华为技术有限公司

华为AntiDDoS8000DDoS防御系统T级性能,秒级响应,精准防护,增值运营华为AntiDDoS8000DDoS防御系统7-1华为AntiDDoS8000DDoS防御系统T级性能,秒级响应,精准防护,增值运营随着互联网和物联网的发展,DDoS攻击呈现出新的特点:攻击越来越频繁,流量越来越大,2015年攻击流量峰值高达600Gbps反射放大攻击横扫全球,直接拥塞链路慢速应用型攻击精确打击互联网金融和游戏等业务系统反射放大和慢速应用攻击日趋流行,分层防御方案成为抗DDoS首选.
华为AntiDDoS8000DDoS防御系统,运用大数据分析技术,针对60多种网络流量进行抽象建模,可以实现T级防护性能,秒级攻击响应速度和超百种攻击的全面防御.
通过与华为云清洗中心联动,可以实现分层清洗,为用户提供从网络链路带宽到在线业务的全面防护.
产品图AntiDDoS8030AntiDDoS8080AntiDDoS8160华为AntiDDoS8000DDoS防御系统7-2方案功能大流量DDoS防护多核分布式硬件架构,结合大数据智能防护引擎,提供T级防护性能秒级攻击响应时延,快速阻断攻击流量应用型DDoS防护全流量采集和3~7层的逐包分析,针对60多种网络流量进行抽象建模,提供最精准和全面的攻击检测本地会话行为信誉、地理位置信誉和僵尸网络IP信誉等全方位的信誉体系,精确防御僵尸网络发起的应用型DDoS攻击,降低误判,提升用户体验全面防护100多种攻击类型,保护用户Web服务、DNS服务、DHCP服务、VoIP服务等关键业务系统DDoS防护运营基于租户的自动和手动防护策略,防护手段全面基于租户的独立报表统计和邮件发送,防护管理简单支持租户自助Portal,增加租户粘性支持规模运营,支持10万个租户,差异化运营IPv4和IPv6双栈DDoS防护支持IPv4和IPv6双栈DDoS防护On-premise+Cloud分层DDoS防护On-premise设备实时在线,保护用户业务链路拥塞时,On-premise设备可以自动发送云信令,启动云清洗,保护用户链路2T+云清洗能力,全球10+清洗中心智能调度,分钟级攻击响应典型场景场景1:城域网防护城域网是指在地域上覆盖一个城市范围,为城域多业务提供综合传送平台的网络,主要应用于大中型城市地区.
提供通用和公共的网络构架,以高速有效地传输数据、声音、图像和视频等信息,满足用户日新月异的互连网应用需求.
华为AntiDDoS8000DDoS防御系统7-3如图所示,Netflow检测设备实时采集路由器Netflow日志,判定网络中的流量是否异常.
发生流量异常时,通知清洗设备启动清洗.
清洗设备旁路部署在核心路由器Router1上,对到达防护对象的流量进行清洗,清洗完成后,再将正常流量通过MPLSLSP方式回注到原链路Router2,由Router2继续转发,最终将流量送到防护对象.
清洗设备仅有一个接口与Router1直连,主接口引流,子接口回注;接口充足的情况也可以其他接口回注.
场景2:数据中心防护与运营数据中心(InternetDataCenter,简称IDC)是网络基础资源的一部分,为互联网内容提供商、企业、媒体和各类网站提供大规模、高质量、安全可靠的数据传输服务和高速接入服务.
数据中心主要提供DNS服务器、Web服务器、游戏等业务.
近年来,来自外部互联网针对数据中心的DDoS攻击越来越多,包括重要用户服务器遭受攻击,数据中心链路带宽被占用,以及视频、游戏、网游等业务遭受的应用层攻击.
Netflow城域网内网城域网内网目标网络Router2Router1正常流量攻击流量Netflow流量管理流量正常网络正常主机清洗设备骨干网僵尸主机交换机ATIC管理中心攻击目标正常流量攻击流量分光流量管理流量正常网络僵尸网络分光器路由器检测设备清洗设备ATIC管理中心数据中心互联网接入区交换机Router1Router2防火墙核心交换机gameZonednsZone游戏服务器Web服务器DNS服务器防护对象防护对象webZone防护对象华为AntiDDoS8000DDoS防御系统7-4如图所示,清洗设备旁路部署在核心路由器Router1和Router2上,对到达防护对象的流量进行检测和清洗.
由于是旁路部署,需要将到达防护对象的下行流量通过BGP引流方式实时牵引至清洗设备进行检测和清洗,清洗完成后,再将正常流量通过策略路由方式回注到原链路Router1和Router2,最终将流量送到防护对象.
ATIC管理中心支持安全运营功能.
ATIC管理中心可以根据租户的业务特点,配置防护策略.
攻击发生时,ATIC管理中心可以自动启动防护,同时通过邮件等方式发送告警信息.
租户可以通过登陆Portal,自助查询攻击与防护情况.
数据中心运营商可以基于租户设计商业模式,实现业务增值.

规格清单DDoS防护功能协议滥用类攻击防护功能:LAND;Fraggle;Smurf;Winnuke;PingofDeath;TearDrop;TCPErrorFlag等攻击.
Web应用防护功能:HTTPGetFlood;HTTPPostFlood;HTTPSlowHeader;HTTPSlowPost;HTTPSFlood;SSLDoS/DDoS;WordPress反射放大攻击;RUDY;LOIC等,支持报文合法性检查.
扫描窥探型攻击防护功能:端口扫描;地址扫描;TRACERT控制报文攻击;IP源站选路选项攻击;IP时间戳选项攻击;IP路由记录选项攻击等.
DNS应用防护功能:DNSQueryFlood;DNSReplyFlood;DNS缓存投毒攻击;支持源限速.
网络型攻击防护功能:SYNFlood;SYN-ACKFlood;ACKFlood;FINFlood;RSTFlood;TCPFragmentFlood;UDPFlood;UDPFragmentFlood;IPFlood;ICMPFlood;TCP连接耗尽攻击;Sockstress;TCP重传攻击;TCP空连接攻击.
SIP应用防护功能:SIPFlood/SIPMethodsFlood防范,包括:RegisterFlood,DeregistrationFlood,AuthenticationFlood,CallFlood,支持源限速.
UDP反射放大攻击防护功能:NTP反射放大;DNS反射放大;SSDP反射放大;Chargen反射放大;TFTP反射放大;SNMP反射放大;NetBIOS反射放大;QOTD反射放大;QuakeNetworkProtocol反射放大;Portmapper反射放大;MicrosoftSQLResolutionService反射放大;RIPv1反射放大;SteamProtocol反射放大.
过滤器功能:IP报文过滤器;TCP报文过滤器;UDP报文过滤器;ICMP报文过滤器;DNS报文过滤器;SIP报文过滤器;HTTP报文过滤器.
地理位置过滤功能:支持基于源IP的地理位置进行阻断、限速.
攻击特征库功能:RUDY,slowhttptest,slowloris,LOIC,AnonCannon,RefRef,ApacheKill,ApacheBench,支持每周自动更新.
IP信誉功能:全球最活跃的500万僵尸主机,支持每日自动更新,快速阻断攻击;支持本地业务访问IP信誉,基于本地业务访问会话建立动态IP信誉,快速转发业务访问流量,提升用户体验.
华为AntiDDoS8000DDoS防御系统7-5管理与报表功能管理功能:支持账号管理和权限分配功能;提供基于防护对象的防御策略配置和报表呈现,支持10万个防护对象(租户);支持设备性能监控功能;支持抓包溯源与指纹提取功能;支持短信/声音/邮件告警功能;支持日志转储功能;支持动态流量基线学习.
报表功能:清洗前后流量对比;流量TOPN统计;应用层流量对比和分布;协议类型分布;源IP地理位置流量统计;攻击事件详情;攻击事件TOPN(按照持续时间或报文数);攻击类型分布;攻击流量趋势;DNS解析成功率;应用层TOPN流量统计(源IP、HTTPURI、HTTPHOST、DNS域名);支持HTML/PDF/Excel等格式报表下载功能;支持邮件推送报表功能;支持定期生成天报、周报、月报、年报功能;支持租户自助Portal.

部署模式与引流回注部署模式:支持直路部署;支持旁路部署.
引流回注:引流功能:支持手动引流;策略路由/BGP路由等多种自动引流方式.
回注功能:支持静态路由回注;MPLSVPN回注;支持MPLSLSP回注;GRETunnel;Layer-2回注;策略路由回注等多种回注方式.
接口与硬件参数型号AntiDDoS8030AntiDDoS8080AntiDDoS8160接口扩展槽位3816扩展接口板FW-LPUF-120,2个子槽位FW-LPUF-120,2个子槽位FW-LPUF-240,2个子槽位FW-LPUF-120,2个子槽位FW-LPUF-240,2个子槽位扩展子卡24*GE(SFP);5*10GE(SFP+);6*10GE(SFP+);12*10GE(SFP+);1*40GE(CFP);1*100GE(CFP)外形尺寸与重量高*宽*深DC:175mm*442mm*650mm(4U)AC:220mm*442mm*650mm(5U)620mm*442mm*650mm(14U)1420mm*442mm*650mm(32U)华为AntiDDoS8000DDoS防御系统7-6型号AntiDDoS8030AntiDDoS8080AntiDDoS8160重量DC机箱:15kg(空机箱),30.
7kg(满配置)AC机箱:25kg(空机箱),40.
7kg(满配置)43.
2kg(空机箱),112.
9kg(满配置)94.
4kg(空机箱),233.
9kg(满配置)电源与运行环境供电方式额定输入电压:DC:-48VAC:175Vto264V;50/60Hz最大输入电压范围:DC:-72Vto-38VAC:90Vto264V;50/60Hz额定输入电压:DC:-48VAC:175Vto264V;50/60Hz最大输入电压范围:DC:-72Vto-38VAC:90Vto264V;50/60Hz额定输入电压:DC:-48VAC:175Vto264V;50/60Hz最大输入电压范围:DC:-72Vto-38VAC:90Vto264V;50/60Hz功率1*FW-LPUF-120+2*ADS-SPUC-B+2*ADS-SPC-80-01:DC:1066W(典型),1272W(最大)AC:1185W(典型),1414W(最大)3*FW-LPUF-240+5*ADS-SPUD-B+10*ADS-SPC-80-01:DC:4025W(典型),4823W(最大)AC:4282W(典型),5132W(最大)6*FW-LPUF-240+9*ADS-SPUD-B+18*ADS-SPC-80-01:DC:7387W(典型),8930W(最大)AC:7858W(典型),9500W(最大)电源冗余DC:双电源,支持热插拔AC:双电源,支持热插拔DC:4个PEM模块,支持热插拔AC:4个PEM模块+1个外置交流电源框DC:8个PEM模块,支持热插拔AC:8个PEM模块+2个外置交流电源框工作环境温度0°C~45°C(长期),-5°C~50°C(短期)存储温度-40°C~70°C工作环境相对湿度5%RH~85%RH,不结露(长期),5%RH~95%RH,不结露(短期)存储相对湿度0%RH~95%RH认证安全认证电磁兼容性(EMC)认证CB,Rohs,FCC,MET,C-tick,VCCI认证华为AntiDDoS8000DDoS防御系统7-7型号描述主机ADS8030-BASE-DC-01AntiDDoS8030直流基本配置(含X3直流机箱,2*MPU)ADS8030-BASE-AC-01AntiDDoS8030交流基本配置(含X3交流机箱,2*MPU)ADS8080-BASE-DC-01AntiDDoS8080200G直流基本配置(含X8直流机箱,2*SRU200A,1*SFU200C)ADS8160-BASE-DC-01AntiDDoS8160200G直流基本配置(含X16直流机箱,2*MPU,4*SFU200B)业务处理板模块ADS-SPUC-BAntiDDoS8030业务处理板(基础板)ADS-SPUD-BAntiDDoS8080&AntiDDoS8160业务处理板(基础板)ADS-SPC-20-0020GDDoS防护业务子卡ADS-SPC-40-0040GDDoS防护业务子卡ADS-SPC-80-0080GDDoS防护业务子卡线路处理板模块FW-LPUF-120灵活插卡线路处理板(LPUF-120,2个子槽位)FW-LPUF-240灵活插卡线路处理板(LPUF-240,2个子槽位)FW-6X10G-SFP+6端口10GBaseLAN/WAN-SFP+灵活插卡AFW-1X100G-CFP1端口100GBase-CFP灵活插卡AFW-12X10G-SFP+12端口10GBaseLAN/WAN-SFP+灵活插卡A(P120-A)E8KE-X-101-5X10GE-SFP+5端口10GBaseLAN/WAN-SFP+灵活插卡A(P101,1/2宽,占用两个子槽位)E8KE-X-101-24XGE-SFP24端口100/1000Base-X-SFP灵活插卡(P101,1/2宽,占用两个子槽位)E8KE-X-101-1X40GE-CFP1端口40GBaseLAN-CFP灵活插卡(P100,1/2宽,占两个子卡槽位)管理软件LIC-ADS-NOFA00AntiDDoS管理中心基础功能汇总项订购信息免责声明本文档可能含有预测信息,包括但不限于有关未来的财务、运营、产品系列、新技术等信息.
由于实践中存在很多不确定因素,可能导致实际结果与预测信息有很大的差别.
因此,本文档信息仅供参考,不构成任何要约或承诺.
华为可能不经通知修改上述信息,恕不另行通知.
版权所有华为技术有限公司2016.
保留一切权利.
非经华为技术有限公司书面同意,任何单位和个人不得擅自摘抄、复制本手册内容的部分或全部,并不得以任何形式传播.

商标声明、HUAWEI、华为、是华为技术有限公司的商标或者注册商标.
在本手册中以及本手册描述的产品中,出现的其他商标、产品名称、服务名称以及公司名称,由其各自的所有人拥有.