Anti-DDoS产品介绍-6W100-整本手册.pdf

李华

198

1页

4次

2022-06-27

免费下载

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击是一类常见的网络攻击行为，攻击者通过劫

持大量的网络主机或服务器来攻击目标节点，消耗目标节点资源和带宽，使其无法正常提供服务。

DDoS攻击具有攻击流量大、来源广泛以及隐蔽性好等特点，传统安全设备无法对其进行有效防范。

Anti-DDoS

产品介绍

DDoS攻击的危害

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

Anti-DDoS产品简介

Anti-DDoS解决方案

为应对日益严峻的DDoS攻击威胁，Anti-DDoS产品应运而生。Anti-DDoS产品分为检测设备、清洗设备和

管理中心三类产品，分别负责攻击检测、流量清洗和设备管理，责任清晰、目标明确。

攻击流量峰值已超过1 Tbps

攻击者利用遍布全球的僵尸

主机发起攻击

攻击流量往往伪装成正常

访问流量

Anti-DDoS解决方案特色

三类产品搭配多重检测与清洗技术共同组成多应用场景下的综合性Anti-DDoS解决方案，可针对各类DDoS攻

击进行高效防范。

流量基线

DDoS

Attack

精细报文过滤

可针对HTTP、HTTPS、SIP、DNS、TCP、

UDP、ICMP、IP等协议报文分别指定多重过

滤条件。

弹性攻击防御

自动分析当前网络中不同协议报文的流量基线

值，并据此计算出符合当前网络环境的DDoS

攻击防范参数。

智能攻击识别

自动分析并学习报文首部以及载荷部分的统计

学特征，即报文指纹，据此高效识别攻击报文。

大流量DDoS攻击防护

中小流量DDoS攻击防护

将检测设备和清洗设备旁路部署于网络出口，

分别进行DDoS攻击检测与清洗任务。

该模式适用于需要应对大流量DDoS攻击的场

景，如数据中心防护。

仅将清洗设备直路部署于网络出口，进行

DDoS攻击清洗任务。

该模式适用于仅需要应对中小流量DDoS攻击

的场景，如中小企业网防护。

配置管理监控

深度报文检测

黑

白

名

单

过

滤

器

指

纹

防

护

源

验

证

报

文

限

速

高性能硬件平台

BGP引流

静态路由回注

分光镜像

策略路由引流

二层回注

策略路由回注

GRE回注

MPLS LSP回注

深度流检测

直路部署

清洗设备

旁路部署

检测设备

清洗设备

部署模式

攻击类型

检测设备清洗设备

管理中心

资源消耗型

HTTP Flood

HTTPS Flood

SIP Flood

DNS Flood

……

连接消耗型

SYN Flood

ACK Flood

RST Flood

FIN Flood

……

带宽消耗型

UDP Flood

UDP反射

ICMP Flood

……

攻击流量

正常流量

虚假源验证

清洗设备主动向攻击者发起挑战，实现对僵尸

主机发起的HTTP Flood、HTTPS Flood、

SIP Flood、DNS Flood和SYN Flood等虚假

源DDoS攻击的高效防范。

① 攻击者

发起连接

② 清洗设备

发起挑战

③ 攻击者

响应挑战

检测设备对镜像或采样流量进行攻击检测

检测设备发现攻击后上报管理中心

管理中心分析后向清洗设备下发防御策略

和引流规则

清洗设备根据引流规则与核心设备交互，

牵引攻击相关流量进行清洗

清洗设备将正常流量回注至核心设备

核心设备继续将流量转发至原目的地址

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

数据中心

Anti-DDoS系统

盒式设备

AFC2020-D-G异常流量检测设备

检测板卡

NSQM2AFC2000DGDSCA0

（适用于M9000-S系列）

盒式设备

AFC2120-G异常流量清洗设备

清洗板卡

NSQM1AFC2000GDFGA0

（适用于M9000系列）

NSQM2AFC2000GDFGA0

（适用于M9000-S系列）

管理中心

分析攻击信息

下发防御指令

清洗设备

接收防御指令

过滤攻击流量

检测设备

检测DDoS攻击

上报攻击信息

管理流量

报文流量

管理中心

Internet

清洗设备

中小企业网

Anti-DDoS系统

清洗设备直接对流量进行

攻击清洗

清洗设备将正常流量转发

至原目的地址

（逐个检测报文流中的报文）

（对报文流中的报文按一定

比例进行采样后检测）

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击是一类常见的网络攻击行为，攻击者通过劫

持大量的网络主机或服务器来攻击目标节点，消耗目标节点资源和带宽，使其无法正常提供服务。

DDoS攻击具有攻击流量大、来源广泛以及隐蔽性好等特点，传统安全设备无法对其进行有效防范。

Anti-DDoS

产品介绍

DDoS攻击的危害

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

Anti-DDoS产品简介

Anti-DDoS解决方案

为应对日益严峻的DDoS攻击威胁，Anti-DDoS产品应运而生。Anti-DDoS产品分为检测设备、清洗设备和

管理中心三类产品，分别负责攻击检测、流量清洗和设备管理，责任清晰、目标明确。

攻击流量峰值已超过1 Tbps

攻击者利用遍布全球的僵尸

主机发起攻击

攻击流量往往伪装成正常

访问流量

Anti-DDoS解决方案特色

三类产品搭配多重检测与清洗技术共同组成多应用场景下的综合性Anti-DDoS解决方案，可针对各类DDoS攻

击进行高效防范。

流量基线

DDoS

Attack

精细报文过滤

可针对HTTP、HTTPS、SIP、DNS、TCP、

UDP、ICMP、IP等协议报文分别指定多重过

滤条件。

弹性攻击防御

自动分析当前网络中不同协议报文的流量基线

值，并据此计算出符合当前网络环境的DDoS

攻击防范参数。

智能攻击识别

自动分析并学习报文首部以及载荷部分的统计

学特征，即报文指纹，据此高效识别攻击报文。

大流量DDoS攻击防护

中小流量DDoS攻击防护

将检测设备和清洗设备旁路部署于网络出口，

分别进行DDoS攻击检测与清洗任务。

该模式适用于需要应对大流量DDoS攻击的场

景，如数据中心防护。

仅将清洗设备直路部署于网络出口，进行

DDoS攻击清洗任务。

该模式适用于仅需要应对中小流量DDoS攻击

的场景，如中小企业网防护。

配置管理监控

深度报文检测

黑

白

名

单

过

滤

器

指

纹

防

护

源

验

证

报

文

限

速

高性能硬件平台

BGP引流

静态路由回注

分光镜像

策略路由引流

二层回注

策略路由回注

GRE回注

MPLS LSP回注

深度流检测

直路部署

清洗设备

旁路部署

检测设备

清洗设备

部署模式

攻击类型

检测设备清洗设备

管理中心

资源消耗型

HTTP Flood

HTTPS Flood

SIP Flood

DNS Flood

……

连接消耗型

SYN Flood

ACK Flood

RST Flood

FIN Flood

……

带宽消耗型

UDP Flood

UDP反射

ICMP Flood

……

攻击流量

正常流量

虚假源验证

清洗设备主动向攻击者发起挑战，实现对僵尸

主机发起的HTTP Flood、HTTPS Flood、

SIP Flood、DNS Flood和SYN Flood等虚假

源DDoS攻击的高效防范。

① 攻击者

发起连接

② 清洗设备

发起挑战

③ 攻击者

响应挑战

检测设备对镜像或采样流量进行攻击检测

检测设备发现攻击后上报管理中心

管理中心分析后向清洗设备下发防御策略

和引流规则

清洗设备根据引流规则与核心设备交互，

牵引攻击相关流量进行清洗

清洗设备将正常流量回注至核心设备

核心设备继续将流量转发至原目的地址

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

数据中心

Anti-DDoS系统

盒式设备

AFC2020-D-G异常流量检测设备

检测板卡

NSQM2AFC2000DGDSCA0

（适用于M9000-S系列）

盒式设备

AFC2120-G异常流量清洗设备

清洗板卡

NSQM1AFC2000GDFGA0

（适用于M9000系列）

NSQM2AFC2000GDFGA0

（适用于M9000-S系列）

管理中心

分析攻击信息

下发防御指令

清洗设备

接收防御指令

过滤攻击流量

检测设备

检测DDoS攻击

上报攻击信息

管理流量

报文流量

管理中心

Internet

清洗设备

中小企业网

Anti-DDoS系统

清洗设备直接对流量进行

攻击清洗

清洗设备将正常流量转发

至原目的地址

（逐个检测报文流中的报文）

（对报文流中的报文按一定

比例进行采样后检测）

of 1

免费下载

h3c 数据安全

关注

评论