傲盾：互联网上市将面临重大的网络攻击

　　以下为傲盾KFW4500 产品简介：

　　1.单台防御最大值

　　防火墙之所以要追求单台防御最大值,是为了提高其效率.防火墙单台处理方式是最为理想的模式,也是效率最高的。一台防火墙下处理数据上限越高,占用集群通道的资源就越小.傲盾研发中心提供的数据显示:当防火墙集群模式达到8G以上规模时, 2G产品比1G产品减少处理同步1/4的数据,4G产品比1G产品少同步处理2/3的数据. 造成这种现象的原因是防火墙在内存中获取同步信息,不需要经过同步交换机, 我们的测试还表明使用2G产品构建10G防火墙集群时整个防火墙集群效率比1G产品构建的防火墙效率增加30%. 综上所述,ddos防火墙单台最大防御上限的提高是我们一直不断追求的目标. 傲盾KFW4500防火墙单台防御4G,集群防御可搭建64G. 使用KFW4500构建的防火墙集群,比2G和1G型号构建的防火墙集群效率提升了很多,这种效率的提升随着集群规模的扩大而凸显.

　　2.负载情况

　　在负载情况的防御流量是对ddos防火墙的重要指标.傲盾2G产品KFW1500,当单台负载500台服务器时,防御攻击流量可以达到1.5G以上. 如果使用的是集群模式,单台处理能力也就随之增大. 金华电信采用傲盾4台KFW1500构建的8G防火墙集群,负载服务器700多台,可以防御7.5G的ddos流量攻击. 我们的测试表明, 使用4G构建的的防火墙集群比2G的防火墙集群能够多负载20%的服务器数量,比1G的多负载40%的服务器数量. ,这种效率的提升随着集群规模的扩大而凸显.

　　3.防火墙是否占用出口带宽

　　市场上一些品牌的ddos防火墙大多采用的是较为原始的TCP检测方法,当TCP虚假请求来临后,防火墙接管了TCP协议,并对所有的虚假TCP连接发送请求,来验证真伪.这样就存在一个问题.如果攻击过来1G DDOS,那这样的防火墙,就要占用出口带宽800-1G来进行校验,如果机房使用了共享带宽,上下行不成比例,就会造成出口拥堵,所有的用户机开始出现卡机现象,用户反映网络状态差. 傲盾防火墙是采取指纹流和状态模式检测技术进行数据对比,在第一次访问的时候,会有2秒的延迟,但是不会发送任何数据占用出口流量,当此连接通过验证后,以后将会默认通过,不占用校验运算. KFW4500防火墙比采用普通TCP包检测技术的防火墙提高效率30%,最重要的是不会占用出口流量,减少带宽使用成本.

　　4. 对于TCP_ACK的大包处理效率

　　很多的IDC机房,已经经由上层核心路由器做了流量限制,UDP已经在很多机房被设定了策略访问,一般是超过500M-1G的流量后就会被丢弃,所以攻击小组一般现在改为使用TCP_ACK的大包进行替换UDP攻击,检测TCP_ACK的大包是相当占用CPU运算的,以前解决UDP攻击,防火墙一般都是设置超过多少丢弃,或者根本拦截协议,但是TCP_ACK是不能使用此方法的. 我们的试验显示,傲盾KFW4500构建的8G防火墙集群,可以处理TCP_ACK 7.5G攻击流量, 32G 防火墙集群产品可以处理TCP_ACK 30G的攻击流量

　　5.CC代理攻击 漏洞攻击

　　CC攻击模式,是利多台代理服务器特定访问某一连接的端口内容,对于CC防御参数防火墙参考的指标是很简单的,就是最大限度的减少误封. 市场上其它品牌ddos防火墙,都是采用以连接数和特定IP访问数量进行限制,但这样的模式会造成大量误封 傲盾KFW4500防火墙采用最新的漏洞防护功能,解决了误封的难题. 傲盾漏洞防护功能通过设置发送CC包的内容进行标识过滤,最大程度上减少了误封. 如图一

上一页  [1] [2] [3] 下一页