H3C SecPath AFC2000异常流量清洗
项目 | SecPath AFC2020 | SecPath AFC2040 | SecPath AFC2100/AFC2100-D | SecPath AFC2200 | NSQM1AFCCTI0 |
接口 | 1个配置口(Console) 4个千兆以太电口 4个千兆光口 | 1个配置口(Console) 2个千兆以太电口(管理口) 4个以太网电口 8个千兆光口 | 1个配置口(Console) 2个千兆以太电口(管理口) 4个千兆以太光电复用口 2个万兆光口 | \ | 2个配置口(Console) 2个千兆以太电口 4个万兆光口 |
(W ×H ×D) | 440mm×88mm×500mm (2U盒式) | 490mm×135mm ×435mm (3U 机框式) | |||
环境温度 | 工作:0~45℃ 非工作:-40~70℃ | ||||
环境湿度 | 工作:10~95%,无冷凝 非工作:5~95%,无冷凝 | ||||
属性 | 说明 | |
攻击防护能力 | 1.支持对欺骗与非欺骗的TCP (SYN, SYN-ACK, ACK, FIN, fragments) 、UDP (random port floods, fragments)、ICMP (unreachable, echo, fragments)、(M)Stream Flood及混合类型攻击的防护。 | |
SYN攻击防御 | 对欺骗与非欺骗等不同类型的SYN Flood攻击支持算法调整功能,在监测到缺省算法无效或者不佳时,可通过人工灵活调整算法;串联模式至少3种防护机制,旁路模式至少5种,支持真实源探测防护机制; | |
UDP攻击防御 | 对欺骗与非欺骗等不同类型的UDP Flood攻击支持组合防御,在监测到缺省算法无效或不佳时,可通过人工灵活调整防御模式;需具备“业务代理”、“数据包生命周期验证”、“数据包频率限制”、“协议关联验证”、“限时转发”等防御算法,支持真实源探测防护机制; | |
ICMP攻击防御 | 对非欺骗类型的ICMP Flood攻击具备“限时转发”防御算法。 | |
2.支持链接类型攻击组合防御,在监测到缺省算法无效或不佳时,可通过人工灵活调整防御模式,需包含Global(客户源)-To-IP(防护主机)模式、IP(客户源)-To-IP(防护主机)模式、IP-To-Port(防护主机)模式和IP(防护主机)-To-Global(客户源)模式等链接控制功能。 | ||
3.支持链接类型攻击组合防御,在监测到缺省算法无效或不佳时,可通过人工灵活调整防御模式,需包含“空连接释放”、“连接主动和被动断开次数限制”、“延时提交验证”和“端口关联验证”等防御功能。 | ||
4.支持链接类型攻击组合防御,在监测到缺省算法无效或不佳时,人员可提取数据包中内容字符,对客户源进行访问频率和并发数量限制,并且能够自动加入动态黑名单。 | ||
5.提供数据包访问控制功能,能够基于“数据内容长度”、“数据内容字符”、“客户源IP”、“防护主机IP”、“协议类型”、“客户源端口”、“防护主机端口”、“TCP Flags”和“TCP Windows size”等条件组合使用,并且能够输出匹配日志和自动加入动态黑名单。 | ||
6.提供IP黑、白名单功能。 | ||
7.提供网络中未知主机发现功能,能够基于IP地址和MAC地址对未知主机进行流量限制。 | ||
8.支持针对FTP、POP3、SMTP、SSH、HTTP、SSL/TLS协议类型进行防御,能够根据协议特征自定义防御类型。 | ||
9.设备具备针对HTTP业务提供专用的防护手段,支持文本文件、动态站点等不同级别防御设置,攻击程度较深时可进行手工验证。 | ||
10.设备具备针对UDP53、TCP53及DNS提供专用的DNS Query Flood防护手段。 | ||
11.提供流量过滤功能,可根据报文长度、源目IP、协议、源目端口号、标志位、窗口大小和数据内容等主键对流量进行控制。 | ||
12.支持对网络中未知的主机,根据IP、MAC进行输入和输出流量控制。 | ||
13.具备对网络中数据包字符相同的流量值限制功能。 | ||
14.攻击结束后具备攻击事件历史记录,记录需包含攻击源地址、目的地址、目的端口、开始时间、结束时间、持续时间、攻击类型、最大流量和报文档案等信息。 | ||
15.具备动态黑名单历史分析功能,包含屏蔽时间、源地址、目的地址和屏蔽原因等信息。 | ||
16.具备动态流量牵引功能,可根据流量值、攻击状态自动在其它路由器或交换机上改变流量走向。 | ||
管理功能 | 1.管理界面要友好、易用性强,应支持本地管理、远程管理等多种管理方式,并能实时显示攻击事件、流量、系统运行状况等信息。 | |
2.系统具备统一管理平台,在集群部署时支持对多台设备的集中管理,日志收集,运行状态监控,策略下发。 | ||
3.针对防御主机IP能够进行流量排名、链接排名、攻击状态筛选等功能。 | ||
4.能够根据总流量、输入流量、输出流量、攻击频率、总连接、新建连接进行TOP 100过滤。 | ||
5.支持手动和自动报文捕捉功能,手工报文捕捉功能可根据协议类型、源IP地址、目的IP地址、MAC地址、采样比等条件进行自定义报文捕捉,捕捉报文可以自动上传TFTP服务器。 | ||
6.支持攻击时自动邮件告警功能,邮件信息需要包含攻击源地址、目的地址、目的端口、开始时间等信息。 | ||
牵引方式 | 1.支持静态和动态牵引方式,并且支持BGP、OSPF路由协议。 | |
2.支持二层回注、三层回注、GRE回注、MPLS LSP回注、MPLS VPN回注等多种回注方式。 | ||
