【IT168 资讯】在中国互联网高速发展的今天,ddos攻击流量越来越大,危害程度越来约严重,据有关部门不完全统计,今年上半年大型流量攻击引发的城市网瘫痪400多次,全国域名服务器大面积瘫痪超过了15次,伴随着DDOS攻击软件的简单化,多样化,对ddos防火墙的核心效率和应变功能上的要去也越来越高.
应对ddos新的攻击特点,北京傲盾公司推出KFW1500防火墙单台防护2G流量攻击,在不到三个月的时候 傲盾公司重新打造行业领先的重量级产品 单台防御4G的高端产品,
单台4G产品到底能解决什么问题?
从去年的1G产品推出后,傲盾公司开发出了集群功能,将1G产品集群连接后,可以最大防御8G攻击流量,现在的傲盾最高端产品 4G产品,将集群防御规模达到了32G,这样就伴随着各个防御超大型攻击有了新型的解决方法,对于防火墙而言,一个防火墙的好与坏就在于是否能解决用户的实际问题,为什么IDC喜欢选用傲盾,由于傲盾产品中的漏洞防护体系可以发现解决
任何新型攻击,而且系统级防火墙而言,占用最少的CPU将是考验防火墙效率的准则.
考验防火墙的几个硬性指标
• 防火墙单台防御最大值
• 负载500台机器下最大防御值
• 防火墙是否占用出口带宽
• 对于TCP_ACK的大包处理效率
• CC代理攻击 漏洞攻击
• 未知攻击的快速处理方式
单台防御最大值
·为什么防火墙要追求单台防御的最大值?
防火墙单台处理方式是最为理想的模式,也是效率最高的模式,一台防火墙下处理上限越高,占用集群通道的资源就越小,防火墙内的内存可以支持2G就比1G的产品少了1G的同步交换,在架设大型集群模式6G以上时,2G产品比1G产品少处理同步2/3,多数数据包在内存中获取同步信息,不需要经过同步交换机,如果使用1G产品超过10G时比2G产品降低30%的效率 ,所以防火墙解决单台最大上限值是防火墙算法里面开发难度最大的.
·傲盾4G产品推出后可以真正支持32G集群防御
负载500台机器下最大值
·负载500台机器下单台的处理能力
在这一节中,是最能测算出防火墙的实际运算能力,由于防火墙的特殊安装环境,所以必须经受负载考验,傲盾产品单台负载500台下,防御攻击和总流量还可以达到1.5G,如果使用的是集群模式,单台处理能力也就增大了最大防御吞吐量,金华电信目前采用的8G防火墙下面服务器700多台的情况下,傲盾可以防御7.5G的攻击,每台机器的负载基本上为200多台左右.
防火墙是否占用出口带宽
·这个是防火墙被用户不曾提到的问题
一些防火墙采用的是最为原始的检测方法,当TCP虚假请求来临后,防火墙接管了TCP协议,并对所有的虚假TCP连接发送请求,来验证真伪,这就有一个问题出现,如果攻击过来1G DDOS,那这样的防火墙,就要占用出口带宽800-1G来进行校验,如果机房使用了共享带宽,上下行不成比例,就会造成出口拥堵,所有的用户机开始出现卡机现象,用户反映网络状态差.
傲盾防火墙是采取指纹检测技术进行数据对比,在第一次访问的时候,会有2秒的延迟,但是不会发送任何数据占用出口,当此连接通过验证后,以后将会默认通过,不占用校验运算,此技术称为状态连接模式
对于TCP_ACK的大包处理效率
伴随着很多的IDC机房,已经经由上层核心路由器做了流量限制,UDP已经在很多机房被设定了策略访问,一般是超过500M-1G的流量后就会被丢弃,所以攻击小组一般现在改为使用TCP_ACK的大包进行替换UDP攻击,检测TCP_ACK的大包是相当占用CPU运算的,以前解决UDP攻击,防火墙一般都是设置超过多少丢弃,或者根本拦截协议,但是TCP_ACK是不能使用此方法的,所以考验防火墙的另外一个要点,就是TCP_ACK的防御效率, 傲盾防火墙8G集群,可以处理TCP_ACK 7.5G攻击流量 32G 产品可以处理TCP_ACK 30G的攻击流量
CC代理攻击 漏洞攻击
·CC攻击模式,是采用了多台代理进行特定访问某一连接的端口内容,对于CC防御防火墙参考的指标是很简单的,就是最大限度的减少误封. 在现在多数防火墙的设置规则中,都是以连接数和特定IP访问数量来制作访问规则,但这样的模式会造成大量误封
·傲盾防火墙最新的漏洞防护功能,解决了这一难题,我们根据设置发送CC包的内容进行标识过滤,最大程度上减少了误封.
对未知攻击的快速处理方式
·傲盾防火墙中对于未知攻击全部可以实时查询到攻击的内容 看后面图中的漏洞防护
傲盾防火墙管理界面
 |
傲盾防火墙CC设置界面
傲盾防火墙漏洞防护设置界面
 |
傲盾防火墙数据包分析器
 |
傲盾公司的技术服务
·2007年6月1日傲盾公司正式成立北京24小时报警中心,对于销售的防火墙,傲盾全部进行24小时监控维护,任何一个用户,只要打电话,告诉IP,我们就会迅速在5分钟内解决攻击问题,大大节省了IDC公司或者电信的售后维护成本.
