热点科技

标题: 安易防火墙网吧防御方案介绍 [打印本页]

作者: sdve    时间: 2009-11-27 10:12
标题: 安易防火墙网吧防御方案介绍
安易防火墙网吧防御方案介绍
DDoS 攻击强大的破坏力以及对其防御的困难性,使得DDoS 攻击始终对网络安全造成了巨大的威胁,也使得它引起了人们的极大关注。网吧也是深受DDoS 攻击困扰的主要行业之一。大部分的DDoS 攻击都会造成严重的后果,客户的服务器不再可用,WEB 页面无法连接,网络游戏客户端无法登陆等等。有些时候甚至会殃及池鱼,造成整个IDC 网络甚至整个运营商机房的瘫痪。由于网吧有着异于普通IDC的网络环境,针对网吧的抗拒绝系统也无法照搬普通IDC的防护方案,必须根据具体情况设计新的防护架构。
一般的抗拒绝服务系统采用透明模式接入,对DoS/DDoS攻击进行检测、分析和阻断。部署拓扑图如下图一所示。
[/url]
从图中我们可以看出,一般的防御系统即是以网桥模式来运行的,不需要对现有网吧拓扑结构作任何变动,但是由于网吧环境的特性,带宽比较小,传统的防御系统当遇到大流量的DDoS攻击的时候,尽管防火墙的处理负载还比较轻,但网络的流量不可避免会有相应的增长,防火墙接入的带宽就耗尽了,网络很快就会被堵死,最后整个网吧还是会被攻击瘫痪。
安易防火墙在分析了以上结构在网吧环境的局限后,创新的引入了类似于流量牵引的攻击防御策略(图二),在用户的出口路由处首先将流量通过加密通道传送到安易防火墙的抗DDoS设备,由抗DDoS设备将数据包转发到运营商网络上;类似地,进入的流量在经过抗DDoS设备的过滤后,才通过上述的加密通道到达用户的出口路由,流量不会占用网吧出口带宽。
此外,抗DDoS设备的防护效率也对防护效果有着巨大的影响,如何识别出非法的连接,是防范DDOS 攻击中的关键问题。而安易防火墙抗DDOS 设备利用高效的协议栈和智能检测算法,在新发起连接到达被保护主机前,就可以区分出非法的连接,而避免非法连接对被保护主机的资源造成任何影响。
安易防火墙ES 系列抗DDoS 设备结合数据挖掘技术和深度的状态检测技术,通过对连接过程和流量进行细粒度的监测,可以准确而高效的实现对恶意流量的动态过滤,实现防范大流量的基于各种协议各种DDOS 攻击,包括SYN Flood 攻击、ACK 攻击、ICMP、UDP Flood 攻击和CC 攻击等,有效保证网络的稳定运行。
图二 安易防火墙提出的网吧防攻击方案
  [url=http://blog.photo.sina.com.cn/showpic.html#url=http://static12.photo.sina.com.cn/orignal/599767524539e47e9166b]
公司的网址:www.ezsafe.cn
小姐:0668-2187811
QQ:1020776006




欢迎光临 热点科技 (http://itheat.com/activity/) Powered by Discuz! X3.2