科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道数据中心解决方案安全技术白皮书(12)

数据中心解决方案安全技术白皮书(12)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文从当前以太网数据中心面临的安全问题入手,提出了一种以基础构架安全为依托,以边界防护为框架,以深度检测为核心的安全数据中心解决方案,将安全的理念渗透到整个数据中心网络的设计、部署和运维中。

作者:整理自互联网 2007年11月27日

关键字: 华为 华为技术 华为交换机 华为路由器

  • 评论
  • 分享微博
  • 分享邮件

l         优秀的处理性能。因为Dos攻击伴随这一个重要特征就是网络流量突然增大,如果防火墙本身不具有优秀的处理能力,则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈,根本就不可能抵御Dos攻击。因为Dos攻击的一个重要目的就是使得网络瘫痪,网络上的关键设备点发生了阻塞,则Dos攻击的目的就达到了。防火墙设备不但要注重转发性能,同时一定要保证对业务的处理能力。在进行Dos攻击防御的过程中,防火墙的每秒新建能力就成为保证网络通畅的一个重要指标,Dos攻击的过程中,攻击者都是在随机变化源地址因此所有的连接都是新建连接。

l         准确的识别攻击能力。很多防火墙在处理Dos攻击的时候,仅仅能保证防火墙后端的流量趋于网络可以接受的范围,但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常,可以保证服务器不会瘫痪,但是这样处理还是会阻挡正常用户上网、访问等的报文,因此虽然网络层面是正常的,但是真正的服务还是被拒绝了,因此还是不能达到真正的Dos攻击防御的目的。SecPath系列防火墙产品,在对上述各个方面都做了详尽的考虑,因此Dos防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。

 

4.    防火墙TCP代理

Tcp代理是SecPath系列防火墙为防止SYN Flood类的Dos攻击,而专门开发的一个安全特性。

SYN Flood攻击可以很快的消耗服务器资源,导致服务器崩溃。在一般的Dos防范技术中,在攻击发生的时候不能准确的识别哪些是合法用户,哪些是攻击报文。Eudemon防火墙采用了TCP透明代理的方式实现了对这种攻击的防范,Eudemon防火墙通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过允许这些报文访问防火墙资源,而攻击报文则被Eudemon防火墙丢弃。有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。Eudemon系列防火墙可以实现增强代理的功能,在客户端与防火墙建立连接以后察看客户是否有数据报文发送,如果有数据报文发送防火墙再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源,也可以被Eudemon防火墙发现。

数据中心解决方案安全技术白皮书(图十)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章