抗拒绝服务系统

【产品简介】

DDoS（Distributed Denial of Service）分布式拒绝服务是最常见的网络攻击之一。不法分子控制大量主机对互联网上的目标进行攻击，发送大量攻击报文使被攻击系统链路阻塞，使应用服务器、防火墙等设施资源被耗尽。近年来DDoS攻击呈现出流量大、频次高、复杂化、产业化的发展趋势，DDoS攻击在全球范围内愈演愈烈。

针对流行的DDoS攻击以及新型的攻击形式，自2001年推出百兆防护抗拒绝服务系统（NSFOCUS Anti-DDoS System，简称NSFOCUS ADS）后，多年以来持续自研并发布针对不同行业的抗DDoS产品，多种型号满足不同需求。NSFOCUS ADS可及时发现背景流量中的攻击行为，并迅速对攻击流量进行过滤，保护正常业务运营。产品可在多种网络环境下轻松部署。

【产品优势】

•精准的攻击流量识别

应用自主研发的抗拒绝服务攻击算法，针对不同种类的DDoS攻击采用不同的算法（例如流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等）识别，从而准确地区分出恶意DDoS报文。产品的攻击检测和识别的算法效率非常高，可以承受各类大流量DDoS攻击，以Syn Flood防护为例，连接维持率和新发起连接可用率都可达100%。

•强大的攻击防护能力

基于自主研发的独特的防护算法，抗拒绝服务攻击系统可高效防护各种类型的DDoS攻击：传输层DDoS防护有三种SYN Flood防护算法、两种ACK Flood防护模式、多种ICMP和UDP的防护策略等；应用层DDoS防护有六种HTTP Get Flood防护算法、HTTP Post Flood和HTTPS防护算法、三种DNS Flood防护算法等。

NSFOCUS ADS系统还拥有丰富的流量过滤策略：支持基于黑白名单、ACL、正则规则、反射防护规则、模式匹配、GeoIP、云IP信誉等策略进行清洗防护。

针对运营商网络中客户众多、且对DDoS防护需求不同的特点，ADS设备提供防护群组功能，对用户加以分组，并对不同的用户组提供细粒度的防护策略。同时，为了降低运维的成本，ADS设备能够对防护对象中各种服务的流量进行自动学习，并根据学习的结果生成防护策略。

有一支安全攻防技术研究团队，可及时发现新DDoS攻击类型，能够在新攻击出现一周之内升级防护软件；设备硬件系统也具有良好扩展性。

•T级的攻击防护性能

根据型号不同，电信级高端NSFOCUS ADS系统分别采用先进的多核处理器硬件构架。单台设备最高可具有320Gbps流量的线速分析和DDoS攻击防护能力，同时支持多台设备通过BGP路由负载均衡和portchannel方式进行扩容，实现T级防护。

•灵活的应用部署方式

由于客户网络环境和规模不同，抗拒绝服务攻击系统也包含了多种产品形态和部署方式，包括串联、旁路以及旁路集群等不同方式。

针对中小企业客户科技还提供本地防护+云端清洗的解决方案。客户通过在本地部署的 ADS 设备进行小流量攻击的清洗以及精细化防护，当攻击流量超过带宽负荷时，一键通告云端清洗中心展开防护，从高处拦截大流量攻击，保障本地带宽的可利用性。

•友好的系统/报表管理

集中管理平台NSFOCUS ADS-M提供硬件和软件两种形态，可对ADS进行管理和数据整合，提供直观便利的设备运行监控、策略配置、报表生成和抓包取证等功能。ADS-M可以对多台ADS设备进行集中管理让防护更加高效简洁。

•独特的增值业务管理

结合NSFOCUS ADS-M系列的管理产品，系统提供特有的运营维护和自服务系统的增值服务平台，用户可获取服务收益。运营商藉此对有强烈防护需求的大客户（网吧、证券、珠宝商场、电力、政府、酒店、IPTV提供商等）提供安全防护增值服务，该平台既提高了大客户对其系统安全状况的感知度，又提升了客户的服务质量与内涵。

•IPv6 & IPv4双栈支持

Ipv6的时代大幕正在逐渐开启，互联网向ipv6过渡已经开始进入实施阶段。积极接应客户需求，产品支持IPv6&v4双栈协议，解除客户后顾之忧。