返回首页

金盾防火墙/DDOS/解决黑客攻击/10G攻击流量抵御
 
3 回复:金盾防火墙/DDOS/解决黑客攻击/10G攻击流量抵御
防火墙的概念 
 防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全。它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。防火墙也是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的潜在的破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以实现网络的安全保护。防火墙系统是指防止从网络外部访问本网络的所有设备。防火墙的类型目前,比较成熟的防火墙技术主要有以下两种:包过滤技术和代理服务技术。与之相对应出现了构造防火墙的两种基本原则:屏蔽路由器(Screening Router)和代理服务器(Proxy Server)。1.屏蔽路由器(Screening Router)屏蔽路由器一般是一个多口IP路由器,用于在内部和外部的主机之间发送数据包,它不但对数据包进行路由发送,还依据一定的安全规则检查数据包,决定是否发送。它依据的规则由站点的安全策略决定,这些规则可根据IP包中信息:IP原地址、IP目的地址、协议、ICP或UDP源端口等进行设置,也可根据路由器知道的信息如数据包到达端口,出去端口进行设置。这些规则由屏蔽路由器强制设置,也称它为包过滤规则。2.代理服务器(Proxy Server)代理服务器是运行在防火墙主机上的专门应用程序或服务器程序。这些程序接受用户对Internet服务的请求,并按照相应的安全策略将这些请求转发到实际的服务。代理服务器为一个特定的服务提供替代连接,充当服务的网关,因此又称为应用级网关。防火墙的体系结构实际构筑防火墙时,一般是使用多种不同部件的组合,每个部件有其解决问题的重点。由于整个网络的拓扑结构、应用和协议的需要不同,防火墙的配置和实现方式也千差万别,以下是几种常用的防火墙实现方式极其优缺点。1.筛选路由器(Screening router)筛选路由器通常又称包过滤(Packet filter)防火墙。它一般作用在网络层(IP层),对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。包过滤的核心就是安全策略即包过滤算法的设计。包过滤型防火墙往往可以用一台过滤路由器来实现,对所接收的每个数据包作允许或拒绝的决定。采用这种技术的防火墙优点在于速度快、实现方便、但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。2.双宿主主机(双宿网关)(Dual-Homed Host)双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。双宿主主机的结构采用主机取代路由器执行安全控制功能,从而达到受保护网除了看到堡垒主机外,不能看到其它任何系统的效果。同时堡垒主机不转发TCP/IP通信报文,网络中的所有服务都必须由此主机的相应代理程序来支持。双宿主机是唯一的隔开内部网和外部因特网之间的屏障,如果入侵者得到了双重宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双重宿主主机首先要禁止网络层的路由功能,还应具有强大的身份认证系统,尽量减少防火墙上用户的账户数目。因此,双宿主机的性能非常重要。3.屏蔽主机网关(Screend Host Gateway)屏蔽主机网关结构中提供安全保护的主机仅仅与内部网相连,还有一台单独的过滤路由器,这一台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机,其结构如图1。该防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。通常在路由器上设定过滤规则,并使堡垒主机成为从外部网络可直接到达的主机。任何试图访问内部系统或服务的外部系统都须与此主机相连。过滤路由器是否正确配置是这种防火墙安全与否的关键,过滤路由器的路由表应当受到严格的保护,否则如果路由器表遭到破坏,则数据包就不会被路由到堡垒主机上,使堡垒主机被越过。同时堡垒主机也要求具有很高的主机安全性。4.被屏蔽子网(Screend Subnet)增加一个把内部网与互联网隔离的周边网络(也称为非军事区DMZ),从而进一步实现屏蔽主机的安全性;通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。典型的屏蔽子网如图2所示,其结构有两个屏蔽路由器,它们分别位于周边网与内部网、周边网与外部网之间,攻击者要攻入这种结构的内部网络,必须通过两个路由器,即使入侵者设法攻入了堡垒主机,他还必须通过内部路由器,因而不存在危害内部网的单一入口点。上述为一些常用的防火墙体系结构,典型的防火墙由一个或多个构件组成:包过滤路由器、应用层网关(或代理服务器)、电路层网关等。因为不同的防火墙体系结构所需的代价、所付的费用都不一样。一个机构可以根据自己的网络规模和自己的安全策略选择合适的防火墙体系结构,选购防火墙的基本原则当企业决定用防火墙来实施安全策略后,下一步要做的就是选择一个既安全又实惠的合适的防火墙。
作者: 220.113.45.*  2007-4-3 17:25    

5 回复:金盾防火墙/DDOS/解决黑客攻击/10G攻击流量抵御
攻击检测
金盾抗拒绝服务系统利用了多种技术手段对DOS/DDOS攻击进行有效的检测,在不同的流量触发不同的保护机制,在提高效率的同时确保准确度;
协议分析
金盾抗拒绝服务系统采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。 
主机识别
金盾抗拒绝服务系统可自动识别其保护的各个主机及其地址。某些主机受到攻击不会影响其它主机的正常服务。 
连接跟踪
金盾抗拒绝服务系统针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP协议的各种攻击。
端口防护
建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的DOS/DDOS攻击保护。
5.3 产品系列
经过多年的研发推广,目前金盾抗拒绝服务系统包含软、硬件两个产品线:
软件产品:主要有JDFW-SW8000及JDFW-SWU两种,按照连接数划分,提供不同的处理能力,分别为8000及无限连接数;
硬件产品:主要有JDFW-100、JDFW-1000、JDFW-1000+、JDFW-2000等产品,分别对应百兆及千兆级接入环境。
为了更加适应客户的网络需求,我们金盾提出了具有自己特色的“金盾百M/千M双路防火墙解决方案”以及“金盾防火墙集群解决方案”。其中群集提供最高防范4G超大流量攻击的能力。
作者: 220.113.45.*  2007-4-4 12:13    

6 回复:金盾防火墙/DDOS/解决黑客攻击/10G攻击流量抵御
预防DDoS攻击的十项安全策略
作者: 220.113.45.*  2007-4-4 16:05    

8 回复:金盾防火墙/DDOS/解决黑客攻击/10G攻击流量抵御
金盾抗DDOS防火墙――用专业的技术为您彻底解决DOS攻击、DDOS攻击、SYN ...DDOS防护、DDOS防范、DDOS防火墙、DDOS原理、解决DDOS、如何解决DDOS攻击、解决DDOS攻击、SYN攻击、SYN防护、SYN防御、DDOS防护、DDOS防御、SYN攻击原理、如何解决DDOS攻击、SYN、ICMP、SYN_FLOOD、UDP_FLOOD、ICMP_FLOOD、DDOS、UDP、ICMP.防火墙/专业抵御DDOS流量攻击/专业抵御商业竞争、打击报复、网络敲诈等造成的困扰/UDP/SYN/CC/ICMP/
作者: 220.113.45.*  2007-4-5 12:29    

9 回复:金盾防火墙/DDOS/解决黑客攻击/10G攻击流量抵御
. DDOS攻击 如何判断是否遭到流量攻击
阅读提示:我使用的在线检查软件警告说,发现DDoS攻击,请问这到底是什么意思?机器是单位的局域网,和这个有关系吗?我应该如何去判断是否遭到流量攻击? 
问:我使用的在线检查软件警告说,发现DDoS攻击,请问这到底是什么意思?机器是单位的局域网,和这个有关系吗?我应该如何去判断是否遭到流量攻击? 
答:DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”。你可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说,拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。 
DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。 

判断网站是否遭受了流量攻击很简单,可通过Ping命令来测试,若发现Ping超时或丢包严重,则可能遭受了流量攻击。此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。
作者: 220.113.45.*  2007-4-6 09:53    

11 回复:金盾防火墙/DDOS/解决黑客攻击/10G攻击流量抵御
金盾抗DDOS防火墙――用专业的技术为您彻底解决DOS攻击、DDOS攻击、SYN ...DDOS防护、DDOS防范、DDOS防火墙、DDOS原理、解决DDOS、如何解决DDOS攻击、解决DDOS攻击、SYN攻击、SYN防护、SYN防御、DDOS防护、DDOS防御、SYN攻击原理、如何解决DDOS攻击、SYN、ICMP、SYN_FLOOD、UDP_FLOOD、ICMP_FLOOD、DDOS、UDP、ICMP.防火墙/专业抵御DDOS流量攻击/专业抵御商业竞争、打击报复、网络敲诈等造成的困扰/UDP/SYN/CC/ICMP/
作者: 220.113.45.*  2007-4-7 10:42    

12 回复:金盾防火墙/DDOS/解决黑客攻击/10G攻击流量抵御
金盾抗拒绝服务系列产品具有丰富的设备管理功能,基于简洁的WEB的管理方式,支持本地或远程的升级。同时,丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。 
广泛的部署能力 
针对不同的客户,抗拒绝服务所面临的网络环境也不同,企业网、IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的部署带来了不同的挑战。金盾抗拒绝服务系统具备了多种环境下的部署能力。
作者: 220.113.45.*  2007-4-7 11:03    

15 回复:金盾防火墙/DDOS/解决黑客攻击/10G攻击流量抵御
判断网站是否遭受了流量攻击很简单,可通过Ping命令来测试,若发现Ping超时或丢包严重,则可能遭受了流量攻击。此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。
作者: 220.113.45.*  2007-4-7 13:42    

 
更多相关贴子...

 

网络淘金,就用网络信息采集大师(NetGet)。下载