数据中心解决方案安全技术白皮书(12)

l         优秀的处理性能。因为Dos攻击伴随这一个重要特征就是网络流量突然增大，如果防火墙本身不具有优秀的处理能力，则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈，根本就不可能抵御Dos攻击。因为Dos攻击的一个重要目的就是使得网络瘫痪，网络上的关键设备点发生了阻塞，则Dos攻击的目的就达到了。防火墙设备不但要注重转发性能，同时一定要保证对业务的处理能力。在进行Dos攻击防御的过程中，防火墙的每秒新建能力就成为保证网络通畅的一个重要指标，Dos攻击的过程中，攻击者都是在随机变化源地址因此所有的连接都是新建连接。

l         准确的识别攻击能力。很多防火墙在处理Dos攻击的时候，仅仅能保证防火墙后端的流量趋于网络可以接受的范围，但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常，可以保证服务器不会瘫痪，但是这样处理还是会阻挡正常用户上网、访问等的报文，因此虽然网络层面是正常的，但是真正的服务还是被拒绝了，因此还是不能达到真正的Dos攻击防御的目的。SecPath系列防火墙产品，在对上述各个方面都做了详尽的考虑，因此Dos防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。

4.    防火墙TCP代理

Tcp代理是SecPath系列防火墙为防止SYN Flood类的Dos攻击，而专门开发的一个安全特性。

SYN Flood攻击可以很快的消耗服务器资源，导致服务器崩溃。在一般的Dos防范技术中，在攻击发生的时候不能准确的识别哪些是合法用户，哪些是攻击报文。Eudemon防火墙采用了TCP透明代理的方式实现了对这种攻击的防范，Eudemon防火墙通过精确的验证可以准确的发现攻击报文，对正常报文依然可以通过允许这些报文访问防火墙资源，而攻击报文则被Eudemon防火墙丢弃。有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。Eudemon系列防火墙可以实现增强代理的功能，在客户端与防火墙建立连接以后察看客户是否有数据报文发送，如果有数据报文发送防火墙再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源，也可以被Eudemon防火墙发现。