抗DDOS新利器，大唐龙创防洪墙, P1 ^/ Z" }( R5 x

5 M. f! j% u/ ^0 L1 R: s3 C随着政府上网、电子商务、校校通工程，网上银行的蓬勃发展，Internet正在逐渐融入金融、商务、政府、学校等各个领域，渗透到每个人的日常生活。Internet网络用户成分也越来越复杂和多样化，随着网络应用的普及和网络交易的频繁，出于各种目的的网络入侵、攻击和非法活动也成上升趋势。( G9 x% J+ D8 T
4 ?' x& O8 v- ?6 i" T
　　政务门户站点被攻击，邮件服务器被阻塞，经营性网站被不明身份的流量攻击造成用户无法访问，电信DNS服务器和路由器被黑造成大量用户无法接入，高考招生查询服务系统被攻击瘫痪等恶意网络攻击事件时有发生，不仅对我们的正常网络访问造成影响，同时造成了巨大的经济损失，在社会上也影响极大。
( g9 p" H6 T& v7 O8 l9 r& M; H( n. H4 t3 O) a/ \- s% u
举几个例子：
* f* V1 B& J2 _# \- V6 _1 u3 m1 b
' j& }/ Z) ~: b) `5 C' d! Q/ \　　2000年中美黑客大战期间，中国的多家政府网站被不明黑客通过拒绝服务攻击的方式攻击造成多家政府部门的站点瘫痪，造成了很大的政治影响，引起国家安全局的高度重视。1 E' d* ]1 W2 F5 G+ D- `) g
9 b0 r) U0 Z' x; v' z
　　2002年高考结束后，XX省高教局开办的网上查分系统遭受猛烈的拒绝服务攻击，当地教育网对外服务无法开展，几乎无法完成后来的网上招生工作。
9 t8 H- f# X* z2 D. B
1 j+ n; n! k$ j! l* f! D" ?3 D　　2005年，北京等地网通公司的接入DNS和路由器被黑，造成网络瘫痪数小时。8 `( U  t6 l% l- T8 }& u( A( k

+ P* q' q' p( w% w' U% a　　这类以拒绝服务为目的的攻击事件，急剧破坏力。它通过同一个时间，向同一个IP地址发送海量数据包，造成设备负载过高，最终导致网络带宽或是设备资源耗尽，正常用户无法访问站点页面，或者无法正常接入internet。: H0 @) \, \1 f$ \, s

& p, g+ L6 C8 t　　对于业界来说，DoS攻击已经伴随着Internet的发展存在了很长时间，其原理虽然简单，但由于攻击工具很多，且在互联网上很容易获得，普通的人员通过下载攻击工具也很容易达到攻击目的。一般情况下，攻击的数据包采用源地址伪造技术，使得攻击的来源很难追查。因此DoS(拒绝服务)攻击目前成为互联网所面临的最主要威胁，特别是在PC主机的配置越来越高，终端用户的接入带宽越来越大的今天，形成一次海量DOS攻击变得越来越容易。
9 y% q' r5 S/ f1 h$ E8 |- {: p9 l  \
　　加州大学研究机构发布的一份报告中指出：目前，世界范围内每周至少会发生两万次拒绝服务攻击，由于网络应用的增多，其带来的灾难性破坏和经济损失也将越来越大。. ]! }" ?+ F9 m- `

& M0 Z8 `5 O7 C( }; ]　　对于我们的政府网络系统，如果遭到DDoS攻击,网站的Internet出口将会拥塞，内网用户不能正常浏览网页，不能收发Email邮件，网上办公的一些流程将会受到影响，提交的表单可能得不到及时处理，如果政府门户网站遭到攻击，带来还可能是重大的政治影响。
  o2 F7 b6 D) {$ }2 h$ `
* p8 e" K& ?. M3 ]% ]2 V4 |% u1 [! c　　对于企业而言，DDoS攻击意味着系统不能正常对外提供业务和交流，企业数据报表不能及时处理，企业的生产和销售数据不能及时反馈，从而影响企业正常的生产与决策。5 J) F  @9 S; p2 H
4 X$ e7 B# u# v( `
　　对于依赖网络生存的企业和系统，如网上交易平台，门户站点，网上游戏提供商，网上银行交易，网上股票交易，铃声下载业务等，遭受攻击后的损失就更严重。
% t: t6 q% i: ~  \3 c1 f& L7 H
　　以前，用户对付这种DoS拒绝服务攻击，一般采用的方式是退让策略，比如增加服务器系统资源，扩大内存，提高CPU主频和CPU数量、扩充服务器集群数量等方式。这种方式在过去在一定程度上可以缓解这种攻击，但随着网速带宽的高速增长和黑客攻击工具的升级，这种方式同样目前已经无法抵御大容量的DDOS攻击了。客户通过购买冗余硬件的方式来提高系统抗DDoS的能力的这种退让策略，性价比过低，而且，一旦黑客提高攻击流量之后，这种方法往往失效，并不能从根本意义上防护DDoS攻击。& r  j! @( Q# I8 s; a" P) v+ s  T

7 v9 [0 s- f! G6 b　　目前市场上常见的网络安全产品，特别是使用最多的硬件防火墙系统，由于防火墙设计原理中并没有考虑针对DDoS攻击的防护，多数硬件防火墙对于防护这类DDoS攻击目前都一筹莫展。在某些情况下，防火墙甚至会成为DDoS攻击的目标而导致整个网络的拒绝服务。7 f! E- t2 Y- h
/ f2 T2 S) ^4 _5 z/ {* U9 C' B
　　因为，防火墙其实是只对数据IP包的特定包头进行判断，无法精确的从背景流量中区分出攻击流量，而加入深层包过滤功能的高端防火墙，其高强度检查算法的加入，消耗了防火墙的计算能力。在DDoS海量流量攻击时，会造成防火墙性能急剧下降，甚至不能有效地完成包转发的任务，而造成防火墙速度变慢，甚至宕机。
: R* `& S. Z, f' U$ Z
8 b+ a$ z! ]( G' U7 @/ Y　　因此，对于抵御DDOS攻击，需要采用专用的硬件系统进行防护。目前可以真正做到高速防护的抗DDOS硬件设备很少，大唐电信LongTech AFW防洪墙是其中之一，已经在电信IDC机房得到大量应用。
4 T1 x, G, q: h  d
! j5 o6 d) ~! H　　大唐龙创是上市公司大唐电信专门从事网络安全产品生产与服务的高科技公司。公司致力于专业网络安全产品研发、生产、销售，是国内领先的网络安全产品供应商。公司拥有包括防火墙，路由器，入侵检测，VPN等全线的网络安全软硬件产品。并大规模应用在国内的政府、教育、金融、石化、电信、电力、证券、税务、工商、军队等行业和部门。. E; N7 O6 Z% d! g

7 g3 W5 M3 T* v" G; j3 m4 G6 J　　大唐龙创结合多年电信级网络设备开发经验，开发、研制的专门用于抵御拒绝服务等洪水攻击的硬件系统。它不同于一般的防火墙系统。
6 b) i; }% s8 @; Q% F+ ~  `) S3 [) w( E
9 i2 [! ~0 J1 U2 Y　　大唐LongTech AFW防洪墙采用内核提前过滤技术、反向探测技术、指纹识别技术等多项专利技术来发现和提前过滤DDoS非法数据包，做到了智能抵御用户的DoS攻击，大唐LongTech AFW防洪墙的高配置硬件系统和优化的软件算法，抵御海量攻击，真正实现了在发生大规模攻击时仍能做到正常处理与转发用户的合法访问。
3 s+ h5 ]1 f* @$ [3 x% b0 P9 \* p# n( P: p0 q: M
　　同市场上同类产品相比，大唐LongTech AFW防洪墙是一款真正实现抗攻击算法与硬件完美结合的网络高性能硬件产品，防御的种类最多，性能最快，稳定性最高，还融合了路由器与防火墙控制的众多功能，包括NAT地址转换，路由转发，防火墙访问控制，可以使得用户不仅可以实现透明接入，与用户的其它网络设备配合使用，也可以一次投资，利用其强大而丰富的功能，直接实现在网络建设上的跨越式发展。9 Q9 v  q3 {) x+ o3 z) V6 X4 q
; e( m2 D7 `1 Z$ v* ?$ |% T( J
公司地址：北京海淀区学院路40号0 o; w$ z- E# f# s/ r
热线电话：010-82252829,400-650-02849 X% u3 z% Y$ r9 e1 M+ Q/ g- Q7 P
邮    编：100088
- f% W* d, U& {8 ~3 @/ L网    址：www.longtech.com.cn

然也，我在奇瑞做网络安全，公司整体采购的就是明朝万达的Chinasec安元，这套系统注重从信息的源头开始抓安全，对信息的存储、交换和使用等环节实现全面保护，从而达到信息的全程安全，主要有以下几方面的特点。/ ?3 R+ s2 K" ]
1、        对内网原网络系统性能影响小。此产品体系完全基于TCP/IP协议网络，不需要改变现有网络结构，支持远程管理，对原系统的性能影响很小。
0 }- }- F4 C$ q4 F2、        提供整体一致的内网安全解决方案，基于同一个管理平台，提供身份认证、授权管理、数据保密和监控审计的完整互动安全策略。
) l# V2 w# Z- y3、        提供多种灵活的透明加密措施，根据用户需求可以进行文件加密、文件夹加密、本地磁盘加密、移动存储设备加密和邮件智能加密等。
) f0 l, O' o4 R4、        具备广域网和大用户数等大规模网络部署的架构和性能，支持多机热备、负载均衡、分级管理和多级部署的功能。& d# r- @+ N- D; M4 T/ o! `
5、        支持基于用户、计算机和控制内容的三要素策略设计思想，策略可以灵活控制，针对不同的用户和不同的计算机可以实施不同的策略，支持权限在内部信息网络中的漫游。- r, S- b/ m# s% K& `5 ~+ [% }; }
6、        紧扣国家保密局颁发的《涉及国家秘密的信息系统分级保护管理办法》，支持对政府、军队和军工等涉密内网的分级分域管理。数据在同一个虚拟保密子网（VCN）内可以正常相互交换，不同虚拟保密子网内数据交换需要管理员授权，实现分域管理。不同保密级别的VCN可以根据需要设置控制力度不同的保密策略，实现分级管理。* l6 o+ z* p) X" P
7、        充分考虑和尊重一般企业既需要访问互联网，又希望对核心数据进行保护的需求，提供基于模式切换的解决方案，帮助用户有效实现既要上网又要保密的目标，提供灵活的企业数据安全解决方案。
4 J5 V  x0 g" C6 m8、        提供了对移动存储设备的强大管理功能，提供针对移动存储设备的注册、认证、策略控制和使用审计等措施。其中，策略控制支持禁用、只读、加密和解密等方式，注册则可以基于用户、计算机和控制策略三要素进行管理。
1 y8 y2 K& b. E3 A9、        提供丰富的授权管理内容，包括服务器访问、终端计算机使用、外设、网络、应用程序和U盘使用等。
, u6 z7 S1 S+ [, R0 E5 X10、        支持丰富的日志审计、报表生成以及实时报警监控等功能，提供丰富的管理手段。/ `0 @9 U) K" k- t8 A: |$ H4 {6 Z
总之，Chinasec安元通过主动加密、事前控制、事中监视、事后审计四种手段相结合，可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果，有效防止机密敏感信息的泄漏。