- 主题
- 0
- 积分
- 0
- 贝壳
- 0 个
- 注册时间
- 2007-3-20
- 最后登录
- 2007-3-20
|
傲盾kfw1500硬件防火墙,单台防护2G,集群防护16G ddos攻击 www.aodun.com.cn
1.随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现金,数字货币,网络保险等新兴业务的兴起,网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失实在令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。
国家计算机网络应急技术处理协调中心2004年共收到网络安全事件报告64686件,为2003年的5倍。其中对使用自动化程序与对服务器操作系统主动攻击占绝大多数。网络信息安全已经成为一个关系经济安全、国家安全、社会稳定、民族文化继承和发扬的重大问题。《数字化犯罪》的作者尼尔·巴累特高呼:互联网产生了一个“潘多拉”魔盒——计算机病毒、网络攻击、电子洗网络诈骗等涉及网络的传统型或新型的违法犯罪活动层出不穷,对任何一个国家的网络信息安全都构成极大威胁。
2.傲盾KFW——网络安全防护专家
作为国内最早的专业安全厂商之一,傲盾公司早在2000年就专注于抗拒绝服务式攻击的研究和防护。目前傲盾公司的KFW品牌已经形成了包括软硬件产品在内,根据应用领域和用户层次细分的完整抗拒绝服务式攻击产品线。傲盾中国的产品率先通过了公安部的检测认证,并已获得公安部的销售许可。到2004年底,傲盾在国内防拒绝服务式攻击市场的占有率已超过72%,在个人、企业、门户甚至电信级别的用户中都已有了广泛的应用。
7年历史的防火墙产品领先品牌,并具有完全知识版权。使用了目前最先进的第三代防火墙技术《DataStream Fingerprint Inspection》数据流指纹检测技术,与企业级防火墙Check Point和Cisco相同,能够检测网络协议中所有层的状态,有效阻止DoS、DDoS等各种攻击,保护您的服务器免受来自Internet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术,提供各种企业级功能,功能强大、齐全、价格低廉,是目前世界上性能价格比最高的网络防火墙产品。
3.傲盾解决方案
3.1当前网络现状分析
当前网络拓扑结构如图所示:
当前的网络拓扑结构如上图所示,.扩容后网络总带宽可扩展到4G,由城域网两台核心路由QuidwayNE80接入,每台接入机房的出口带宽为2G,分别接入两台QuidwayS8505核心交换机,针对目前贵单位的网络状况,可以提供傲盾防火墙2G+2G达到4GDDOS防护的集群解决方案,针对贵单位的网络现状,确保服务器尽量少或者避免遭受DDOS 攻击,我公司提供的傲盾防火墙产品可以提供以下两条可行性建议供参考。
3.2 解决方案一
设计方案一拓扑结构如图所示:
我们在上层路由QuidwayNE40E和核心交换机QuidwayS8505之间接入傲盾KFW1500防火墙防火墙以透明网桥模式接入现有网络。对于我们原有网络结构不进行任何调整,只须在上层路由QuidwayNE40E和核心交换机QuidwayS8505响应的端口设置汇聚,防火墙针对来自核心路由出口访问WEB服务器的所有数据进行监测和过滤。
Kfw1500集群简介:
1. 上层交换机或者路由的相应端口设置端口汇聚(Port Trunking),支持2端口4 端口 6端口 8端口聚合,下层交换机做相应的端口聚合 调试通过.
2. 上层过来的数据线分别接入防火墙的外网数据端口,从每台防火墙出来的内网数据线接入内网交换机的汇聚端口,每台防火墙的同步端口接到防火墙同步数据交换机上,每台防火墙的管理口接到内网交换机普通端口上
3. 分别进入每台防火墙管理界面,设置同步端口,完成安装设置.
4. 单台kfw1500可以防护2g ,多台kfw1500做汇聚防护效果翻倍
Kfw1500单台2G简介:
Kfw-1500防火墙单台2G拓扑图
1.上层交换机或者路由的相应端口设置2端口汇聚(Port Trunking) ,下层交换机做相应的端口聚合 调试通过.
2.上层过来的数据线分别接入防火墙的外网数据端口,从防火墙出来的内网数据线接入内网交换机的汇聚端口,防火墙的管理口接到内网交换机普通端口上.
单台Kfw1500防火墙功能指标:
管理方式: WEB方式,远程分布式管理
并发数:支持120万并发连接
核心技术:支持指纹流状态检测
防火墙模式:透明防火墙模式
功能模块:
1实时流量监控图形统计
2实时单ip流量监控图形统计
3基于指纹流状态检测的连接监控列表,可以列出所有当前通过防火墙连接的详细信息,强大的查询排序功能帮助网管分析发现网络故障和已知未知的攻击.
4被封ip列表,列出所有被防火墙规则禁止的ip详细信息
5.监控日志 提供每分钟的网络状态日志
6.数据包分析,可以抓取所有进出防火墙的数据包,或者定制规则抓取数据包,通过内置的数据包分析器,帮助网管深入网络数据内容掌握网络故障和已知未知的攻击方法,快速定制相应的规则
7.防火墙规则 可以设置针对端口ip协议的规则,也可以设置针对数据流连接状态的规则,通过规则组合设置,可以限制整形数据流,限制连接数,连接传输流量,防护已知和未知的网络攻击,
8.接收包流量限制,可以防护udp ,icmp,igmp 攻击,同时正常情况下保持这些协议数据的传输
9.漏洞攻击防护 可以通过分析数据包的内容,过滤针对网络程序的漏洞攻击,可以通过升级漏洞防护规则,或者自己定制漏洞特征码,来防护最新的漏洞攻击
10.屏蔽指定服务器 攻击流量过大可以屏蔽防火墙下面的服务器
防护syn 攻击能力:
两个1g数据做端口汇聚进入的情况下可以处理
64字节数据包每秒过滤220万个
128字节报文每秒处理 1.8Gbps流量
256 字节以上报文每秒处理2G流量
支持正常服务器数:
数量不限,可以支持到防火墙能处理的最大带宽
CC攻击防护:
通过指纹流状态检测核心,可以防护200万 cc肉鸡同时建立连接攻击,不影响正常服务器访问
防护攻击列表:
可以防护Ddos,Dos,, Syn Flood,cc,udp,icmp,igmp,ping, Trinoo, TFN,HTTP协议攻击, Hash-Based IP traceback,各种传奇游戏服务器攻击,通过对连接监控列表和数据包的分析,可以定制防火墙规则漏洞防护规则,来防护未知的攻击
3.3 解决方案二:
设计方案二拓扑结构如图所示:
单台Kfw1500防火墙功能指标:
管理方式: WEB方式,远程分布式管理
并发数:支持120万并发连接
核心技术:支持指纹流状态检测
防火墙模式:透明防火墙模式
功能模块:
1实时流量监控图形统计
2实时单ip流量监控图形统计
3基于指纹流状态检测的连接监控列表,可以列出所有当前通过防火墙连接的详细信息,强大的查询排序功能帮助网管分析发现网络故障和已知未知的攻击.
4被封ip列表,列出所有被防火墙规则禁止的ip详细信息
5.监控日志 提供每分钟的网络状态日志
6.数据包分析,可以抓取所有进出防火墙的数据包,或者定制规则抓取数据包,通过内置的数据包分析器,帮助网管深入网络数据内容掌握网络故障和已知未知的攻击方法,快速定制相应的规则
7.防火墙规则 可以设置针对端口ip协议的规则,也可以设置针对数据流连接状态的规则,通过规则组合设置,可以限制整形数据流,限制连接数,连接传输流量,防护已知和未知的网络攻击,
8.接收包流量限制,可以防护udp ,icmp,igmp 攻击,同时正常情况下保持这些协议数据的传输
9.漏洞攻击防护 可以通过分析数据包的内容,过滤针对网络程序的漏洞攻击,可以通过升级漏洞防护规则,或者自己定制漏洞特征码,来防护最新的漏洞攻击
10.屏蔽指定服务器 攻击流量过大可以屏蔽防火墙下面的服务器
防护syn 攻击能力:
两个1g数据做端口汇聚进入的情况下可以处理
64字节数据包每秒过滤220万个
128字节报文每秒处理 1.8Gbps流量
256 字节以上报文每秒处理2G流量
支持正常服务器数:
数量不限,可以支持到防火墙能处理的最大带宽
CC攻击防护:
通过指纹流状态检测核心,可以防护200万 cc肉鸡同时建立连接攻击,不影响正常服务器访问
防护攻击列表:
可以防护Ddos,Dos,, Syn Flood,cc,udp,icmp,igmp,ping, Trinoo, TFN,HTTP协议攻击, Hash-Based IP traceback,各种传奇游戏服务器攻击,通过对连接监控列表和数据包的分析,可以定制防火墙规则漏洞防护规则,来防护未知的攻击
3.3 解决方案二:
设计方案二拓扑结构如图所示:
在上层路由QuidwayNE40E和核心交换机QuidwayS8505之间接入两台傲盾KFW12000防火墙防火墙集群系统(KFW1200防火墙单台防护1G)。在上层路由QuidwayNE40E和核心交换机QuidwayS8505响应的端口设置汇聚,防火墙针对来自核心路由出口访问WEB服务器的所有数据进行监测和过滤。
Kfw1200集群2G简介
Kfw-1200防火墙多台集群拓扑图
Kfw1200集群简介:
1.上层交换机或者路由的相应端口设置端口汇聚(Port Trunking),支持2端口4 端口 6端口 8端口聚合,下层交换机做相应的端口聚合 调试通过.
2.上层过来的数据线分别接入防火墙的外网数据端口,从每台防火墙出来的内网数据线接入内网交换机的汇聚端口,每台防火墙的同步端口接到防火墙同步数据交换机上,每台防火墙的管理口接到内网交换机普通端口上
3.分别进入每台防火墙管理界面,设置同步端口,完成安装设置.
单台kfw1200可以防护1g ,多台kfw1200做汇聚防护效果翻倍
Kfw1200防火墙功能指标:
管理方式: WEB方式,远程分布式管理
并发数:支持80万并发连接
核心技术:支持指纹流状态检测
防火墙模式:透明防火墙模式
功能模块:
1实时流量监控图形统计
2实时单ip流量监控图形统计
3基于指纹流状态检测的连接监控列表,可以列出所有当前通过防火墙连接的详细信息,强大的查询排序功能帮助网管分析发现网络故障和已知未知的攻击.
4被封ip列表,列出所有被防火墙规则禁止的ip详细信息
5.监控日志 提供每分钟的网络状态日志
6.数据包分析,可以抓取所有进出防火墙的数据包,或者定制规则抓取数据包,通过内置的数据包分析器,帮助网管深入网络数据内容掌握网络故障和已知未知的攻击方法,快速定制相应的规则
7.防火墙规则 可以设置针对端口ip协议的规则,也可以设置针对数据流连接状态的规则,通过规则组合设置,可以限制整形数据流,限制连接数,连接传输流量,防护已知和未知的网络攻击,
8.接收包流量限制,可以防护udp ,icmp,igmp 攻击,同时正常情况下保持这些协议数据的传输
9.漏洞攻击防护 可以通过分析数据包的内容,过滤针对网络程序的漏洞攻击,可以通过升级漏洞防护规则,或者自己定制漏洞特征码,来防护最新的漏洞攻击
10.屏蔽指定服务器 攻击流量过大可以屏蔽防火墙下面的服务器
防护syn 攻击能力:
两个1g数据做端口汇聚进入的情况下可以处理
64字节数据包每秒过滤110万个
128字节报文每秒处理 900Mbps流量
256 字节以上报文每秒处理1G流量
支持正常服务器数:
数量不限,可以支持到防火墙能处理的最大带宽
CC攻击防护:
通过指纹流状态检测核心,可以防护200万 cc肉鸡同时建立连接攻击,不影响正常服务器访问
防护攻击列表:
可以防护Ddos,Dos,, Syn Flood,cc,udp,icmp,igmp,ping, Trinoo, TFN,HTTP协议攻击, Hash-Based IP traceback,各种传奇游戏服务器攻击,通过对连接监控列表和数据包的分析,可以定制防火墙规则漏洞防护规则,来防护未知的攻击
傲盾kfw1500硬件防火墙,单台防护2G,集群防护16G ddos攻击 www.aodun.com.cn
1.随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现金,数字货币,网络保险等新兴业务的兴起,网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失实在令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。
国家计算机网络应急技术处理协调中心2004年共收到网络安全事件报告64686件,为2003年的5倍。其中对使用自动化程序与对服务器操作系统主动攻击占绝大多数。网络信息安全已经成为一个关系经济安全、国家安全、社会稳定、民族文化继承和发扬的重大问题。《数字化犯罪》的作者尼尔·巴累特高呼:互联网产生了一个“潘多拉”魔盒——计算机病毒、网络攻击、电子洗网络诈骗等涉及网络的传统型或新型的违法犯罪活动层出不穷,对任何一个国家的网络信息安全都构成极大威胁。
2.傲盾KFW——网络安全防护专家
作为国内最早的专业安全厂商之一,傲盾公司早在2000年就专注于抗拒绝服务式攻击的研究和防护。目前傲盾公司的KFW品牌已经形成了包括软硬件产品在内,根据应用领域和用户层次细分的完整抗拒绝服务式攻击产品线。傲盾中国的产品率先通过了公安部的检测认证,并已获得公安部的销售许可。到2004年底,傲盾在国内防拒绝服务式攻击市场的占有率已超过72%,在个人、企业、门户甚至电信级别的用户中都已有了广泛的应用。
7年历史的防火墙产品领先品牌,并具有完全知识版权。使用了目前最先进的第三代防火墙技术《DataStream Fingerprint Inspection》数据流指纹检测技术,与企业级防火墙Check Point和Cisco相同,能够检测网络协议中所有层的状态,有效阻止DoS、DDoS等各种攻击,保护您的服务器免受来自Internet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术,提供各种企业级功能,功能强大、齐全、价格低廉,是目前世界上性能价格比最高的网络防火墙产品。
3.傲盾解决方案
3.1当前网络现状分析
当前网络拓扑结构如图所示:
当前的网络拓扑结构如上图所示,.扩容后网络总带宽可扩展到4G,由城域网两台核心路由QuidwayNE80接入,每台接入机房的出口带宽为2G,分别接入两台QuidwayS8505核心交换机,针对目前贵单位的网络状况,可以提供傲盾防火墙2G+2G达到4GDDOS防护的集群解决方案,针对贵单位的网络现状,确保服务器尽量少或者避免遭受DDOS 攻击,我公司提供的傲盾防火墙产品可以提供以下两条可行性建议供参考。
3.2 解决方案一
设计方案一拓扑结构如图所示:
我们在上层路由QuidwayNE40E和核心交换机QuidwayS8505之间接入傲盾KFW1500防火墙防火墙以透明网桥模式接入现有网络。对于我们原有网络结构不进行任何调整,只须在上层路由QuidwayNE40E和核心交换机QuidwayS8505响应的端口设置汇聚,防火墙针对来自核心路由出口访问WEB服务器的所有数据进行监测和过滤。
Kfw1500集群简介:
1. 上层交换机或者路由的相应端口设置端口汇聚(Port Trunking),支持2端口4 端口 6端口 8端口聚合,下层交换机做相应的端口聚合 调试通过.
2. 上层过来的数据线分别接入防火墙的外网数据端口,从每台防火墙出来的内网数据线接入内网交换机的汇聚端口,每台防火墙的同步端口接到防火墙同步数据交换机上,每台防火墙的管理口接到内网交换机普通端口上
3. 分别进入每台防火墙管理界面,设置同步端口,完成安装设置.
4. 单台kfw1500可以防护2g ,多台kfw1500做汇聚防护效果翻倍
Kfw1500单台2G简介:
Kfw-1500防火墙单台2G拓扑图
1.上层交换机或者路由的相应端口设置2端口汇聚(Port Trunking) ,下层交换机做相应的端口聚合 调试通过.
2.上层过来的数据线分别接入防火墙的外网数据端口,从防火墙出来的内网数据线接入内网交换机的汇聚端口,防火墙的管理口接到内网交换机普通端口上.
单台Kfw1500防火墙功能指标:
管理方式: WEB方式,远程分布式管理
并发数:支持120万并发连接
核心技术:支持指纹流状态检测
防火墙模式:透明防火墙模式
功能模块:
1实时流量监控图形统计
2实时单ip流量监控图形统计
3基于指纹流状态检测的连接监控列表,可以列出所有当前通过防火墙连接的详细信息,强大的查询排序功能帮助网管分析发现网络故障和已知未知的攻击.
4被封ip列表,列出所有被防火墙规则禁止的ip详细信息
5.监控日志 提供每分钟的网络状态日志
6.数据包分析,可以抓取所有进出防火墙的数据包,或者定制规则抓取数据包,通过内置的数据包分析器,帮助网管深入网络数据内容掌握网络故障和已知未知的攻击方法,快速定制相应的规则
7.防火墙规则 可以设置针对端口ip协议的规则,也可以设置针对数据流连接状态的规则,通过规则组合设置,可以限制整形数据流,限制连接数,连接传输流量,防护已知和未知的网络攻击,
8.接收包流量限制,可以防护udp ,icmp,igmp 攻击,同时正常情况下保持这些协议数据的传输
9.漏洞攻击防护 可以通过分析数据包的内容,过滤针对网络程序的漏洞攻击,可以通过升级漏洞防护规则,或者自己定制漏洞特征码,来防护最新的漏洞攻击
10.屏蔽指定服务器 攻击流量过大可以屏蔽防火墙下面的服务器
防护syn 攻击能力:
两个1g数据做端口汇聚进入的情况下可以处理
64字节数据包每秒过滤220万个
128字节报文每秒处理 1.8Gbps流量
256 字节以上报文每秒处理2G流量
支持正常服务器数:
数量不限,可以支持到防火墙能处理的最大带宽
CC攻击防护:
通过指纹流状态检测核心,可以防护200万 cc肉鸡同时建立连接攻击,不影响正常服务器访问
防护攻击列表:
可以防护Ddos,Dos,, Syn Flood,cc,udp,icmp,igmp,ping, Trinoo, TFN,HTTP协议攻击, Hash-Based IP traceback,各种传奇游戏服务器攻击,通过对连接监控列表和数据包的分析,可以定制防火墙规则漏洞防护规则,来防护未知的攻击
3.3 解决方案二:
设计方案二拓扑结构如图所示:
单台Kfw1500防火墙功能指标:
管理方式: WEB方式,远程分布式管理
并发数:支持120万并发连接
核心技术:支持指纹流状态检测
防火墙模式:透明防火墙模式
功能模块:
1实时流量监控图形统计
2实时单ip流量监控图形统计
3基于指纹流状态检测的连接监控列表,可以列出所有当前通过防火墙连接的详细信息,强大的查询排序功能帮助网管分析发现网络故障和已知未知的攻击.
4被封ip列表,列出所有被防火墙规则禁止的ip详细信息
5.监控日志 提供每分钟的网络状态日志
6.数据包分析,可以抓取所有进出防火墙的数据包,或者定制规则抓取数据包,通过内置的数据包分析器,帮助网管深入网络数据内容掌握网络故障和已知未知的攻击方法,快速定制相应的规则
7.防火墙规则 可以设置针对端口ip协议的规则,也可以设置针对数据流连接状态的规则,通过规则组合设置,可以限制整形数据流,限制连接数,连接传输流量,防护已知和未知的网络攻击,
8.接收包流量限制,可以防护udp ,icmp,igmp 攻击,同时正常情况下保持这些协议数据的传输
9.漏洞攻击防护 可以通过分析数据包的内容,过滤针对网络程序的漏洞攻击,可以通过升级漏洞防护规则,或者自己定制漏洞特征码,来防护最新的漏洞攻击
10.屏蔽指定服务器 攻击流量过大可以屏蔽防火墙下面的服务器
防护syn 攻击能力:
两个1g数据做端口汇聚进入的情况下可以处理
64字节数据包每秒过滤220万个
128字节报文每秒处理 1.8Gbps流量
256 字节以上报文每秒处理2G流量
支持正常服务器数:
数量不限,可以支持到防火墙能处理的最大带宽
CC攻击防护:
通过指纹流状态检测核心,可以防护200万 cc肉鸡同时建立连接攻击,不影响正常服务器访问
防护攻击列表:
可以防护Ddos,Dos,, Syn Flood,cc,udp,icmp,igmp,ping, Trinoo, TFN,HTTP协议攻击, Hash-Based IP traceback,各种传奇游戏服务器攻击,通过对连接监控列表和数据包的分析,可以定制防火墙规则漏洞防护规则,来防护未知的攻击
3.3 解决方案二:
设计方案二拓扑结构如图所示:
在上层路由QuidwayNE40E和核心交换机QuidwayS8505之间接入两台傲盾KFW12000防火墙防火墙集群系统(KFW1200防火墙单台防护1G)。在上层路由QuidwayNE40E和核心交换机QuidwayS8505响应的端口设置汇聚,防火墙针对来自核心路由出口访问WEB服务器的所有数据进行监测和过滤。
Kfw1200集群2G简介
Kfw-1200防火墙多台集群拓扑图
Kfw1200集群简介:
1.上层交换机或者路由的相应端口设置端口汇聚(Port Trunking),支持2端口4 端口 6端口 8端口聚合,下层交换机做相应的端口聚合 调试通过.
2.上层过来的数据线分别接入防火墙的外网数据端口,从每台防火墙出来的内网数据线接入内网交换机的汇聚端口,每台防火墙的同步端口接到防火墙同步数据交换机上,每台防火墙的管理口接到内网交换机普通端口上
3.分别进入每台防火墙管理界面,设置同步端口,完成安装设置.
单台kfw1200可以防护1g ,多台kfw1200做汇聚防护效果翻倍
Kfw1200防火墙功能指标:
管理方式: WEB方式,远程分布式管理
并发数:支持80万并发连接
核心技术:支持指纹流状态检测
防火墙模式:透明防火墙模式
功能模块:
1实时流量监控图形统计
2实时单ip流量监控图形统计
3基于指纹流状态检测的连接监控列表,可以列出所有当前通过防火墙连接的详细信息,强大的查询排序功能帮助网管分析发现网络故障和已知未知的攻击.
4被封ip列表,列出所有被防火墙规则禁止的ip详细信息
5.监控日志 提供每分钟的网络状态日志
6.数据包分析,可以抓取所有进出防火墙的数据包,或者定制规则抓取数据包,通过内置的数据包分析器,帮助网管深入网络数据内容掌握网络故障和已知未知的攻击方法,快速定制相应的规则
7.防火墙规则 可以设置针对端口ip协议的规则,也可以设置针对数据流连接状态的规则,通过规则组合设置,可以限制整形数据流,限制连接数,连接传输流量,防护已知和未知的网络攻击,
8.接收包流量限制,可以防护udp ,icmp,igmp 攻击,同时正常情况下保持这些协议数据的传输
9.漏洞攻击防护 可以通过分析数据包的内容,过滤针对网络程序的漏洞攻击,可以通过升级漏洞防护规则,或者自己定制漏洞特征码,来防护最新的漏洞攻击
10.屏蔽指定服务器 攻击流量过大可以屏蔽防火墙下面的服务器
防护syn 攻击能力:
两个1g数据做端口汇聚进入的情况下可以处理
64字节数据包每秒过滤110万个
128字节报文每秒处理 900Mbps流量
256 字节以上报文每秒处理1G流量
支持正常服务器数:
数量不限,可以支持到防火墙能处理的最大带宽
CC攻击防护:
通过指纹流状态检测核心,可以防护200万 cc肉鸡同时建立连接攻击,不影响正常服务器访问
防护攻击列表:
可以防护Ddos,Dos,, Syn Flood,cc,udp,icmp,igmp,ping, Trinoo, TFN,HTTP协议攻击, Hash-Based IP traceback,各种传奇游戏服务器攻击,通过对连接监控列表和数据包的分析,可以定制防火墙规则漏洞防护规则,来防护未知的攻击
傲盾kfw1500硬件防火墙,单台防护2G,集群防护16G ddos攻击 www.aodun.com.cn
1.随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现金,数字货币,网络保险等新兴业务的兴起,网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失实在令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。
国家计算机网络应急技术处理协调中心2004年共收到网络安全事件报告64686件,为2003年的5倍。其中对使用自动化程序与对服务器操作系统主动攻击占绝大多数。网络信息安全已经成为一个关系经济安全、国家安全、社会稳定、民族文化继承和发扬的重大问题。《数字化犯罪》的作者尼尔·巴累特高呼:互联网产生了一个“潘多拉”魔盒——计算机病毒、网络攻击、电子洗网络诈骗等涉及网络的传统型或新型的违法犯罪活动层出不穷,对任何一个国家的网络信息安全都构成极大威胁。
2.傲盾KFW——网络安全防护专家
作为国内最早的专业安全厂商之一,傲盾公司早在2000年就专注于抗拒绝服务式攻击的研究和防护。目前傲盾公司的KFW品牌已经形成了包括软硬件产品在内,根据应用领域和用户层次细分的完整抗拒绝服务式攻击产品线。傲盾中国的产品率先通过了公安部的检测认证,并已获得公安部的销售许可。到2004年底,傲盾在国内防拒绝服务式攻击市场的占有率已超过72%,在个人、企业、门户甚至电信级别的用户中都已有了广泛的应用。
7年历史的防火墙产品领先品牌,并具有完全知识版权。使用了目前最先进的第三代防火墙技术《DataStream Fingerprint Inspection》数据流指纹检测技术,与企业级防火墙Check Point和Cisco相同,能够检测网络协议中所有层的状态,有效阻止DoS、DDoS等各种攻击,保护您的服务器免受来自Internet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术,提供各种企业级功能,功能强大、齐全、价格低廉,是目前世界上性能价格比最高的网络防火墙产品。
3.傲盾解决方案
3.1当前网络现状分析
当前网络拓扑结构如图所示:
当前的网络拓扑结构如上图所示,.扩容后网络总带宽可扩展到4G,由城域网两台核心路由QuidwayNE80接入,每台接入机房的出口带宽为2G,分别接入两台QuidwayS8505核心交换机,针对目前贵单位的网络状况,可以提供傲盾防火墙2G+2G达到4GDDOS防护的集群解决方案,针对贵单位的网络现状,确保服务器尽量少或者避免遭受DDOS 攻击,我公司提供的傲盾防火墙产品可以提供以下两条可行性建议供参考。
3.2 解决方案一
设计方案一拓扑结构如图所示:
我们在上层路由QuidwayNE40E和核心交换机QuidwayS8505之间接入傲盾KFW1500防火墙防火墙以透明网桥模式接入现有网络。对于我们原有网络结构不进行任何调整,只须在上层路由QuidwayNE40E和核心交换机QuidwayS8505响应的端口设置汇聚,防火墙针对来自核心路由出口访问WEB服务器的所有数据进行监测和过滤。
Kfw1500集群简介:
1. 上层交换机或者路由的相应端口设置端口汇聚(Port Trunking),支持2端口4 端口 6端口 8端口聚合,下层交换机做相应的端口聚合 调试通过.
2. 上层过来的数据线分别接入防火墙的外网数据端口,从每台防火墙出来的内网数据线接入内网交换机的汇聚端口,每台防火墙的同步端口接到防火墙同步数据交换机上,每台防火墙的管理口接到内网交换机普通端口上
3. 分别进入每台防火墙管理界面,设置同步端口,完成安装设置.
4. 单台kfw1500可以防护2g ,多台kfw1500做汇聚防护效果翻倍
Kfw1500单台2G简介:
Kfw-1500防火墙单台2G拓扑图
1.上层交换机或者路由的相应端口设置2端口汇聚(Port Trunking) ,下层交换机做相应的端口聚合 调试通过.
2.上层过来的数据线分别接入防火墙的外网数据端口,从防火墙出来的内网数据线接入内网交换机的汇聚端口,防火墙的管理口接到内网交换机普通端口上.
单台Kfw1500防火墙功能指标:
管理方式: WEB方式,远程分布式管理
并发数:支持120万并发连接
核心技术:支持指纹流状态检测
防火墙模式:透明防火墙模式
功能模块:
1实时流量监控图形统计
2实时单ip流量监控图形统计
3基于指纹流状态检测的连接监控列表,可以列出所有当前通过防火墙连接的详细信息,强大的查询排序功能帮助网管分析发现网络故障和已知未知的攻击.
4被封ip列表,列出所有被防火墙规则禁止的ip详细信息
5.监控日志 提供每分钟的网络状态日志
6.数据包分析,可以抓取所有进出防火墙的数据包,或者定制规则抓取数据包,通过内置的数据包分析器,帮助网管深入网络数据内容掌握网络故障和已知未知的攻击方法,快速定制相应的规则
7.防火墙规则 可以设置针对端口ip协议的规则,也可以设置针对数据流连接状态的规则,通过规则组合设置,可以限制整形数据流,限制连接数,连接传输流量,防护已知和未知的网络攻击,
8.接收包流量限制,可以防护udp ,icmp,igmp 攻击,同时正常情况下保持这些协议数据的传输
9.漏洞攻击防护 可以通过分析数据包的内容,过滤针对网络程序的漏洞攻击,可以通过升级漏洞防护规则,或者自己定制漏洞特征码,来防护最新的漏洞攻击
10.屏蔽指定服务器 攻击流量过大可以屏蔽防火墙下面的服务器
防护syn 攻击能力:
两个1g数据做端口汇聚进入的情况下可以处理
64字节数据包每秒过滤220万个
128字节报文每秒处理 1.8Gbps流量
256 字节以上报文每秒处理2G流量
支持正常服务器数:
数量不限,可以支持到防火墙能处理的最大带宽
CC攻击防护:
通过指纹流状态检测核心,可以防护200万 cc肉鸡同时建立连接攻击,不影响正常服务器访问
防护攻击列表:
可以防护Ddos,Dos,, Syn Flood,cc,udp,icmp,igmp,ping, Trinoo, TFN,HTTP协议攻击, Hash-Based IP traceback,各种传奇游戏服务器攻击,通过对连接监控列表和数据包的分析,可以定制防火墙规则漏洞防护规则,来防护未知的攻击
3.3 解决方案二:
设计方案二拓扑结构如图所示:
单台Kfw1500防火墙功能指标:
管理方式: WEB方式,远程分布式管理
并发数:支持120万并发连接
核心技术:支持指纹流状态检测
防火墙模式:透明防火墙模式
功能模块:
1实时流量监控图形统计
2实时单ip流量监控图形统计
3基于指纹流状态检测的连接监控列表,可以列出所有当前通过防火墙连接的详细信息,强大的查询排序功能帮助网管分析发现网络故障和已知未知的攻击.
4被封ip列表,列出所有被防火墙规则禁止的ip详细信息
5.监控日志 提供每分钟的网络状态日志
6.数据包分析,可以抓取所有进出防火墙的数据包,或者定制规则抓取数据包,通过内置的数据包分析器,帮助网管深入网络数据内容掌握网络故障和已知未知的攻击方法,快速定制相应的规则
7.防火墙规则 可以设置针对端口ip协议的规则,也可以设置针对数据流连接状态的规则,通过规则组合设置,可以限制整形数据流,限制连接数,连接传输流量,防护已知和未知的网络攻击,
8.接收包流量限制,可以防护udp ,icmp,igmp 攻击,同时正常情况下保持这些协议数据的传输
9.漏洞攻击防护 可以通过分析数据包的内容,过滤针对网络程序的漏洞攻击,可以通过升级漏洞防护规则,或者自己定制漏洞特征码,来防护最新的漏洞攻击
10.屏蔽指定服务器 攻击流量过大可以屏蔽防火墙下面的服务器
防护syn 攻击能力:
两个1g数据做端口汇聚进入的情况下可以处理
64字节数据包每秒过滤220万个
128字节报文每秒处理 1.8Gbps流量
256 字节以上报文每秒处理2G流量
支持正常服务器数:
数量不限,可以支持到防火墙能处理的最大带宽
CC攻击防护:
通过指纹流状态检测核心,可以防护200万 cc肉鸡同时建立连接攻击,不影响正常服务器访问
防护攻击列表:
可以防护Ddos,Dos,, Syn Flood,cc,udp,icmp,igmp,ping, Trinoo, TFN,HTTP协议攻击, Hash-Based IP traceback,各种传奇游戏服务器攻击,通过对连接监控列表和数据包的分析,可以定制防火墙规则漏洞防护规则,来防护未知的攻击
3.3 解决方案二:
设计方案二拓扑结构如图所示:
在上层路由QuidwayNE40E和核心交换机QuidwayS8505之间接入两台傲盾KFW12000防火墙防火墙集群系统(KFW1200防火墙单台防护1G)。在上层路由QuidwayNE40E和核心交换机QuidwayS8505响应的端口设置汇聚,防火墙针对来自核心路由出口访问WEB服务器的所有数据进行监测和过滤。
Kfw1200集群2G简介
Kfw-1200防火墙多台集群拓扑图
Kfw1200集群简介:
1.上层交换机或者路由的相应端口设置端口汇聚(Port Trunking),支持2端口4 端口 6端口 8端口聚合,下层交换机做相应的端口聚合 调试通过.
2.上层过来的数据线分别接入防火墙的外网数据端口,从每台防火墙出来的内网数据线接入内网交换机的汇聚端口,每台防火墙的同步端口接到防火墙同步数据交换机上,每台防火墙的管理口接到内网交换机普通端口上
3.分别进入每台防火墙管理界面,设置同步端口,完成安装设置.
单台kfw1200可以防护1g ,多台kfw1200做汇聚防护效果翻倍
Kfw1200防火墙功能指标:
管理方式: WEB方式,远程分布式管理
并发数:支持80万并发连接
核心技术:支持指纹流状态检测
防火墙模式:透明防火墙模式
功能模块:
1实时流量监控图形统计
2实时单ip流量监控图形统计
3基于指纹流状态检测的连接监控列表,可以列出所有当前通过防火墙连接的详细信息,强大的查询排序功能帮助网管分析发现网络故障和已知未知的攻击.
4被封ip列表,列出所有被防火墙规则禁止的ip详细信息
5.监控日志 提供每分钟的网络状态日志
6.数据包分析,可以抓取所有进出防火墙的数据包,或者定制规则抓取数据包,通过内置的数据包分析器,帮助网管深入网络数据内容掌握网络故障和已知未知的攻击方法,快速定制相应的规则
7.防火墙规则 可以设置针对端口ip协议的规则,也可以设置针对数据流连接状态的规则,通过规则组合设置,可以限制整形数据流,限制连接数,连接传输流量,防护已知和未知的网络攻击,
8.接收包流量限制,可以防护udp ,icmp,igmp 攻击,同时正常情况下保持这些协议数据的传输
9.漏洞攻击防护 可以通过分析数据包的内容,过滤针对网络程序的漏洞攻击,可以通过升级漏洞防护规则,或者自己定制漏洞特征码,来防护最新的漏洞攻击
10.屏蔽指定服务器 攻击流量过大可以屏蔽防火墙下面的服务器
防护syn 攻击能力:
两个1g数据做端口汇聚进入的情况下可以处理
64字节数据包每秒过滤110万个
128字节报文每秒处理 900Mbps流量
256 字节以上报文每秒处理1G流量
支持正常服务器数:
数量不限,可以支持到防火墙能处理的最大带宽
CC攻击防护:
通过指纹流状态检测核心,可以防护200万 cc肉鸡同时建立连接攻击,不影响正常服务器访问
防护攻击列表:
可以防护Ddos,Dos,, Syn Flood,cc,udp,icmp,igmp,ping, Trinoo, TFN,HTTP协议攻击, Hash-Based IP traceback,各种传奇游戏服务器攻击,通过对连接监控列表和数据包的分析,可以定制防火墙规则漏洞防护规则,来防护未知的攻击 |
|