金盾防火墙产品简介.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
e) 端口防护 本防火墙建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,提供不同 的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的 DOS/DDOS攻击保护。
防火墙功能描述
防护模式:
防火墙防护状态目前主要分为种,分别为SYN保护模式,UDP保 护模式,ICMP保护模式,IGMP保护模式,碎片保护模式。此外需 手动设置的模式还包括忽略模式,禁止模式,WebCC保护模式, GameCC保护模式及高级UDP保护模式: a) SYN保护模式
c) 专业的连接跟踪机制
金盾抗拒绝服务系列产品,内部实现了完整的TCP/IP协议栈,具 有强大的连接跟踪能力。每个进出的连接,防火墙都会根据其源 地址进行分类,并显示给用户,方便用户对受保护主机状态的监 控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP协 议本身的不足,使您的服务器在攻击中游刃有余。
b) 协议分析 本防火墙采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防 护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。
c) 主机识别 本防火墙可自动识别其保护的各个主机及其地址。某些主机受到攻击不会影响其它 主机的正常服务。
d) 连接跟踪 本防火墙针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针 对TCP协议的各种攻击。
一般防火墙的作用
❖包过滤 ❖包的透明转发 ❖阻挡外部攻击 ❖记录攻击
防火墙的缺陷与不足
❖ 防火墙可以阻断攻击,但不能消灭攻击源。 ❖ 防火墙不能抵抗最新的未设置策略的攻击漏洞 ❖ .防火墙的并发连接数限制容易导致拥塞或者溢出 ❖ 防火墙对服务器合法开放的端口的攻击大多无法
阻止
❖ 防火墙对待内部主动发起连接的攻击一般无法阻 止
❖ 防火墙本身也会出现问题和受到攻击 ❖ 防火墙不处理病毒
金盾DDOS防火墙产品概述:
金盾抗DDOS防火墙主要是防御DOS/DDOS 攻击,连接性攻击及一些常见的 游戏和其他 性质的攻击。为您的网站、信息平台、互动娱 乐等基于Internet的网络服务提供完善的保护, 使其免受恶意的攻击、破坏。
金盾防火墙பைடு நூலகம்术优势及功能:
金盾防火墙产品简介
中新软件有限公司(安徽)总公司
DOS/DDOS 简介
❖拒绝服务(DOS)攻击:就是消耗目标主 机或者网络的资源,从而干扰或瘫痪其为 合法用户提供服务。
❖分布式拒绝服务(DDOS)攻击:是借助于 客户/服务器技术,将多个计算机联合起来 作为攻击平台,对一个或多个目标发动 DDOS攻击
d) 简洁丰富的管理
金盾抗拒绝服务系列产品具有丰富的设备管理功能,基于简洁的 WEB的管理方式,支持本地或远程的升级。同时,丰富的日志和 审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行 实时监测,还能对攻击的历史日志进行方便的查询和统计分析, 便于对攻击事件进行有效的跟踪和追查。
e) 广泛的部署能力
f) 优质的售后服务
您购买本产品后,将终生享有免费升级服务。我们有专门的技术 人员为您进行定期更新,使您的网络始终保持在最安全的状态, 免除您的后顾之忧。
防护原理
a) 攻击检测 本防火墙利用了多种技术手段对DOS/DDOS攻击进行有效的检测,在不同的流量 触发不同的保护机制,在提高效率的同时确保准确度;
金盾抗DDOS防火墙,相比其它DOS/DDOS产品,具有以下优势: a) DOS/DDOS攻击检测及防护
金盾抗拒绝服务系列产品,应用了自主研发的抗拒绝服务攻击算法,对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各种常见的攻击行 为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断, 保护服务主机免于攻击所造成的损失。内建的WEB保护模式及游戏保护模式, 彻底解决针对此两种应用的DOS攻击方式。 b) 通用方便的报文规则过滤 金盾抗拒绝服务系列产品,除了提供专业的DOS/DDOS攻击检测及防护外, 还提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志 位,关键字等,极大的提高了通用性及防护力度。同时,内置了若干预定义 规则,涉及局域网防护、漏洞检测等多项功能,易于使用。
针对不同的客户,抗拒绝服务所面临的网络环境也不同,企业网、 IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的 部署带来了不同的挑战。金盾抗DDOS防火墙具备了多种环境下 的部署能力。(产品分为软和硬,软件主要运行Windows 系统下的单台服务器上,支持单/双网卡。硬件支持多网段防护, 跨路由,跨网段,跨Vlan等模式)
此模式由防火墙自动设置,用于防护SYN Flood攻击,当每秒SYN 报文的数量超过设置值时即满足触发条件。此模式下防火墙将应用 延时应答模式,
此模式在攻击量小于设置值后一段时间后即自动释放;
b) UDP保护模式
此模式由防火墙自动设置,用于防护UDP Flood攻击,当每秒UDP报文的 数量超过设置值时即满足触发条件。此模式下防火墙将禁止所有的UDP通 信,保护主机不受该攻击的影响。此模式在攻击量小于设置值后一段时间后 即自动释放;
❖资源耗尽型:指攻击者利用资源配置不当 或服务器处理缺陷等消耗目标服务器的关 键资源(CPU,内存等)从而导致无法 提供正常服务。
DOS/DDOS的区别
❖DOS攻击侧重于通过对主机特定漏洞的 攻击从而导致网络札失效,系统崩溃,主 机死机而无法提供正常的网络服务功能, 进而造成拒绝服务
❖DDOS攻击侧重于通过很多僵尸主机 (被攻击者入侵过或间接利用的主机)向 受害者主机发送大量看似合法的网络包, 从而造成阻塞或服务器资源耗尽而导致拒 绝服务。
常见的DOS攻击类型
❖带宽攻击:指以极大的通信量冲击网络, 使得所有可用网络资源被消耗殆尽,导致 合法的用户请求而无法通过。
❖连通性攻击:指用大量的连接请求冲击计 算机,使得所有可用的操作系统资源都被 消耗殆尽,最终计算机无法再处理合法用 户的请求。
常见的DDOS攻击类型
❖带宽耗尽型:主要是堵塞目标网络的出口, 使合法网络数据包被虚假的攻击包淹没却 无法到达主机,从而导致带宽消耗。
防火墙功能描述
防护模式:
防火墙防护状态目前主要分为种,分别为SYN保护模式,UDP保 护模式,ICMP保护模式,IGMP保护模式,碎片保护模式。此外需 手动设置的模式还包括忽略模式,禁止模式,WebCC保护模式, GameCC保护模式及高级UDP保护模式: a) SYN保护模式
c) 专业的连接跟踪机制
金盾抗拒绝服务系列产品,内部实现了完整的TCP/IP协议栈,具 有强大的连接跟踪能力。每个进出的连接,防火墙都会根据其源 地址进行分类,并显示给用户,方便用户对受保护主机状态的监 控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP协 议本身的不足,使您的服务器在攻击中游刃有余。
b) 协议分析 本防火墙采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防 护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。
c) 主机识别 本防火墙可自动识别其保护的各个主机及其地址。某些主机受到攻击不会影响其它 主机的正常服务。
d) 连接跟踪 本防火墙针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针 对TCP协议的各种攻击。
一般防火墙的作用
❖包过滤 ❖包的透明转发 ❖阻挡外部攻击 ❖记录攻击
防火墙的缺陷与不足
❖ 防火墙可以阻断攻击,但不能消灭攻击源。 ❖ 防火墙不能抵抗最新的未设置策略的攻击漏洞 ❖ .防火墙的并发连接数限制容易导致拥塞或者溢出 ❖ 防火墙对服务器合法开放的端口的攻击大多无法
阻止
❖ 防火墙对待内部主动发起连接的攻击一般无法阻 止
❖ 防火墙本身也会出现问题和受到攻击 ❖ 防火墙不处理病毒
金盾DDOS防火墙产品概述:
金盾抗DDOS防火墙主要是防御DOS/DDOS 攻击,连接性攻击及一些常见的 游戏和其他 性质的攻击。为您的网站、信息平台、互动娱 乐等基于Internet的网络服务提供完善的保护, 使其免受恶意的攻击、破坏。
金盾防火墙பைடு நூலகம்术优势及功能:
金盾防火墙产品简介
中新软件有限公司(安徽)总公司
DOS/DDOS 简介
❖拒绝服务(DOS)攻击:就是消耗目标主 机或者网络的资源,从而干扰或瘫痪其为 合法用户提供服务。
❖分布式拒绝服务(DDOS)攻击:是借助于 客户/服务器技术,将多个计算机联合起来 作为攻击平台,对一个或多个目标发动 DDOS攻击
d) 简洁丰富的管理
金盾抗拒绝服务系列产品具有丰富的设备管理功能,基于简洁的 WEB的管理方式,支持本地或远程的升级。同时,丰富的日志和 审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行 实时监测,还能对攻击的历史日志进行方便的查询和统计分析, 便于对攻击事件进行有效的跟踪和追查。
e) 广泛的部署能力
f) 优质的售后服务
您购买本产品后,将终生享有免费升级服务。我们有专门的技术 人员为您进行定期更新,使您的网络始终保持在最安全的状态, 免除您的后顾之忧。
防护原理
a) 攻击检测 本防火墙利用了多种技术手段对DOS/DDOS攻击进行有效的检测,在不同的流量 触发不同的保护机制,在提高效率的同时确保准确度;
金盾抗DDOS防火墙,相比其它DOS/DDOS产品,具有以下优势: a) DOS/DDOS攻击检测及防护
金盾抗拒绝服务系列产品,应用了自主研发的抗拒绝服务攻击算法,对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各种常见的攻击行 为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断, 保护服务主机免于攻击所造成的损失。内建的WEB保护模式及游戏保护模式, 彻底解决针对此两种应用的DOS攻击方式。 b) 通用方便的报文规则过滤 金盾抗拒绝服务系列产品,除了提供专业的DOS/DDOS攻击检测及防护外, 还提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志 位,关键字等,极大的提高了通用性及防护力度。同时,内置了若干预定义 规则,涉及局域网防护、漏洞检测等多项功能,易于使用。
针对不同的客户,抗拒绝服务所面临的网络环境也不同,企业网、 IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的 部署带来了不同的挑战。金盾抗DDOS防火墙具备了多种环境下 的部署能力。(产品分为软和硬,软件主要运行Windows 系统下的单台服务器上,支持单/双网卡。硬件支持多网段防护, 跨路由,跨网段,跨Vlan等模式)
此模式由防火墙自动设置,用于防护SYN Flood攻击,当每秒SYN 报文的数量超过设置值时即满足触发条件。此模式下防火墙将应用 延时应答模式,
此模式在攻击量小于设置值后一段时间后即自动释放;
b) UDP保护模式
此模式由防火墙自动设置,用于防护UDP Flood攻击,当每秒UDP报文的 数量超过设置值时即满足触发条件。此模式下防火墙将禁止所有的UDP通 信,保护主机不受该攻击的影响。此模式在攻击量小于设置值后一段时间后 即自动释放;
❖资源耗尽型:指攻击者利用资源配置不当 或服务器处理缺陷等消耗目标服务器的关 键资源(CPU,内存等)从而导致无法 提供正常服务。
DOS/DDOS的区别
❖DOS攻击侧重于通过对主机特定漏洞的 攻击从而导致网络札失效,系统崩溃,主 机死机而无法提供正常的网络服务功能, 进而造成拒绝服务
❖DDOS攻击侧重于通过很多僵尸主机 (被攻击者入侵过或间接利用的主机)向 受害者主机发送大量看似合法的网络包, 从而造成阻塞或服务器资源耗尽而导致拒 绝服务。
常见的DOS攻击类型
❖带宽攻击:指以极大的通信量冲击网络, 使得所有可用网络资源被消耗殆尽,导致 合法的用户请求而无法通过。
❖连通性攻击:指用大量的连接请求冲击计 算机,使得所有可用的操作系统资源都被 消耗殆尽,最终计算机无法再处理合法用 户的请求。
常见的DDOS攻击类型
❖带宽耗尽型:主要是堵塞目标网络的出口, 使合法网络数据包被虚假的攻击包淹没却 无法到达主机,从而导致带宽消耗。