文档介绍:聿XX电信网络系统腿DDOS攻击解决方案蒅袂肂腿袆薄袁艿芇肂蚀荿莄安徽中新软件有限公司螃荿2007-9-5葿螄芁DDOS概述蒁目前,DDOS攻击越来越频繁,攻击规模越来越大,成为威胁互联网最主要的攻击模式。成功的DDOS攻击所带来的损失是巨大的,攻击之下的门户网站性能急剧下降,无法处理用户访问请求,最终导致系统瘫痪。由此而带来高额的服务赔偿,公司信誉也会因此蒙受损失。蕿DDOS攻击可以简单的分为三类,即流量型攻击、连接型攻击和漏洞型攻击。流量型攻击依靠巨大的带宽压力来达到使目标系统拒绝服务的目的,源地址易于伪造,攻击者难以定位;连接型攻击利用网络中预先“种植”的大量的傀儡机,通过频繁访问目标系统来达到拒绝服务的目的;而漏洞型攻击则利用系统缺陷,发送针对性的攻击报文,使得目标系统瘫痪,最终拒绝服务。膅普通的网络系统对于这两种攻击完全素手无策,因此对于IDC/ISP来说,建立专用的DDOS攻击防护系统是必要的。羃膀关于中新金盾虿安徽中新软件有限公司创立于2002年,是专业的网络安全产品开发商。公司自成立起便致力于DDOS攻击防护产品的研发。次年,“中新金盾抗DDOS防火墙”正式推向市场,市场反应强烈。薆中新软件在国内抗拒绝服务技术产品方面一直处于领先地位,为全国各地的客户提供创新的、客户化的网络安全设备、服务和解决方案,保证客户长期稳定的收益,并以良好的经营业绩和售后服务受到客户推崇,产品覆盖率达到70%。莁中新软件目前已建立起一个强大的营销与服务网络,并先后在北京、上海、重庆等地建立分公司,使得信息沟通更及时,售后服务更贴心。罿蝿蚃产品介绍肃 目前流量型攻击愈演愈烈,攻击者频繁的利用海量报文来对IDC/ISP实行打击。中新金盾2000+DDOS防火墙,为本公司针对此种趋势而推出的高性能产品。其采用双线路接入,具有双倍于单路防火墙的带宽上限优势,可有效解决各种DDOS攻击,确保您的投资收益。螈螈性能指标肄薁 中新金盾2000+DDOS防火墙的性能指标,列表如下:<40us蒃最大连接数膄100万膀并发连接数芈10万袄蚂接口描述衿莈 网络接口:四个千兆光口/电口,一个心跳口,一个管理口芅外设接口:一个标准串口莄管理接口:Console+Web蚈莈接入步骤蚆螂 中新金盾2000+DDOS防火墙的集群模式接入,如下图所示:蚁蒇螃基本接入步骤为:在上下层路由器/交换机上,需要将相应端口设为等价路由或链路聚合模式(可为PortTrunking,LACP或PAgP),保证流量平均分配到集群内的各个防火墙上;将上层路由器/交换机的引出线接入防火墙的入口,将下层路由器/交换机的引出线接入防火墙的出口;将防火墙的心跳口接入心跳交换机,将防火墙的管理口连入管理终端。中新金盾解决方案 针对XX电信的网络接入环境,我们设计了基于中新金盾的DDOS防御系统,拓扑结构如下图所示: 原网络环境为16Gbps接入,因此我们设计在Cisco7609和Cisco3