Anti-DDoS 华为企业网络防火墙介绍

产品概述：
分布式拒绝服务（DDoS——Distributed Denial of Service）攻击随着IT及网络的发展演进至今，早已脱离了早期纯粹黑客行为的范畴，进而形成了完整的黑色产业链，其危害更是远超以往。

DDoS攻击形势愈加严峻
当前DDoS攻击防御形势更加严峻，单次攻击流量超过500G的案例已经发生，攻击数量较2007难增加20倍，全球僵尸主机规模已经超过3000万台……随处可以获得的攻击工具，庞大的僵尸网络群体，发动一次DDoS攻击不再需要任何黑客技术门槛，只需要3步（下载攻击工具、购买僵尸主机，发动攻击）即可完成一次攻击。

DDoS攻击由流量型攻击转向应用型和移动型攻击
过去DDoS攻击以Flood型攻击为主，更多的针对运营商的网络和基础架构；而当前的DDoS攻击越来越多的是针对具体应用和业务，如：针对某个移动APP应用、企业门户应用、在线购物、在线视频、在线游戏、DNS、Email等，攻击的目标更加广泛，单次攻击流量小成本低，移动型智能终端攻击传统防御方式影响正常业务、攻击行为更为复杂和仿真，造成DDoS攻击检测和防御更加困难。

业务中断影响企业正常运营
业务系统频遭DDoS攻击将企业推向两难境地，严重的影响着企业业务的正常运营。一方面，业务中断造成企业的形象受损，客户流失，收益降低等，尤其是对电商、网游、门户类小型互联网企业；另一方面，企业若自己建设DDoS防护系统，会给这些“小本经营”企业带来巨大投资和维护压力，严重的影响着企业业务的正常运营。

基于多年来对客户需求的深刻理解和在安全方面的专业研究，企业网络防火墙系列产品是面向运营商、大型企业、数据中心和大型ICP服务商（门户网站、游戏服务商、在线视频、DNS服务商、CDN服务等）等用户的专业DDoS防护产品。

华为AntiDDoS8000企业网络防火墙系列产品运用“大数据”分析技术，从60多个维度对网络流量进行抽象建模和信誉体系建设，相比业界传统防护机制，可提供更精准更全面的DDoS攻击防护。

此外，面对云服务提供商DDoS攻击的严峻形势和客户安全即服务诉求，华为的AntiDDoS8000提供客户化的管理、差异化的防护策略和自助报表功能，助力云服务提供商运营业务开展。

基于业务的防护策略
本方案能够针对防护对象的业务流量进行持续的周期性的学习和分析，勾勒出业务流量正常曲线，针对不同的业务流量类型、同一业务不同时段，采取不同的防御防护类型和防护策略，实现精细化防护。

精准的异常流量清洗
华为AntiDDoS8000企业网络防火墙采用大数据分析技术，从60多种维度对流量进行模型学习，一旦某个维度出现流量异常立即启动防护。防护采用七层过滤、行为分析、会话监控等多种技术手段，能精确防护各种Flood类攻击流量、web应用类攻击流量、DNS攻击流量、SSL DoS/DDoS类攻击流量和协议栈漏洞类攻击流量，保护应用服务器安全。

DNS流量智能Cache
华为Anti-DDoS解决方案，不但能够精确防护针对DNS服务器的各种漏洞攻击、应用攻击、和Flood类攻击，还可提供DNS Cache功能，缓解DNS服务器大流量下的性能压力。

流行僵木蠕防护
黑客通过木马蠕虫感染网络中的大量主机，分层控制组成僵尸网络，以便其发动各种攻击行为，因此可谓僵尸网络是黑客发起DDoS攻击的温床。华为AntiDDoS8000系列能够支持全球最流行200+种僵尸工具/木马/蠕虫流量识别与阻断，从而达到摧毁僵尸网络的目的。

完善的IPv4-v6双栈防护
2011年2月，IANA宣告IPv4地址分配告罄，企业面临无新的v4地址使用局面，纷纷将IPv6网络建设纳入网络规划建设议程。华为Anti-DDoS解决方案独有的IPv4-v6双栈合一技术，能够同时防御IPv6，IPv4组网内的DDoS攻击，满足双栈DDoS防御需求，帮助用户无忧过渡到下一代网络。

灵活的组网部署方式
AntiDDoS8000企业网络防火墙系列作为对已有网络的保护措施，必须能够适应客户多种不同的网络环境，并满足客户不同的业务等级要求。
正是基于此，华为网络防火墙系列为客户提供了直路和旁路等多种网络部署方式，客户可以根据业务需要和网络结构灵活选择，具体包括如下方式：
直路接入模式：将清洗检测模块串接在客户需要保护的网络中，直接对客户流量进行检测和清洗。华为基于高性能多核硬件平台，在高效的保证检测和清洗的准确性的同时，也将处理时延做到最小。
旁路引流模式：将清洗模块部署在客户网络旁路上，对客户流量进行旁路检测，一旦发现DDOS攻击流量，清洗检测中心可以根据客户在管理中心上制定的检测清洗策略执行相应的动作。

企业IDC安全安全应用场景
将华为的Anti-DDoS解决方案部署在IDC出口处，能够帮助客户解决一下攻击防护：
防御针对DNS服务器的各类攻击，如：DNS协议栈漏洞攻击、DNS反射攻击、DNS Flood攻击、DNS CacheMiss攻击等，同时能够提供DNS Cache功能，缓解大流量DNS服务器压力。
防护针对web服务器类攻击，如：SYN Flood攻击、http Flood攻击、CC攻击、慢速连接类攻击等。
防护针对网游类攻击，如：UDP Flood攻击、SYN Food、TCP类攻击等。
防护针对https服务器的SSL DoS/DDoS类攻击等。
支撑IDC将DDoS防护作为安全业务做运营，可对客户提供资助策略配置和自助报表功能。

上一个 ： 3C10KS 在线式ups电源 下一个 ： Pakton 电子围栏报警系统