1、HUAWEI TECHNOLOGIES CO., LTDHuawei Enterprise A Better Way安全无忧 业务永续华为 Anti-DDoS解决方案渠道售前培训Huawei Enterprise A Better WayContent1 现状与挑战产品硬件介绍3解决方案亮点2业界竞争分析4销售场景与案例5HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 3Huawei Enterprise A Better WayDDoS事件回顾金融机构2013年 4月荷兰国际集团 (ING)旗下的国际银行、荷兰银行 合作银行等多家
2、金融机构连续遭受多次大规模 DDoS攻击的损失巨大网络安全服务提供商2013年 3月反垃圾邮件组织 Spamhaus遭到了来300G的 DDoS,被公认为史上最大规模的攻击DNS服务器2013年 8月.CN域名出现大面积瘫痪。 CNNIC(中国互联网络信息中心)在官方微博发表公告,称国家域名解析点遭到有史以来最大规模的 DDoS攻击。HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 4Huawei Enterprise A Better WayDDoS攻击特点DDoS全名是 Distribution Denial of Service
3、 (分布式拒绝服务攻击 )黑客利用大量傀儡机或免费代理同时对目标发起请求,导致目标的网络出口链路拥塞或者忙于应付攻击请求无法响应正常的服务攻击工具随手可得,易发起难防御攻击危害严重,往往伴随着巨大经济损失根据最新统计报告显示 65%以上的 DDoS攻击给企业带来的损失 1万美金 /小时什么是 DDoS攻击 DDoS攻击特点DDoS攻击目标DDoS影响面广Internet网络管道 防火墙/IPS负载均衡服务器 数据库29%15%20%31%5%DDoS攻击57%电子商务 在线游戏25%7% 4% 7%DNS服务 金融业务 其它HUAWEI TECHNOLOGIES CO., LTD. Huawe
4、i Confidential Page 5Huawei Enterprise A Better WayDDoS攻击发展趋势1996年扫描、溢出攻击2000年拥塞型攻击2007年HTTP应用攻击2011年SSL DDoS攻击Does攻击 DDoS攻击 Bot型攻击 加密型攻击2012年智能终端 DDoS攻击智能终端 DDoS历史久远历史悠久1996发展趋势2008100G201140G2013300G攻击流量越来越大2008 2011 2013流量 型 攻击 应用型攻击37%63%71%29%87%13%应用型攻击越来越多 攻击工具升级 攻击开始加密 攻击智能模拟行为 攻击智能变换特性HUAWE
5、I TECHNOLOGIES CO., LTD. Huawei Confidential Page 6Huawei Enterprise A Better WayDDoS攻击的挑战攻击发现变得越来越困难,如何快速、精准防御?流量越来越大,僵尸网络源头防护如何进行?管理和运营成本高?Huawei Enterprise A Better WayContent1 现状与挑战产品硬件介绍3解决方案亮点2业界竞争分析4销售场景与案例5HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 8Huawei Enterprise A Better Way
6、华为 AntiDDoS典型部署场景IntranetEnterprise NetworkData CenterFW IPSOfficeDMZEndpoint Security IPSRemote/Branch OfficeFWPolicyCenterEndpoint SecuritySSL VPNEndpoint Security FWFW VFWCloud DCWAFAnti-DDoSAnti-DDoSInternetHUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 9Huawei Enterprise A Better Way华为
7、AntiDDoS工作处理流程示意镜像流量,进行检测管理员下发流量检测 策略检测中心上报流量信息给管理中心流量异常,管理中心发布清洗策略清洗中心发布引流策略给上行设备清洗中心清洗掉攻击流量,将干净流量回注清洗中心上报日志给管理中心AntiDDoS检测中心内部网络AntiDDoS清洗中心AntiDDoS管理中心Mirrored traffic Traffic after cleaningTraffic before cleaningManagement traffic Log Traffic1:1HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential P
8、age 10Huawei Enterprise A Better Way华为 V-ISA信誉体系全面支持 DDoS防护独家“ V-ISA”信誉机制全面防护 DDoS攻击Huawei Others业界最多的DDoS防护数量 100+ 30+业界最细的DDoS检测粒度 逐包 检测 采样 检测僵木蠕防护 200+ 100+面向未来的 DDoS防护技术同时支持 IPv4/IPv6 防护不 支持 IPv4/v6同时防护I :基于 IP信誉机制的僵尸网络防御S:基于 会话 (Session)信誉的慢速攻击防御 A:基于行为信誉的 应用 (App.)攻击 防御V:支持 Virtual化定制,支持虚拟运营V
9、I S AHUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 11Huawei Enterprise A Better Way华为可防御的 DDoS攻击类型全面的 DDoS攻击防御 SYN flood ACK flood SYN-ACK flood FIN/RST flood TCP fragment flood UDP flood UDP fragment flood ICMP flood 扫描窥探型 IP Spoofing attack Land attack Fraggle attack WinNuke Ping of Death
10、 Tear Drop Smurf IP option Large ICMP DNS vulnerabilities Fast-Flux LOIC HOIC Slowloris Pyloris HttpDosTool Slowhttptest Thc-ssl-dos 傀儡僵尸 猎鹰 DDOS 风云白金 小鱼重装 . 200+种僵尸木马蠕虫 Port scanning IP scanning Tracert IP source routing packet control IP routing record packet control协议栈漏洞 流量型 应用型 僵木蠕以上所有攻击支持 IPv4-
11、IPv6双栈防护,可防御 DDoS攻击种类超百种 DNS query flood DNS reply flood DNS cache poisoning DNS reflection TCP connection flood TCP low-rate connection Sockstress HTTP flood HTTP retransmission HTTP slow headers HTTP slow post SIP flood HTTPS flood SSL DoS/DDoS Web application threat Icmp flood Syn flood Tcp flood
12、 Udp flood Ack floodHUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 12Huawei Enterprise A Better WayV-ISA信誉体系应对 DDoS攻击TCPFloodUDPFloodHTTPFloodSYNFloodACKFloodRSTFloodICMPFlood UDPFrag.GETFlood POSTFloodDNSFloodV-ISA V-ISA V-ISAV-ISA V-ISA V-ISAV-ISAV-ISA V-ISAV-ISAV-ISA V-ISAV-ISA V-ISAHUAWE
13、I TECHNOLOGIES CO., LTD. Huawei Confidential Page 13Huawei Enterprise A Better WayTCP Flood vs 业界防御机制TCPFloodSYNFloodACKFloodRSTFloodICMPFloodTCP为有连接传输协议源认证Proxy机制 ACK/FIN报文限流消耗性能自身成瓶颈影响正常业务Cookie反弹认证成本高浪费带宽业界防御难点HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 14Huawei Enterprise A Better Way
14、黑白名单 首包丢弃 源认证 比例统计 会话信誉SYN来访者 HuaweiSYN向后处理利用 TCP重传机制,丢弃首个 SYN包,并记录简单信息,再次来访时通过80% off虚假源攻击报文SYN来访者 HuaweiSYN ACK错误 SEQRST无响应10% off 重复使用虚假源攻击报文Cookie反弹,探测源存在的真实性10% off真实源攻击报文首包 SYN来访者 Huawei数据传输N链接N数据N链接N数据 =正常过高统计首包 SYN与数据传输报文的比例TCP握手来访者 Huawei会话记录数据传输TopN会话信息生成白名单会话信誉生成根据名单直接操作通过后续判断流程的结果(会话信誉、源
15、认证)生成名单白名单黑名单无命中前期已经识别出的攻击报文 off高性能处理 避免全流量反弹认证,节省带宽 行为分析 +会话信誉,全面、有效TCP Flood vs 华为 V-ISA信誉体系HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 15Huawei Enterprise A Better WayUDP Flood vs 业界防御机制UDP为无连接传输协议无法应用“源认证”类防御基于报文特征进行UDP攻击识别 UDP报文限流攻击工具支持任意改变报文特征 影响正常业务无法防御未掌握指纹的攻击UDPFloodUDPFrag.业界防御难
16、点HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 16Huawei Enterprise A Better Way静态过滤黑白名单 联动认证 指纹学习针对那些由 UDP传输业务数据,而前期由TCP完成认证的业务,可联动认证,输出黑白名单虚假源攻击报文 off通过 TCP认证的源的UDP放行,否则丢弃报文动态学习报文特征,提取指纹报文负载具备指纹的攻击报文 off 匹配到攻击指纹的报文丢弃 匹配到业务指纹的报文转发白名单未命中前期已经识别出的攻击报文 off前期已经识别出的正常报文 通过TCP认证来访者 Huawei有记录无记录UDP
17、数据 会话记录白指纹黑指纹指纹库 用户APP101XYZ01XYZ010110XYZ001101XYZ01XYZ高性能处理 更全面的 UDP Flood检测机制UDP Flood vs 华为 V-ISA信誉体系HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 17Huawei Enterprise A Better WayHTTP Flood vs 业界防御机制HTTPFloodPOSTFloodDNSFloodGETFloodHTTP Flood防护手段源认证重定向针对源做请求速率限制攻击常用真实主机,可以响应重定向要求影响正常业务
18、业界防御难点HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 18Huawei Enterprise A Better WayHTTP Flood vs 华为 V-ISA信誉体系黑白名单 会话信誉 正常业务访问信誉学习建白名单 源认证建白名单白名单未命中前期已经识别出的正常报文 通过高性能处理 更全面的 HTTP Flood检测机制GET来访者 Huawei会话记录POSTTopN会话信息生成白名单会话信誉生成HTTP源认证重定向 +验证码 方式进行源认证,通过者加入白名单虚假源攻击报文 offGET A来访者 HuaweiRedir
19、ect BGET B无响应指纹学习动态学习报文特征找出访问资源固定的源加入黑名单ORHUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 19Huawei Enterprise A Better Way逐包深度检测,秒级攻击响应时延流量异常立即响应毫秒级响应IP层 + TCP层 +应用协议层深度解析,防护精准攻击特征事实提取,实时防护无需要升级攻击特征库HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 20Huawei Enterprise A Better Way专业的高性能硬
20、件平台,提供业界最高性能防护200G 集成多颗高性能多核处理器 小包 10G线速,专供 Anti-DDoS打造DDoS防护性能业务板数量业界华为 接口板分流技术,保证业务负载均衡 整机 10倍扩展能力 支持高达 80个万兆接口 整机 200G DDoS防护能力 10秒2秒2秒内响应攻击,保护业务永续5倍扩展能力 可精确防御种类100+,比业界多 30%+ 基于租户的精细化设计,助力数据中心增值运营 10万 租户的海量运营能力,满足数据中心持续运营需求精细化防护丰富报表 丰富报表,企业 CIO对安全运营状态了如指掌 邮件、短信、声音等多种告警模式,运维快速响应 多样化的客户自助服务,让客户的客户
21、放心,增加客户粘度V I S A 率先 支持 IPv6 防护,支持 IPv4/v6双栈防护 V-ISA信誉安群,提供可信赖的抗 DDoS方案HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 25Huawei Enterprise A Better WayContent1 现状与挑战产品硬件介绍3解决方案亮点2业界竞争分析4销售场景与案例5HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 26Huawei Enterprise A Better WayAntiDDoS8000系
22、列 产品AntiDDoS8000型号规格 定位: 万兆 DDoS防 护场 景 功能 : 分布万兆 DDoS,可随着板卡性能 线 性 扩 展 支持 SYN-floodUDP-FloodICMP-FloodHttp floodHttps Flood僵木蠕防 护 IPv6防 护 双 栈 防 护 等 ; 支持各类型报表、支持大客户自助防护、自助报表等型号 扩 展性 高度 最大性能AntiDDoS8030 3 4U/5U 40GbpsAntiDDoS8080 8 14U/15U 100GbpsAntiDDoS8160 16 32U/34U 200Gbps大型数据中心 支持的板卡20G LPU10G LA
23、N/WANsubcard10G POSsubcard12 x GE opticalsubcard12 x GE electricalsubcard40G LPU20 x GE subcardLPUF-21 LPUF-402 x 10GE subcardHUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 27Huawei Enterprise A Better WayAntiDDoS1000系列 产品AntiDDoS1000型号规格 定位: 千兆 DDoS防 护场 景,推荐直路部署,方案 简单 功能 : 支持 SYN-floodUDP-F
24、loodICMP-FloodHttp floodHttps Flood僵木蠕防 护 IPv6防 护 双 栈 防 护 等 ; 支持各类型报表、支持大客户自助防护、自助报表等 接口: 支持 GE卡, 10GE接口卡,光 电 Bypass卡型号 高度 电 源 固定接口 扩 展槽位AntiDDoS1500-D 1U 双交 4GE+4GE Combo 2*FICAntiDDoS1520 1U 双交 4GE+4GE Combo 2*FICAntiDDoS1550 1U 双交 4GE+4GE Combo 2*FICFIC-8GE电FIC-2*10GFIC-8GE光FIC-2*10G+8GE4GE电口 Byp
25、ass 2路光口 Bypass企业 DNS、政府、银行、小型电商用户 支持的板卡HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 28Huawei Enterprise A Better WayAntiDDoS8000/1000配置指导1 选择部署模式 +主机 +管理中心 2 选择扩展接口(可选) 3 管理中心 license(可选)以太网接口:2*10GE/8FE/8FE+2*10GE大客户运营规模数量licenseDNS专项防护Web专项防护4 I安装物料光模块光纤连接器连接线缆参考项:1.直路部署模式(仅选清洗设备 +管理中心)
26、;2、旁路静态引流模式(仅选清洗设备 +管理中心);3、旁路动态引流模式; (清洗设备+检测设备 +管理中心);BYPASS卡:仅AntiDDoS1000支持。管理中心设备管理数量licenseHUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Page 29Huawei Enterprise A Better Way华为 AntiDDoS产品系列AntiDDoS8000Now1-200Gbps防护性能100+种 DDoS攻击防护200+种僵木蠕防护流量 TopN统计,趋势分析,精细化运营AntiDDoS10001-5Gbps防护性AntiDDoS80002014 性能提升T级别 AntiDDoS防护性能单业务板卡 160G防护性全球威胁状态分布图全面展示Huawei Enterprise A Better WayContent1 现状与挑战产品硬件介绍3解决方案亮点2业界竞争分析4销售场景与案例5
