天鹰抗DDoS防火墙(技术白皮书最新最新版).doc

天鹰抗DDoS防火墙 技术白皮书 Apollo 北京天鹰网安科技有限公司注　意： 本安装和使用说明中的内容是天鹰抗DDoS防火墙的安装和使用说明。本材料的相关权利归北京天鹰网安科技有限公司所有。安装和使用说明中的任何部分未经北京天鹰网安科技有限公司许可，不得转印、影印或复印。 ? 2010 北京天鹰网安科技有限公司 保留所有权力 天鹰抗DDoS防火墙 本资料将定期更新，如欲获取最新相关信息，请访问北京天鹰网安科技有限公司网站： ，您的意见和建议请发送至：support@ 北京天鹰网安科技有限公司 Skeagle Network Security Ltd. 目 录 1 概述 5 1.1 DDoS的形势及趋势 6 1.1.1 攻击影响 6 1.1.2 攻击分析 6 1.1.3 发展趋势 7 1.2 DDoS防护手段 7 1.1.4 普通防护措施 7 1.1.5 网络安全设备 8 1.3 DDoS防护的基本要求 9 2 天鹰抗DDoS防火墙 10 2.1 产品介绍 10 2.2 功能 12 2.2.1 防御已知的各种攻击手段 12 2.2.2 快速应对新的攻击手段 14 2.2.3 精细流量监控，及早发现攻击 14 2.2.4 灵活端口控制，安全和效率并举 14 2.2.5 防端口扫描，自动屏蔽黑客IP 15 2.2.6 黑白名单功能，敌友一清二楚 15 2.2.7 丰富的日志，强大审计分析能力 15 2.2.8 自带ARP防火墙，一石两鸟 16 2.3 特点 16 2.3.1傻瓜式安装，零配置使用 16 2.3.2 自动升级，与时俱进 16 2.3.3 量身定做，贴心服务 16 2.4 核心原理 17 2.4.1天鹰抗DDoS防火墙的核心架构 17 2.5 部署方式 18 2.5.1 串行部署方式 18 2.5.2 旁路部署方式 18 2.5.3 集群部署方式 19 2.6 产品的优势 20 3 运行环境和技术指标 21 3.1 运行环境 21 3.2 技术指标 21 4 总结 21 5 联系我们 22 【英文名解释】： Apollo：阿波罗太阳神【希腊神话】。太阳一出，邪恶尽散。 1 概述 随着互联网快速的发展和微软等操作系统频繁出现的重大安全漏洞事件发生，从国外到国内；从政府到企业；从运营商到个人服务器等等，频繁出现被DDoS攻击和被黑客入侵的新闻。一谈到互联网经营，大家马上就会想到怎样保护服务器的安全不受DDoS攻击和黑客入侵、篡改等。据初步估计近两年来被DDoS攻击和被入侵的损失，全球多达50亿美金，光是中国就损失72亿元人民币，这是一个十分庞大的数字。 根据全球互联网检测报告，常见的拒绝服务攻击（DoS/DDoS）手段主要有以下三种形式： （1） 利用TCP/IP协议的漏洞 利用TCP/IP协议软件不断尝试野蛮攻击。DoS攻击，对大规模DoS击还是无法提供有效的防护。 本文内容将包含如下部分： DDoS的形势及趋势； DDoS防护手段； DDoS防护的基本要求； 1.1 DDoS的形势及趋势 1.1.1 攻击影响 成功的DDoS攻击所带来的损失是巨大的。DDoS攻击之下的门户网站性能急剧下降，无法正常处理用户的正常访问请求，造成客户访问失败；服务质量协议（SLA）也会受到破坏，带来高额的服务赔偿。同时，公司的信誉也会蒙受损失，而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等，这些损失都是由于DDoS攻击造成的。 攻击分析 那么DDoS攻击究竟如何工作呢？通常而言，网络数据包利用TCP/IP协议在Internet传输，这些数据包本身是无害的，但是如果数据包异常过多，就会造成网络设备或者服务器过载；或者数据包利用了某些协议的缺陷，人为的不完整或畸形，就会造成网络设备或服务器服务正常处理，迅速消耗了系统资源，造成服务拒绝，这就是DDoS攻击的工作原理。DDoS攻击之所以难于防护，其关键之处就在于非法流量和合法流量相互混杂，防护过程中无法有效的检测到DDoS攻击，比如利用基于特征库模式匹配的IDS系统，就很难从合法包中区分出非法包。加之许多DDoS攻击都采用了伪造源地址IP的技术，从而成功的躲避了基于异常模式监控的工具的识别。 一般而言，DDoS攻击主要分为以下两种类型： 带宽型攻击——这类DDoS攻击通过发出海量数据包，造成设备负载过高，最终导致网络带宽或是设备资源耗尽。通常，被攻击的路由器、服务器和防火墙的处理资源都是有限的，攻击负载之下它们就无法处理正常的合法访问，导致服务拒绝。 应用型攻击——这类DDoS攻击利用了诸如TCP或是HTTP协议的某些特征，通过持续占用有限的资源，从而达到阻止目标设备无法处理处理正常访问请求的