设为首页   锐捷官网
用其他帐号登录:
查看: 2637|回复: 5

[产品解决方案] EG350六脉神剑篇:防火墙固件之高性能防攻击

[复制链接]

9

主题

34

帖子

123

积分

初级会员

Rank: 2

积分
123
发表于 2015-4-8 14:15:15 | 显示全部楼层 |阅读模式
本帖 * 后由 chenzh 于 2015-4-8 14:15 编辑


EG350六脉神剑之中冲剑: 高性能防攻击。
分布式拒绝服务(DDoS,DistributedDenial of Service)攻击作为一种“古老”又非常常见的攻击手段,有易于发动、难以防范、破坏力强、追溯困难等特点,至今依然是网络中的主要威胁之一,给企业造成重大损失。
面对DDoS攻击,没有取巧之道,必须以堂堂之阵,正面迎击。
EG350的防攻击功能,如同中冲剑一般,大开大阖,气势雄迈,是企业抵御DDoS攻击的中坚。下面我们就来看看EG350的防攻击有哪些激动人心的特性吧。

防护精准严密
防攻击采用多层过滤的架构,实现对恶意流量的精确清洗,同时保障正常流量不受影响,提供等同于流量清洗设备的效果。
n  协议类攻击防护
协议类攻击主要利用目标设备上协议栈实现的漏洞,通过发送特定的流量或特定报文(畸形报文),使目标设备发生异常以达到拒绝服务的目的。协议类攻击防护,可以防御LAND、Smurf、Fraggle、TearDrop、WinNuke、异常TCP标记、ICMP重定向攻击、ICMP不可达攻击、超大ICMP报文攻击等常见攻击。
n  伪造IP识别
为了避免被追溯到攻击源,黑客经常使用伪造源IP的攻击报文,尤其是那些无须连接状态的传输层攻击,比如UDP Flood、SYN Flood。对于伪造IP和真实IP的流量需要区分处理,才能在不影响正常流量的情况下,完成对攻击流量的剥离。比如SYN Flood攻击下,如果不区分源IP的真实性,将合法的SYN报文也当做攻击流量进行限速,可能导致合法的连接请求无法响应,实际上服务器也无法正常对外提供服务了。所以伪造IP识别是DDoS防护的基础。
n  全局防护
防火墙为网络提供防御功能时,自身也容易成为DDoS攻击的对象。如果防火墙自身被DDoS攻击攻陷,那么反而会导致网络整体瘫痪,造成更严重的影响。EG350的防攻击功能中的全局防护,通过syn cookie机制及会话限速,保护防火墙自身资源和服务能力,可以提升设备抗攻击能力,避免防火墙成为网络中的薄弱点。
n  网络防攻击域
将具有相同业务模型或同样网络位置的目标主机划入同一个防攻击域,对各防攻击域部署独立的防范策略,实现流量分析,防范和统计,可以达到管理精细化与管理简约化的一致。
防攻击域内的防护,支持黑白名单,通过动态策略完成对各类Flood攻击、扫描攻击的防御,同时还可以基于主机,实现带宽限速、新建会话速率限制等智能流量控制,满足网络管理的各种需求。EG350的防攻击流程可参考下图:
f1.PNG


防攻击性能强大
防火墙使用自身设备的资源(包括CPU、内存等),为网络提供防护。如果防火墙自身性能容量不足,很容易被DDoS攻击压垮。
EG350的防攻击功能,在 * 2Gbps的流量转发情况下,可抵御100Mbps以上的小报文攻击流量,而且可以同时跟踪40万台主机的流量情况,完全可以满足中小企业的需求。



管理便捷
防火墙功能难部署,难维护,一直是困扰广大网络管理员的一个问题。EG350的防攻击充分考虑了管理员的需求,通过提供简便的配置管理方法,以及详尽而一目了然的流量分析报表,极大的降低了网络管理的复杂性。
n  策略部署
防攻击为策略部署提供了配置模板与策略自学习两种方法:配置模板是根据流量模型归纳典型的 * 配置,同时定义高中低三个安全等级,帮忙用户快速完成配置;策略自学习则可以根据用户实际网络流量情况,自动生成 * 配置。两种方法都可以一键完成部署,无需为令人眼花缭乱的策略参数设置而头疼。
f2.PNG

n  流量监视与攻击日志
流量监视可以显示当前网络流量状况,包括各种协议的流量速率、并发会话数,以及流量topN主机等;攻击日志包括即时攻击与历史攻击数据。用户可以根据流量监视和攻击日志评估网络安全态势,进行网络策略优化调整。
f3.PNG



回复

使用道具 举报

11

主题

117

帖子

671

积分

高级会员

Rank: 4

积分
671
发表于 2015-4-8 21:34:36 | 显示全部楼层
不知道单纯2-4防护现在有多大价值,尤其在EG350定位的客户群这里。现在出口USG上恨不得每分钟都有各种2-4层攻击被阻断,但实际上没有USG也没觉得有什么不行的
回复 支持 反对

使用道具 举报

0

主题

2

帖子

82

积分

注册会员

Rank: 2

积分
82
发表于 2015-4-9 14:08:59 | 显示全部楼层
asiaeagle 发表于 2015-4-8 21:34
不知道单纯2-4防护现在有多大价值,尤其在EG350定位的客户群这里。现在出口USG上恨不得每分钟都有各种2-4层 ...

是的,现在的网络攻击确实都是往应用层发展了,不过网络层攻击就跟打疫苗一样,还是要防着,那些被我们认为是远古时代的攻击技术,难免哪天就来那么一下,对企业网的影响仍然存在,所以我们的策略是先下而后上,把基础的网络防攻击做扎实了,再增加应用层防攻击,比如我们在5月份还会再推出支持IPS的固件,另外还有一些针对应用安全的秘密武器还在研发中,会在不久的将来随新固件放出。也欢迎提出您所关注的安全问题,我们会进行评估和研究
回复 支持 反对

使用道具 举报

11

主题

117

帖子

671

积分

高级会员

Rank: 4

积分
671
发表于 2015-4-9 14:20:00 | 显示全部楼层
本帖 * 后由 asiaeagle 于 2015-4-9 14:21 编辑
zhengweiz 发表于 2015-4-9 14:08
是的,现在的网络攻击确实都是往应用层发展了,不过网络层攻击就跟打疫苗一样,还是要防着,那些被我们认 ...

IPS值得期待,不过对于电商产品来说,感觉可以只放对终端有效的特征就可以了;服务器特征大多客户用不到吧,还有可能影响安全产品的销售。另外EG上的IPS要和更多的非安全特征整合,提升BYOD的整体效果。
不过再这样下去,感觉EG的OS得大改才行,现在无论功能实现还是UI实现,应该都是 * 分离的吧。我猜现在EG还是基于SPI而不是DPI的对么?DPI只是一个功能模块吧?
回复 支持 反对

使用道具 举报

0

主题

2

帖子

82

积分

注册会员

Rank: 2

积分
82
发表于 2015-4-9 15:23:40 | 显示全部楼层
asiaeagle 发表于 2015-4-9 14:20
IPS值得期待,不过对于电商产品来说,感觉可以只放对终端有效的特征就可以了;服务器特征大多客户用不到吧 ...

基于终端特性的整合,这个建议挺好,我们琢磨琢磨。关于检测技术,IPS是基于DPI技术。另外IPS本身的性能是个很大的挑战,也是我们攻关的一个技术难点,您有什么期待吗
回复 支持 反对

使用道具 举报

11

主题

117

帖子

671

积分

高级会员

Rank: 4

积分
671
发表于 2015-4-9 15:36:39 | 显示全部楼层
没啥安全方面的期待,EG目标客户对IPS的期待本身就不是很强吧。关键是BYOD需要DPI的支持,device type、透明认证之类的特性也需要,这方面你们o的AF做到 * 了,去看看吧。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则