WebRAYDDOS防护系统(RayADS)是远江盛邦基于自主知识产权的RayOS开发的新一代安全产品,伴随着DDoS攻击的日益频繁,政府、金融、教育、企业等多个行业安全领域都针对DDoS进行了网络安全防护。DDOS防护系统作为网关类安全产品,防护对象主要为业务系统、Web服务器、企业内网。其设计目标位:针对DoS/DDoS、应用层CC攻击、非TCP/IP协议层攻击等多种未知攻击进行安全防御。保证网络正常运转,清洗攻击流量。
先进的技术架构
针对目前网络上存在一些对服务器的扫描,还有一些简单的攻击。Web应用安全防护系统提供全局配置,用户可以配置对扫描和普通攻击的防护。
RayADS系统目前提供以下扫描和攻击的防护:
Null扫描 Xmas扫描 Rst扫描 Fin扫描 Syn/fin扫描 Fin/no-ack扫描 Winnuke攻击 Land攻击 Smurf攻击 Ping-of-death攻击
RayADS针对某个服务器进行单独防护。并且能够设置服务器的防攻击状态,Web应用安全防护系统提供针对单个服务器的以下防攻击手段:
CC攻击防护 Syn-proxy防护 Tcp连接建立速率限制 Syn-flood Icmp-flood Udp-flood Tcp流量限制 Udp流量限制 Icmp流量限制 服务器最大在线连接数限制 客户端最大在线连接数限制
精确智能的攻击检测及防护
RayADS应用了自主研发的抗拒绝服务攻击系统算法,拥有智能参数阀值,对SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、DNS Query Flood、Ping Sweep等流量型攻击,HTTP Proxy Flood、HTTP Get Flood、CC Proxy Flood、Connection Exhausted等连接型攻击和Smurf、Land-based、Teardrop、Fragment Flood、Red Code等漏洞型攻击及其他各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行阻断处理,保障业务系统正常运行。
简洁丰富的WEB管理
RayADS具有丰富的设备管理功能,基于简洁的Web以及SSH方式管理,支持本地或远程升级。同时内容丰富的攻击日志和审计日志也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的溯源调查。
专业健全的连接跟踪机制
RayADS内部实现了完整的TCP/IP协议族,具有强大的连接跟踪能力。每个进出的连接,抗拒绝服务产品都会根据其源地址进行分类,并显示出来给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP/IP协议族本身的不足。
通用方便的报文规则过滤
RayADS除了提供专业的DoS/DDoS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的域包括IP地址、端口、TCP标志位、关键字、协议等,极大的提高了通用性及防护力度。同时内置了若干预定义规则,易于使用。
便捷快速的抓包取证功能
RayADS内置抓包工具,具有数据包捕获功能,依据自行设置的条件启动抓包任务,针对DoS/DDoS攻击,获取符合抓包条件的网络数据包,为电子取证提供依据。
完善强大的模块防护功能
RayADS具有完善的连接跟踪机制,准确的应用层协议过滤。应用层协议高级防护,如对FTP、SMTP、POP3、HTTP等应用服务的保护。数据包规则过滤可对端口和TCP的SYN、FIN、PSH、ACK等标志位过滤。同时抗DDoS系统还可以实现单IP流量限制、SNMP管理、支持查询CPU 内存利用率和接口流量及系统健康状态等。
抗拒绝服务系统(RayADS)采用透明模式,符合目前各种网络结构防护需求,根据客户不同的需求,设定合适的部署方式。主要有单机串联部署、旁路部署。
单机串联部署
抗拒绝服务系统(RayADS)接入机房核心交换机前端防护,核心交换机下所有主机进入防护区,连接方式:将ISP(运营商)分配的光纤接入到 RayADS设备的出口,在将RayADS产品的设备出口接到下层核心交换机,被保护主机可置于核心交换机下。部署方式如下图:
