御策略自动调优;支持攻击自动取证。
基线学习:
支持动态流量基线学习,学习周期可配。
抓包取证:
支持基于攻击事件自动抓包和自定义ACL抓包,支持抓包文件在线解析分析、溯源及下载本地分析。
管理与报表功能
|
管理功能: 支持多台AntiDDoS设备统一策略管理、性能监控、告 警管理; 支持分权分域管理用户权限; 支持攻击事件通过短信、声音、邮件通知; 支持日志审计及发送第三方转储。
增值运营: 支持自定义防护对象,配置客户化防护地址段和防护 带宽; 支持客户化防御策略; 支持客户化报表。 |
报表功能: 支持多维度的流量统计分析,包括流量对比、流量 TOPN、协议分布等; 支持多维度的攻击事件分析,包括攻击详情、攻击 TOPN、攻击事件TOPN等; 支持多维度的攻击态势分析,包括攻击类型分布、流量 峰值分布、持续时间分布等; 支持报表导出。 第三方平台对接: 支持基于syslog实现日志和报表对接; 支持基于Restful API实现防御策略对接。 |
部署模式与引流回注
| 部署模式:支持直路部署、旁路静态引流部署、旁路逐包检测动 态引流部署、旁路xFlow检测动态引流部署。 | 引流回注:引流功能:支持基于策略路由、 BGP等方式的静态引 流;支持基于BGP的动态引流。回注功能:支持Layer-2回注、静态路由回注、策略路 由回注、 GRE Tunnel回注、 SRv6回注等多种回注方式。 |
接口与硬件参数
订购信息
发表评论