扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:中国IT实验室 2007年8月15日
关键字:
在本页阅读全文(共2页)
其中的一种做法就是 路由器优化。 路由器优化,需要得到攻击路径中上级的网络设备服务商支持。但一些路由器自身的保护策略是以牺牲正常访问为代价的,并不能智能识别攻击和正常访问 。
另外一个方法就是采用 有抗DoS能力的防火墙。现在有很多防火墙产品集成了反DDoS功能,进一步提高了对常见DDoS攻击包的识别能力。这样的产品可以在很大程度上增强DDoS防御能力,并且可以做到不对数据包进行完全检查就可以发现“恶意行为”。这是非常有帮助的能力,因为如果判断DDoS攻击所耗费的处理越少,就越不容易被耗尽处理能力,从而极大的增加攻击者的成本。包括很多路由器产品在内的网络设备都具备一些防火墙功能,我们应该尽可能充分的利用。 如下图,防DDOS攻击防火墙处于Internet与内部网之间。
采用 有抗DoS能力的防火墙,能够防护一些低规模的拒绝服务攻击,配置和操作相当简单 。但也有一些局限性,防火墙作为通用网络安全产品,在防DoS方面不可能达到专业产品的性能和效率,对大规模的DoS攻击是无能为力的,甚至会成为攻击目标。
Quidwayreg; SecEngine D200 入侵检测系统
Quidway SecEngine D200 (以下简称D200)是华为3Com公司面向企业用户开发的新一代专业入侵检测设备,可以作为中小企业的网络出口或者内部关键子网的入侵检测设备。D200是华为3Com安全渗透网络解决方案中的重要设备之一。
D200提供三个固定的10/100M自适应以太网口,一个10/100/1000M自适应的以太网口;D200采用华为3Com专门针对安全领域应用度身定做的安全操作系统SecNOS,SecNOS可以根据不同的应用进行扩展和裁减,并与上层的应用紧密结合,从而很好地保证了设备自身的安全性。
对于网络中可能存在的安全风险,例如黑客入侵、网络病毒和网络资源滥用等行为,D200可以进行有效检测并做出报警或与其他网络设备联动实现实时阻止。D200可以对流经被保护网络的流量进行基于三种技术的综合检测,包括:
基于状态的内容特征匹配:采用了高精度的智能模式识别算法,对协议交互特定阶段的报文进行检测,可以识别隐藏在正常业务流量中的网络攻击的特征。
协议分析:以网络层、传输层和应用层的常用协议为对象,记录和分析协议交互的过程,为基于状态的内容特征匹配提供了状态依据,并且可以有效的探测那些利用协议漏洞的网络攻击。
流量分析:通过对网络流量规律的数学建模和智能统计分析,可以有效地抵御DoS/DDoS攻击和扫描攻击。
对于大规模的部署和应用,D200也支持安全管理平台的集中式管理。通过安全的传输通道,管理员可以对全网的SecEngine系列设备进行统一的配置管理、策略部署和安全事件监控。对于收集到的网络安全事件,管理员可以通过安全管理平台提供的多种智能分析和管理手段对这些信息进行处理,并依据处理结果调整安全策略和防护手段,从而提高网络安全的整体水平
绿盟科技 COLLAPSAR-100黑洞百兆产品
绿盟科技从2001年5月开始进行针对DoS攻击的产品研发,次年,该公司完成了抗拒绝服务攻击的克星—“黑洞Collapasar”的全部研发工作,并申请了国家发明专利。
COLLAPSAR-100属于百兆产品,产品即插即用,无需配置即可实现全面防护,能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质;可以抑制网络蠕虫的扩散。可以防护DNS Query Flood,保护DNS服务器正常运行。可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。
这款黑洞百兆黑洞主要用于保护子网和服务器。核心算法由汇编实现,针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化,效率远高于目前流行的SYN Cookie和Random Drop等算法。使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率。
遐迩网络科技 DOSNIPE DS220
Dosnipe 抗拒绝服务设备采用专业的硬件设计,无懈可击的系统内核,超大流量的访问控制,高效、安全、准确,完全能满足大流量、大规模攻击下的连通需求。经多次权威测试结果表明, Dosnipe 抗拒绝服务系统能准确、迅速、全面的防御各种 dos/ddos 攻击,甚至能防御部分未知的 dos/ddos 攻击,同时也大大增加了黑客的攻击成本。
DOSNIPE DS220是百兆级设备,带有四个百兆网卡接口以及一个标准串口,吞吐量可达150M。自主知识产权一次性单向非法数据包防止连接耗尽,主动清除服务器上的残余连接。即插即用,网络隐身,无IP地址。提供Console和Web双重管理模式。防御种类SYNFLOOD及其变种,DOSNIPE DS220是中型企业的首选的产品。
目前该产品已经通过了公安部计算机信息系统安全产品质量监督检验中心 、中国人民解放军信息安全评测认证中心 、中国国家信息安全测评认证中心、中国软件测评认证中心的测试认证。
金盾抗DDOS防火墙 百兆级 JDFW-100
JDFW-100为百兆级防火墙,其芯片高级硬件防火墙,电口接入,支持多网段防护,跨路由模式,跨网段模式,跨VLAN等模式的防护,适合百兆环境,小中型企业,IDC服务商及系统集成工程,,可支持255台机器有效的防护工作。可以抵御多种拒绝服务攻击及其变种,可防各类DoS/DDoS攻击,如 SYN Flood、TCP Flood,UDP Flood,ICMP Flood及其各种变种如Land,Teardrop,Smurf,Ping of Death等
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。