欢迎来到天天文库
浏览记录
ID:6619896
大小:104.50 KB
页数:7页
时间:2018-01-20
《防ddos攻击设备技术要求》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、防DDOS攻击设备技术要求一、设备清单序号设备或软件数量1防DDOS攻击设备1二、参数要求所有打“★”为必须满足技术条件,如无法满足则视为非实质性响应。功能指标项功能描述硬件规格2U设备,配置4个千兆自适应电口,4个千兆SFP插槽性能要求抗攻击吞吐量2000Mbps,最大新建连接数90000,http并发连接数300万,不限防护IP数。部署方式支持串联部署方式,在串联部署中,设备支持网络隐身,业务流量处理和设备管理功能分离,抗DDoS设备工作端口可不设置IP,提高自身安全性支持路由牵引的旁路部署方式支持集群部署方式,可通过集群功能对清洗容量进行扩容攻击防范功能针对SYNFlood、UD
2、PFlood、ICMPFlood、IGMPFlood、ACKFlood、DNSQueryFlood、PingSweep等流量型攻击的流量均可有效识别和过滤针对HTTPProxyFlood、HTTPGetFlood、CCProxyFlood、ConnectionExhausted等连接型攻击的流量均可有效识别和过滤针对Smurf、Land-based、Teardrop、FragmentFlood、RedCode等漏洞型攻击及其他常见的DDoS攻击行为均可有效识别和过滤提供分组过滤功能,支持白名单、黑名单、ACL、高级模式匹配、URL访问控制规则等多种分组过滤方式支持服务器组管理,可针对不
3、同应用类型防护主机进行分组管理,选择不同防护策略,提供相应截图防护特性针对不同攻击流量自动启用相应的防护策略,对攻击流量进行相应限制可自动识别其保护的各个主机及其IP地址,并且某台主机受到攻击不会影响其它主机的正常服务 可根据攻击的流量和连接数阀值来设置自动触发防护选项,并且连接数阀值可根据不同情况灵活控制 应用层协议防护支持对常见应用层协议的防护功能,如FTP/SMTP/POP3/HTTP等,并支持设置自定义协议类型,防护特定应用层协议,如对网游、语音、即时通讯相关协议等的防护 系统应具有常用应用层协议(如HTTP、FTP、GAME、DNS等)防护插件CC攻击防护设备具备对连接耗尽型
4、攻击的防御能力,利用连接跟踪、TCP重传机制和SYN分级保护等机制实现对连接型FLOOD的防护;支持协议自定义防护功能,支持插件定制功能特定服务防护支持通过内置专用插件、协议自定义、黑名单管理及灵活的规则设置,达到对CC类的各种代理IP型攻击、僵尸网络攻击等完美的防御效果 针对Http协议,内置专用Web防护模块,能在统一界面中配置对Web页面和使用端口的防护,要求提供设备相应截图 内置针对游戏、DNS服务器、web服务器专用防护插件,支持通过分析被保护主机服务的特点,来配置不同参数进行防护,并提供针对游戏、DNS服务器、web服务器专用防护插件的截图 特殊的WEB防护模块,可设置有攻
5、击时自动启用,无攻击时自动取消,并提供相应设备截图和技术原理说明专业的连接跟踪功能要求能够显示内部主机的带宽(in、out)、频率(SYN、ACK、UDP、ICMP、FRAG、NonIP、NewTCP、NewUDP)、连接(IN、OUT、UDP);流量分析监测通过曲线、图表条,可以实时的看到当前网络的流量、数据包、拦截的数据包、累计流量等信息;除了对设备本身的入口流量进行实施监控外,还需要能够实时显示网络中被保护主机的进出流量,以便准确了解当前每个主机的网络流量情况,便于更准确的进行配置调整,实现更好的防护效果。自定义功能支持通用规则匹配功能,可设置的域包括地址、端口、标志位、关键字等
6、,以提高产品通用性及防护力度 可对单个IP与服务器的连接数进行限制,以对连接进行严格的时间控制,同时支持可以清除服务器上的残余连接 支持协议自定义,可针对不同的服务类型编写协议定义,自行定制防护策略 支持域名黑白名单功能支持设置拒绝国外IP访问受保护主机,要求提供界面截图包过滤支持数据包规则过滤,可对端口和TCPSYN、FIN、PSH、ACK等标志位过滤支持数据包内容细致过滤,如数据包内关键字过滤,支持http、ftp、smtp等明文和十六进制格式,要求提供设备相应截图 支持针对数据包头、数据包协议类型及各个字段值和特征自定义频率限制和连接限制功能,要求提供设备相应截图连接跟踪机制具备
7、连接跟踪能力,对设备所有进出的连接,根据其源地址进行分类显示,同时支持连接超时,重置连接等功能 支持建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,可提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到不同的DOS/DDOS攻击保护 域名审计 支持域名白黑名单功能支持一级与二级域名分开设置,可设置一级域名为放行,二级域名为屏蔽抓包取证提供自动抓包功能,可依据自行设置的条件启动抓包任务,当受到攻击时,能够针对该DDoS攻击,自
此文档下载收益归作者所有