DPtech异常流量清洗彩页

自定义 URL 过滤规则库、基于时间段过滤等
自动升级、手动升级
阻断、限流、重定向、隔离、Email 告警等
支持攻击事件查询、攻击事件明细、攻击事件统计分析、攻击事件报表
Web、CLI
无源直通、Fail-Open、双机热备
订购信息
设备 DPtech IPS2000-MA-N DPtech IPS2000-GS-N DPtech IPS2000-GA-N DPtech IPS2000-GE-N DPtech IPS2000-TS-N
在线模式、监听模式、混合模式
缓冲溢出攻击、蠕虫、木马、病毒、SQL 注入、网页篡改、恶意代码、网络钓鱼、间谍软件、DoS/DDoS、流量异常等
文件型、网络型和混合型等各类病毒
支持新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。
迅雷、BT、eDonkey、eMule、网际快车、PPLive、QQLive、MSN、QQ 等
DPtech IPS2000 系列入侵防御系统
【产品彩页】 DPtech IPS2000 系列
产品概述
DPtech IPS2000 系列入侵防御系统创新性地采用了“多业务并行处理引擎（MPE）”技术，能够满足各种网络环境对应 用层安全防护的高性能、高可靠和易管理的需求。可以提供入侵检测/防御、流量控制、病毒防范、网页过滤等应用层安 全功能，是应用层安全保障的最佳选择。
IPS2000 具备如下特点：
率先采用先进的多核硬件架构 专业的系统漏洞防护 创新性地集成专业防病毒厂商的防病毒引擎 全面的 P2P 等流量识别和控制
特征库自动更新，持续安全防护 实时的响应方式：阻断、限流、隔离、重定向、E-mail 灵活的部署模式：在线模式、监听模式、混合模式 无源直通、Fail-Open 等高可靠性机制

流量清洗解决方案拒绝服务攻击（DoS, Denial of Service）是指利用各种服务请求耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。

而随着僵尸网络的兴起，同时由于攻击方法简单、影响较大、难以追查等特点，又使得分布式拒绝服务攻击（DDoS，Distributed Denial of service）得到快速壮大和日益泛滥。

成千上万主机组成的僵尸网络为DDoS 攻击提供了所需的带宽和主机，形成了规模巨大的攻击规模和网络流量，对被攻击网络造成了极大的危害。

随着DDoS攻击技术的不断提高和发展，ISP、ICP、IDC等运营商面临的安全和运营挑战也不断增多，运营商必须在DDoS威胁影响关键业务和应用之前，对流量进行检测到并加以清洗，确保网络正常稳定的运行以及业务的正常开展。

同时，对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务，以获得更好的用户满意度。

DDoS攻击分类DDoS （Distributed Denial of service）攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源，造成被攻击网络无法处理合法用户的请求。

而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类。

主要表现特征如下：按攻击发起者分类僵尸网络：控制僵尸网络利用真实DNS协议栈发起大量域名查询请求模拟工具：利用工具软件伪造源IP发送海量DNS查询按攻击特征分类Flood攻击：发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求资源消耗攻击：发送大量非法域名查询报文引起DNS服务器持续进行迭代查询，从而达到较少的攻击流量消耗大量服务器资源的目的DDoS攻击防御技术DoS/DDoS攻击种类繁多，针对每一种攻击往往都需要特定的技术加以防御。

但尽管如此，DoS/DDoS攻击防御技术还是可以简单分为以下几种大的类别：代理技术：以Syn Proxy技术为典型代表，由设备代替服务器响应客户请求（如TCP 连接请求），只有判定为非DoS攻击的数据包才代理其与服务器进行通信。

High HTTP VoIP DB POP IMAP SMTP BT eMule/eD2K CS
3
关键业务应用
Email
关键业务 应用 Med Email Low P2P 网络游戏
从无序到有序
P2P 网络游戏
总 带 宽
带宽管理：P2P等流量的全面透析和管理，提升带宽价值
安全防护：集成卡巴病毒库，具备恶意攻击防御能力
FPGA
RAM Filter Matching RAM RAM
RAM
RAM 解密
IPSec
• 全球第一款万兆线速应用硬件架构：Crossbar+ Multi-Core + FPGA
• 全业务微秒级时延
• 全球第一款支持50000条过滤器并行处理 • 数据与控制相分离
Page25 25
11 Page11

ConPlat OS系统平台
ConPlat 内容操作系统 •防病毒 •间谍软件 •DDoS 网络层 •路由 •接口 •ARP攻击 •交换•NAT •ACL/NAT.. •路由 •防垃圾邮件 •防网页篡改 •带宽滥用 •防火墙 •ACL •交换
目录
IP网络的发展与挑战
DPX8000产品简介 DPX8000业务特色
网络与安全的最佳融合 万兆线速处理性能无衰减
独创的虚拟化技术
数据中心级高可靠
Page21

APP-X分布式无阻塞硬件架构
背板
先进的Crossbar多级多平面交换 架构， 6.48T级交换容量 超高端口密度，单台设备支持324 个万兆端口、480千兆端口
应用层 •防病毒 •防垃圾邮件 •防漏洞攻击 •木马 •负载均衡 •非法扫描 •应用加速 •… •木马

ACK Flood、TCP Fragment Flood、HTTP Flood、HTTPS Flood、DNS Query Flood、 DNS Reply Flood等。
状态型攻击： • 利用服务器性能处理薄弱环节，以小博大，用较小的攻击流量消耗服务器的用户连接数或者系
统关键资源使得系统无法对外提供正常服务。 • 常见攻击类型：新建攻击、连接耗尽攻击、慢速攻击、CC攻击、DNS递归攻击、分片攻击等。
支持
基础安全业务板
支持
应用安全业务板
支持
应用交付业务板
支持
DPX19000云级业务核心平台
DPX19000-A18
DPX19000-A6
DPX19000-A10
全球性能领先的深度业务交换平台
全球性能领先的深度业务交换平台
➢ 6.48Tbps交换容量 ➢ 400Gbps吞吐量（64字节小包） ➢ 1500万每秒新建链接 ➢ 5亿并发连接
1G端口
支持
10G端口
支持
40G端口
支持
基础安全业务板 应用安全业务板
支持
支持
应用交付业务板
支持
DPX8000深度业务交换网关
DPX8000-A12
DPX8000-A5
DPX8000-A3
多业务插卡的功能集成
NAT-Blade
IPS2000-Blade
UAG3000-Blade
Guard3000-Blade Probe3000-Blade
7×24小时服务
愿景与使命
定位
使命
愿景
企业的定位
企业的方向
企业的目标
企业责任
迪普的愿景 让网络变得简单、智能、可靠。

DPtech Probe3000系列异常流量检测系统安装手册杭州迪普科技有限公司为客户提供全方位的技术支持。

通过杭州迪普科技有限公司代理商购买产品的用户，请直接与销售代理商联系；直接向杭州迪普科技有限公司购买产品的用户，可直接与公司联系。

杭州迪普科技有限公司地址：杭州市滨江区通和路68号中财大厦6层邮编：310052声明Copyright2009杭州迪普科技有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

由于产品版本升级或其他原因，本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录第1章产品介绍1-11.1产品概述1-1 1.2产品型号及规格介绍1-1 1.3前后面板介绍1-2 1.3.1P ROBE3000-GA产品外观1-2 1.3.2P ROBE3000-GE产品外观1-4 1.3.3P ROBE3000-TS产品外观1-7 1.4端口介绍1-9 1.4.1C ONSOLE口1-9 1.4.210/100/1000B ASE-T以太网电接口1-10 1.4.3SFP口1-11 1.5产品组件1-14 1.5.1处理器及存储器1-14 1.5.2各类接口1-14第2章安装前的准备2-12.1通用安全注意事项2-1 2.2检查安装场所2-1 2.2.1温度/湿度要求2-1 2.2.2洁净度要求2-2 2.2.3防静电要求2-2 2.2.4抗干扰要求2-3 2.2.5防雷击要求2-3 2.2.6接地要求2.2.7布线要求2.3安装工具2-4第3章设备安装3-13.1安装前的确认3-1 3.2安装流程3-2 3.3安装设备到指定位置3-2 3.3.1安装设备到工作台3-3 3.3.2安装设备到19英寸机柜3-4 3.4连接接地线3-5 3.5连接接口线缆3-6 3.5.1连接配置口线缆3-6 3.5.2连接网络管理口3-6 3.5.3连接业务口3-7 3.6连接电源线3-7 3.7安装后检查3-7第4章设备启动及软件升级4-14.1设备启动4-1 4.1.1搭建配置环境4-1 4.1.2设备上电4-4 4.1.3启动过程4-5 4.2W EB默认登录方式4-6第5章常见问题处理5-15.1电源系统问题故障处理5-1 5.2设备故障处理5-1图形目录图1-1Probe3000-GA前视图1-2图1-2Probe3000-GA前面板指示灯1-4图1-3Probe3000-GA后视图1-4图1-4Probe3000-GE前视图1-5图1-5Probe3000-GE前面板指示灯1-6图1-6Probe3000-GE后视图1-7图1-7Probe3000-TS前视图1-8图1-8Probe3000-TS前面板指示灯1-9图1-9Probe3000-TS后视图1-9图1-10RJ45水晶头外观1-11图1-11以太网电缆的示意图1-11图1-12LC型连接器外观1-13图1-13SC型连接器外观1-13图1-14光模块示意图1-14图1-15Probe3000-GA以太网接口1-15图1-16Probe3000-GE以太网接口1-15图1-17Probe3000-TS以太网接口1-16图3-1设备安装流程3-2图3-2安装设备于工作台3-4图3-3安装挂耳3-4图3-4安装设备到机柜（为清晰起见省略了机柜）3-4图3-5固定设备3-5图3-6连接接地线示意图3-5图3-7连接保护地线到接地排3-6图4-1通过Console口进行本地配置示意图4-1图4-2超级终端连接描述界面4-1图4-3超级终端连接使用串口设置4-2图4-4串口参数设置4-3图4-5超级终端窗口4-3图4-6终端类型设置4-4图4-7Web网管登录页面4-7表格目录表1-1Console口属性表1-10表1-2千兆以太网电接口属性表:1-10表1-3千兆以太网光接口属性1-11表2-1机房温度/湿度要求2-2表2-2机房灰尘含量要求2-2表2-3机房有害气体限值2-2表4-1设置串接口属性4-2第1章产品介绍1.1产品概述DPtech Probe3000系列（异常流量检测设备）产品是DPtech公司面向运营商、大型互联网行业开发的新一代防御分布式拒绝服务攻击的产品。

10.1.1.2
leadsec-Guard
目标主机10.1.2.2
规避环路的方法
Guard
二层回注 PBR回注
Guard
环路问题 解决方案
Guard
GRE GRE回注 VRF MPLS回注
Guard
GRE
旁路的优势和劣势
优势： • 部署简单，不需要改变原有网络拓扑 • 性价比高，100G的网络第一期可以先部署 10G的清洗 • 不会引起单点故障 • 方便扩容，集群更容易部署 劣势： • 针对应用层的攻击，尤其是慢速攻击，flow 检查无法检测到 • 清洗设备不能实时学习正常数据
目录
1 流量清洗产品的前世今生 流量清洗产品的部署特点 流量清洗产品与防火墙的区别 如何设计一个好的流量清洗产品 黑客常用攻击手法简析
2
3 4
5
6
流量清洗产品的部署方案分类
• 串联线模式 • 思科提出的flow检测+动态牵引+清洗方案 • 华为提出的DPI检测+TOS标记牵引+清洗方 案
串联线模式
DDOS举例—Teardrop
Teardrop 攻击
发送大量UDP病态分片数据包
UDP Fragments UDP Fragments UDP Fragments UDP Fragments UDP Fragments 受害者 攻击者
服务器 系统崩溃
攻击表现 发送大量的UDP病态分 片数据包 早期操作系统收到含有 重叠偏移的伪造分片数 据包时将会出现系统崩 溃、重启等现象 现在的操作系统虽不至 于崩溃、重启，但是处 理分片的性能并不高， 疲于应付 无暇理睬正常的连接请 求—拒绝服务
针对应用层防护的旁路改进部署

概述杭州迪普科技有限公司（以下简称DPtech），运营总部设在杭州，是在网络安全和 应用交付领域集研发、生产、销售于一体的高科技企业，为用户提供深度安全检测 与防御、深度应用识别与加速的整体解决方案。

DPtech拥有自主知识产权的高性能内容识别与加速芯片及应用交付软件平台，目标 成为网络安全及应用交付领域领先的解决方案提供商。

Page 0市场与合作• • • • • • • • 中国电信集团IPS选型，万兆IPS技术排名第一 中国银行等保类安全产品仅有三家防火墙、IPS供应商之一 产品四证（公安部销售许可证、信息测评中心、保密局、解放军）齐全 国家密码管理局认证的商用密码产品生产定点单位证 国家信息测评中心认证的信息安全服务一级资质 强大的安全漏洞研究能力，国家漏洞库提供者之一，已成为微软MAPP合作伙伴 开放的渠道合作政策，上百个合作伙伴覆盖全国主要城市 超过3600个客户，广泛应用于各个行业Page 1全系列产品一览UMC统一管理中心资源管理(网络/QoS/ACL/VLAN/配置/报表) 用户管理(用户接入/准入控制/行为审计/认证计费)业务管理(网络流量/安全/加速/可用/应用业务)加速流控 加速可用应用交付 工业交换机DPX应用超乎想像全业务安全应用防火墙/UTMIPS/防毒墙统一审计网关异常流量清洗漏洞扫描/WebShield/TACPage 2应用防火墙产品万兆级FW1000-GE-N FW1000-TS-N FW1000-TM-N FW1000-TA-N千兆级FW1000-GC-N FW1000-GS-N FW1000-GM-N FW1000-GA-N百兆级FW1000-MS-N FW1000-MA-N FW1000-ME-N•业务创新：下一代应用防火墙，内嵌丰富的应用过滤与控制引擎 •卓越领先：百G平台，先进的硬件架构体系 •硬件加密：全内置硬件IPSec、SSL加密 •组网灵活：支持丰富的网络协议，适应各种复杂组网环境Page 3统一威胁管理UTM产品万兆级UTM2000-GE-N UTM2000-TS-N千兆级UTM2000-GS-N UTM2000-GM-N UTM2000-GA-N百兆级UTM2000-MS-N UTM2000-MA-N UTM2000-ME-N•All-in-one：集成防火墙、VPN、入侵防御、防病毒、URL过滤、带宽滥用控制、行为审计等功能•高性能：创新硬件平台，保障多功能线速处理 •业务创新：支持用户上网行为管理与3G接入，业界唯一 •高性价比：降低TCO，简化网络结构，绿色环保Page 4入侵防御系统IPS产品万兆级IPS2000-TS-N千兆级IPS2000-GS-N IPS2000-GA-N IPS2000-GE-N百兆级IPS2000-MC-N IPS2000-MS-N IPS2000-MA-N IPS2000-ME-N•超强性能：万兆线速处理，微秒级延迟 •综合防护：漏洞库、病毒库、协议库三库合一 •快速响应：专业漏洞研究团队，与微软、卡巴斯基等进行深度合作，具备防御零时差攻击能力•高可靠：智能掉电保护，冗余电源、双机热备Page 5防病毒产品万兆级IPS2000-TS-AV千兆级IPS2000-GS-AV IPS2000-GA-AV IPS2000-GE-AV百兆级IPS2000-MC-AV IPS2000-MS-AV IPS2000-MA-AV IPS2000-ME-AV•超强性能：万兆线速处理，微秒级延迟 •病毒防护：先进的病毒查杀引擎，内置卡巴病毒库 •全面防护：应用层安全问题一揽子解决 •轻松管理：全透明部署，即插即用Page 6审计&流控产品万兆级UAG3000-TS千兆级UAG3000-GS UAG3000-GA UAG3000-GE百兆级UAG3000-MC UAG3000-MS UAG3000-MM UAG3000-MA UAG3000-ME•行为审计：一体化行为管控，保护内部数据安全 •带宽管理：P2P等流量的全面透析和管理，提升带宽价值 •安全防护：集成卡巴病毒库，具备恶意攻击防御能力 •高效智能：构建可视、可控、可优化的高效网络Page 7异常流量清洗产品检测设备Probe3000-GA Probe3000-GE Probe3000-TS清洗设备Guard3000-GA Guard3000-GE Guard3000-TS•超强性能：万兆防护能力，微秒级延迟 •高适应性：对于未知攻击流量具有自学习能力，并提供丰富的自定义特征实施智能防御 •全面防护：SYN/UDP/ICMP/DNS Query/CC等各种DDoS攻击的精确识别和清洗 •高可用性：优异的网络适应性，支持在线或旁路部署，异常流量按需清洗 •可管理性：丰富的清洗报告和统计报表，效果直观、高效Page 8异常流量清洗解决方案由异常流量检测、异常流量清洗和业务管理平台3部分组成4 牵引流量,对异常 流量进行清洗流量牵引 流量回注攻击停止， 5 通知业务管 理平台正常流量不受影响异常流量清洗平台3 通知清洗平台， 开启攻击防御业务管理平台UMC12发现攻击通知 业务管理平台1异常流量检测平台企业 酒店网吧流量清洗中心Page 9DPX深度业务交换网关产品交换板：•48GE 接口 •4*10GE/8*10GE接口 •4*2.5G/4*10G POS接口，1*40G POS接口开发中 •全线速交换业务板：•单板业务处理能力20G，整机最大200G •单板并发连接数400万，新建连接数20万/秒DPX8000-A3 DPX8000-A5 DPX8000-A12•单板ACL能力96K条，最大支持24端口聚合•高性能：大交换容量，最多支持480*GE/80*10GE接口线速转发 •业务丰富：负载均衡、应用加速、防火墙、IPS、异常流量清洗、流量控制、行为审计等功能按需扩展，最大200G深度业务线速处理能力•虚拟化：端到端的从网络层到应用层的虚拟化能力 •高可用性：丰富网络协议，支持48GE电/光、4*10GE/8*10GE光、2.5G/10G/40G POS等高密接入Page DPX数据中心安全交付解决方案业界唯一交换、安全、加速一体化的数据中心解决方案，提供最高性价比Internet Internet 交换板: •48GE •4*10GE •8*10GE •4*10G POS •...技术与特色：• 大交换容量，最多支持480*GE/80*10GE接口线速转发核心层 DPX8000• 负载均衡、应用加速增强用户体验 • FW 、IPS、异常流量清洗进行安全加固 • UAG实现流量和业务的可视、可控、可管汇聚层 DPX8000业务板: •负载均衡 •应用加速 •FW •IPS •异常流量清洗 •UAG •...• 端到端的从网络层到应用层的虚拟化能力 • 双机热备、信息同步等高可靠设计接入层最佳应用：• 政府、金融、电力、大企业数据中心 • 运营商IDC/EDCPage 11ADX应用交付产品DPX ADX业务板卡ADX3000-GS•自带12光、12电，5Gbps •DPX8000-A3：5~10Gbps •DPX8000-A5：5~20Gbps •DPX8000-A12：5~50GbpsADX3000-MEADX3000-GCADX3000-GE•600M～50G处理能力、高密接口，可部署于各种高端场景， •支持服务器负载均衡、链路负载均衡，并具备全面的健康检查和负载均衡调度算法 •提供TCP优化/复用、HTTP压缩、SSL加速、DDoS攻击防护等应用加速能力，体验效果明显•路由协议丰富，支持NAT、单臂、三明治等多种组网方式Page 12 其它部分产品•网络资产漏洞扫描漏洞扫描 ScannerScanner1000-MS Scanner1000-GS•应用服务漏洞扫描•支持Windows/Linux/Unix网站防护 WebShieldWebShield Agent WebShield Manager•动态防护SQL注入/XSS…•终端安全终端接入控制 TACSecHelper TAC Manager•可信接入Page 13数据中心安全解决方案数据中心面临的主要安全威胁： • 分布式拒绝服务攻击 • 系统漏洞和入侵风险 • 蠕虫、病毒等应用层攻击 • 客户满意度下降 数据中心安全解决方案： • 安全域的划分 • 漏洞扫描系统进行风险检查 • 安全域边界的隔离和防护 • 异常流量检测和清洗 • 门户网站的防篡改 • 负载均衡及应用加速 • UMC进行统一管理托管主机 独享主机 WebShield 自有主机 Scanner/UMC 管理维护区 Probe Guard Probe Guard InternetDPX FW IPS LBDPX FW IPS LBPage部分客户Page 15。

可靠性
双电源/双风扇
接口板类型
2个扩展插槽，扩展槽位支持 4*FE(RJ45)、2*GE(Combo)等接口类型。
外形尺寸： 宽×深×高 (mm)
436×560×44.2(MM)
重量
10KG
功率
100W
平均无故障间隔时间 37.54 年
(MTBF)
华为流量清洗解决方案 09
型号
Eudemon8080E
Eudemon8160E
槽位数量
8槽位，最大4个检测/清洗板， 16槽位，最大8个检测/清洗板，8个
4个接口板
接口板
检测清洗能力
80G
160G
防御IP数量
防护对象2000，精细防护IP 1万个 100万个目的IP普通防护
DDoS攻击可防护种类
流量型攻击 • SYN Flood • ACK Flood • SYN-ACK Flood • FIN/RST Flood • IP Fragment Flood • UDP Flood • ICMP Flood • Smurf攻击
• 高容量：最高提供2000个大客户、10000个IP地址的精细化防护和100万个IP地址的普通防 护。
高检出率－基于DPI的检测技术，保证DDOS防御高效
• DPI检测：区别于传统的NET FLOW设备, 华为技术有限公司流量清洗解决方案采用DPI检测 技术,深入分析报文的每个字节，精心打造的“七层净化”架构可以有效识别流量型攻击、 应用型攻击、扫描窥测型攻击和畸形包攻击等多种类型，确保流向客户的流量均为安全、 正确的业务流量。
高可靠－99.9999%可靠性，确保网络可靠运行
• 平台可靠：硬件平台采用双主控多交换（1+1主控引擎、3+1交换网板）和关键部件冗余 （电源冗余、风扇冗余）机制，协同提供核心路由器级别稳定保障；VRP软件平台现网400 万运行案例，可靠性业界领先。

【产品彩页互联网时代，信息系统已成为企业最重要的基础设施，并在企业的运营中扮演着日益重要的角色。

互联网、云计算等新技术帮助企业大幅提高效率，同时也带来了新的问题，核心业务系统和重要数据通过网络承载和传输，必然面临网络和信息安全问题，如何实现效率与安全并举是所有企业关注的问题，网络安全也将成为企业信息化建设的下一个热点。

传统建网理念中，企业内网与互联网相互独立，不会存在安全风险，因此在信息安全建设的过程中，企业长期关注来自于互联网和网络边界的威胁，忽视了内网安全建设。

而实际上，企业信息安全的首要威胁往往来自于内网攻击和病毒，内网安全则成为了整网的薄弱环节。

2017年5月22日，WannaCry勒索病毒在全球爆发，在内网迅速传播，致使大量企业的内网服务器感染停摆，这些企业虽然采购和部署了大量的信息安全设备，但面对层出不穷的内网攻击时仍然捉襟见肘。

勒索病毒是新形势下内网威胁的代表，它的大规模爆发恰恰说明了内网安全是现今企业信息化建设的盲点，构建一张安全内网已经势在必行。

传统的内网是一种共享型网络，终端互访不受控制，为病毒、攻击的传播提供了极大的便利，一旦发生内网安全事件，无法第一时间定位及控制攻击源，事后回溯也极其困难。

同时，传统内网终端往往采用客户端认证，而如今终端、操作系统类型不断丰富，客户端认证存在用户使用不便、管理员难维护及兼容性差的问题，实际上无法有效部署。

迪普科技针对内网安全现状，推出了DPtech自安全园区网解决方案，旨在通过轻量级的部署方式解决内网安全问题。

DPtech自安全系列交换机配合自安全控制器和自安全管理平台，可以提供无客户端认证、用户精确定位、病毒及攻击控制及用户行为回溯等特性，自安全交换机及自安全控制器和自安全管理平台联动，基于SDN架构实现用户整网策略跟随和自动化部署，实现用户轻松接入，网络管理员轻松运维。

DPtech自安全园区网解决方案专门面向园区网、办公网应用场景，可广泛应用于企业、政府、医疗卫生、教育等行业，在新形势的内网安全威胁下，采用轻量级的部署模型实现内网安全接入及安全运维。

02010246 ADX3000-Blade-S
DPtech ADX业务模块(S类)
02010103 ADX3000-Blade-A
DPtech ADX业务模块(A类)
02010109 ADX3000-Blade-E
DPtech ADX业务模块(E类)
02010166 BRAS-Blade
DPtech BRAS业务模块
02010034 ADX3000-Blade
DDPPtteecchh UUAAGG业业务务模模块块((SA类类)),含特协征议库库升3级年3,病年毒,病库毒1库年升 级 DP1t年ech UAG业务模块(E类),特征库升级3年,病毒库升 级1年
DPtech ADX业务模块,带24个千兆以太网接口 (12*SFP+12*RJ45)
53010429 LIS-FW1000-Blade-S-I-1Y DPtech FW1000-Blade-S,IPS库1年
53010430 LIS-FW1000-Blade-S-U-1Y DDPPtteecchh FIPWS21000000--BBllaaddee,-特S,征UR库L升库级1年-1年,病毒库升级-1
151000 151000
181000
DPtech MPUB适配器
DPtech MPUB 主控模块
DPtech MPUB-S主控模块
DPtech MPUB-S适配器
接口模块 DPtech 48端口千兆以太网光接口模块(SFP) DPtech 48端口千兆以太网电接口模块(RJ45) DPtech 4端口万兆以太网光接口模块(XFP) DPtech 8端口万兆以太网光接口模块(XFP) DPtech 32端口万兆以太网光接口模块(SFP+) DDPPtteecchh 2244端*G口E 以SF太P网+4接*1口0G模E块S(F1P2+*S以F太P+网12接*R口J模45块) (C 类 DP)tech 24*GE RJ45+24*GE SFP以太网接口模块(C 类) 业务插卡

5th International Conference on Machinery, Materials and Computing Technology (ICMMCT 2017)An Abnormal Traffic Cleaning SystemYang Li1,a,*, Yanlian Zhang2,b1DIGITAL CHINA(CHINA)LIMITED, Beijing, China2 China Flight test establishment , Xi’an 710089,China,a,*********************Keywords: Abnormal Traffic, Cleaning, Detection, Traffic Re-injectionAbstract.Abnormal traffic cleaning system is proposed, which includes a cleaning platform, a detection platform and a management platform. The cleaning platform is mainly deployed through the bypass to guide the flow of the attacked object to the cleaning equipment. According to the protection strategy, the attack traffic is cleaned and normal traffic, the detection platform complete the detection of traffic for the attack, the management platform to provide cleaning equipment, testing equipment, state monitoring. The system can effectively clean the abnormal traffic and improve the security of the network.1.IntroductionWith the development of network technology and network economy, the importance of network to enterprises and individuals is increasing. At the same time, the network security vulnerabilities are also being increased, the importance of network security issues is also growing. In the metropolitan area network side for enterprise customers to carry out traffic cleaning services to achieve the defences of DDoS attacks, can meet the dual needs of customers. The traffic cleaning service is a kind of network security service for the government and enterprise customers who rent the IDC service and monitor, alarm and protect against the DOS /DDOS attack.2. Architecture of Traffic Cleaning SystemAbnormal traffic cleaning system includes cleaning platform, detecting platform and management platform. These parts of the function may be implemented by a device, or each part of the function realize by a single device.The cleaning platform is mainly deployed through the bypass. It uses the routing protocol to route the attacked objects from the routing device to the cleaning device. According to the protection strategy, the abnormal traffic can be distinguished from the normal traffic to realize the cleaning of the attack traffic and the return of the normal traffic. And feedback the cleaning results to the management platform for unified management and presentation.The detection platform can use splitting, mirroring, or traffic information collection, and can detect the attack traffic based on the traffic baseline policy. After the test platform runs for a period of time in the network, it can form a set of traffic distribution similar to the actual network according to the traffic situation in the actual network. The automatic learning generation or manual configuration forms the traffic baseline. When an attack is detected, an alarm is generated to the management platform.Management platform provide cleaning equipment, testing equipment, state monitoring, and unified policy management, user management, device management and other functions, to provide users with cleaning statements query portal, can send and receive instructions to achieve linkage with other platforms.Traffic cleaning system can interact with external detection alarm system, unified scheduling platform; form a multi-level traffic cleaning system.Figure 1 architecture of traffic cleaning system3.Traffic Cleaning Function3.1 Traffic CleaningSupport clean typical traffic-based attacks, the cleaning of the attack types should include: Syn flood, ICMP flood, UDP flood, Ack flood, TCP connections flooded, DNS flood, HTTP post flood, Https flood. Support clean typical reflection attacks, including at least DNS reply flood, NTP flood and so on.Support cleaning of application-level non-traffic-based attacks, at least should include HTTP slow request attacks, CC attacks. Supports common DOS attack packet cleaning, include Smurf, Land, deformity package, and TearDrop.3.2 Cleaning limitAccording to the user policy, it is defined that when the total traffic rate of the protection object exceeds a certain threshold value, random discarding is carried out, and the flow rate after cleaning is limited below the threshold value.3.3 Black hole cleaningIt is recommended to use the route traction command to implement the black hole policy when the total traffic rate exceeds a certain threshold. This tells the neighbour router to directly flood all the traffic. Black hole routing instructions should support the use of BGP protocol.3.4 Cleaning featureAccording to the characteristics of the attack (such as IP header, TCP header, TCP payload, UDP header and UDP payload, source port, destination port, etc.) to define the precise filtering policy, support the analysis of typical protocol fields, and apply the attack feature to the protection object .3.5 Protection strategyProtection policy for the protection object should be configured. The protection objects should be distinguished by IP addresses. A default protection object policy should be supported to support the creation of a unified protection policy (the default protection policy) for protected objects that do not have explicit IP protection.The protection strategy should include the following:●Support the defence flow threshold and rate of a specific protocol●Support the use of specific cleaning algorithm (including whether the source calibration, etc.)●Support the cleaning strategy when exceeding the protection threshold (traffic rate limit, sub-protocol speed limit, black hole routing, etc.)●Configure the cleaning features of specific attack packets●Supports IP address blacklist function based on attack source geographic information (optional), and blacklist IP address traffic directly intercepts.3.6 Traffic tractionThe traffic cleaning device has a neighbour relationship with the router, and dynamically sends a route advertisement to the upstream (neighbour) router to dynamically draw the traffic of the protected object to the cleaning device. The traffic clean-up platform support dynamic routing traction using the BGP-4 protocol. Traffic cleaning and draining can support OSPF, IS-IS, MPLS LSP, MPLS VPN and other forms of traffic traction requirements.Traffic tracing supports specifying a traffic traction policy for each protection object. It supports setting the mask length for different bits in traffic advertisement for protection objects. The BGP peering policy support the configuration of BGP community, AS path, and other basic attributes. And can configure route-map, prefix-list, and other route filtering modes.The cleaning platform support BGP route advertisements with different attribute parameters for different neighbouring routers. The router can advertise only a route advertisement to a specific neighbour router (not all neighbour routers) to cooperate with the router in the network.3.7 Traffic injectedThe traffic injected through policy routing, MPLS VPN, MPLS LSP, GRE, and Layer 2 injection will be injected into the network.3.8 Traffic balanceDiversion and re-injection of two-way links should be supported through link aggregation, equivalent routing and other forms of drainage, re-injection flow load sharing.3.9 Cleaning source authenticationThe source IP address of the specified attack type should be authenticated according to the user protection policy. The IP address of the source IP address to be authenticated should be used as the source authentication whitelist. No longer need to perform source authentication. The whitelist should have a certain aging time.The number of IP addresses of the whitelist entries must be selected according to the deployment requirements. The total number of whitelist entries should be at least 100,000.4.Detection functionThe detection device support traffic detection by means of one or more means based on traffic information or per packet detection.●Data flow based detection: Supports the analysis of the data flow in the traffic, the acquisitionformat should support a variety of protocol formats, including Netflow V5/V9, Netstream and other protocols, while supporting IPv4 and IPv6 traffic detection.●DPI based traffic detection: Supports packet-by-packet traffic analysis to detect abnormaltraffic events in the network. Supports detection of traffic packets based on detection thresholds, detection features, and so on.●Dynamic baseline learning: The detection equipment supports the dynamic baseline learningtask. It should support dynamic baseline learning at a specified time, support dynamic baseline automatic generation, and support manual adjustment and confirmation of thresholds for dynamic learning.●Attack event Alarm :Alarm event list Including the alarm ID, alarm type, alarm cause,severity, IP address and port to be attacked, the source IP address of the attack, and the source IP address of the attack source, Start time and so on.5.Management functionLogin Management: B/S mode should support the user login management, multi-user landing at the same time, to support more than one login account or only single sign-on. Support mandatory toenable https, support the management of IP address restrictions, the command line should support SSH. RADIUS-based authentication should be supported.User management: It should support a unified operation and maintenance management portal and user service portal capabilities, the system should support the creation of sub-domain for the user to achieve management of the sub-domain management.Protection object management: The protection object is configured by IP address. It should be configured through IP address. It can be configured by IP address segment plus mask. Supports the object protection strategy of the bulk application, protection object (group) number of not less than 1000.Device management: support the management of the device group, and to add, delete and modify the devices in the group. The defence group can be built and the protection strategy of the protection object can be unified. The import and export of device configuration information should be supported.6.Performance requirementsSingle Device Throughput: The throughput of a device should meet the throughput requirements according to the actual requirements in different deployment environments. Packet flooding, DNS flood, ICMP flood, UDP flood, mixed flood, HTTP Get Flood, and so on.Equipment cleaning accuracy: cleaning specifications 90% load, normal traffic and mixed attack traffic according to 1: 9 ratio, the normal business packet loss rate should not be higher than one thousandth, attack traffic leakage blocking rate should not be high One percent.Cleaning delay requirements: cleaning specifications 90% load conditions, the forwarding delay of not more than 80us.Reliability Requirement: The overall reliability of the system should reach 99.999% (software and hardware), that is, the system may not interrupt more than 5.26 minutes during the continuous operation for 1 year.7.External interfaceCleaning system external interface support the establishment of a trusted channel interface to meet the security requirements of transmission, support for domestic encryption algorithm.Interface between the cleaning system and the third-party detection equipment: The attacking alarm reported by the third-party detection platform Syslog should be supported. The protocol and format of the Syslog interface meet the requirements of RFC3164.Management system interface with the external dispatch platform include: data reporting interface: to support the cleaning task start / end of the report, reporting the status of cleaning tasks changes. support the cleaning log, traffic log regularly reported, reported cleaning data, traffic data to the scheduling platform. Can support the cleaning capacity is insufficient cleaning business alarm report. Command issuance interface: It can support the protection strategy and drainage policy of cleaning protection object issued by external management platform. Can support the external platform issued the task of cleaning tasks, scheduling cleaning equipment for cleaning, stop cleaning and other operations.8.ConclusionsAn abnormal traffic cleaning system is proposed in this paper, the architecture of the system is provided, which includes a cleaning platform, a detection platform and a management platform. And this system can improve the security of traffic.References[1] Francesco Gargiulo; Carlo Sansone, (2010) Improving Performance of Network TrafficClassification Systems by Cleaning Training Data, 2010 20th International Conference on Pattern Recognition, 2768 - 2771[2] Byoung-Koo Kim; Dong-Ho Kang, (2016)Abnormal traffic filtering mechanism for protecting ICS networks 2016 18th International Conference on Advanced Communication Technology, 436 – 440[3] Sergey Ageev; Yan Kopchak,(2015) Abnormal traffic detection in networks of the Internet of things based on fuzzy logical inference, 2015 XVIII International Conference on Soft Computing and Measurements (SCM), 5 - 8[4] Tianshu Wu; Kunqing Xie ,(2012) A online boosting approach for traffic flow forecasting under abnormal conditions2012 9th International Conference on Fuzzy Systems and Knowledge Discovery, 2555 – 2559[5] Ayman Mohammad Bahaa-Eldin ,(2011)Time series analysis based models for network abnormal traffic detection The 2011 International Conference on Computer Engineering & Systems, 64 - 70。

用户C
用户A 用户B
产品技术亮点
• 专业的流量清洗与检测技术，有效抵御各类攻击威胁
– – 检测：除了基于流量突变的异常检测技术外，还提供基于应用行为突变的异常检测技术（例如 URL/Domain访问次数和响应失败率激增等），实现针对攻击行为的有效检测； 清洗：除了提供完善的常规防护方法外，还提供业界领先的“指纹防护”技术，智能识别隐藏在背景流 量中的攻击报文，精确防护； 除支持完善的IPv4/IPv6路由协议和MPLS协议，提供包括策略路由、MPLS VPN、MPLS LSP、GRE VPN、二层透传等多种回注方式，可以满足运营商不同的组网需求，尤其在路由容量和MPLS组网能力 上与业界同类产品相比具有较大优势，其中MPLS VPN回注方式是目前运营商城域网比较推荐的组网 方式。 高性能：设备采用大规模可编程芯片（FPGA）+多核CPU架构设计，可实现单业务板40G，整机400G 的处理能力，具备高吞吐，高并发，微秒级时延等高性能优势； 一体化设计，功能、性能按需扩展：整机采用分布式架构，轻松扩展各安全类业务功能模块，满足不同 业务场景多样化的安全需求。 丰富的攻击日志和报表统计功能，如攻击前流量信息、清洗后流量信息、 攻击流量大小、攻击趋势分析等各种详细的信息报表，方便运维管理。
DHCP Option检查 目的IP限速
DDoS攻击手段多样，仅仅依靠单一的防护手段难以实现全面防护，必须依靠 多种策略配合。
正常流量回注
策略路由部署点，每个用户 组（即每台汇聚设备）对应 仅需要一条策略路由。
骨干
清洗中心与旁挂的核心 设备分别建立BGP peer 关系。发布主机路由动 态牵引受攻击服务器的 流量。
5
异常流量清洗 = 抗DDoS攻击

“运营商接入机房”、“核心网络机房”、“云平台内网机房”、“云平台外网机房”及“IDC机房”。

各类机房都已经安装网络设备、服务器、存储等，为便于日后运维，所有物理设备都应该有统一明确定义的命名规范，建议设备的命名应该包含以下信息：
●所在机房
●所在机架
●设备功能
●设备层次
●设备型号
●设备编号
设备命名规范表
此设备命名规范共分为6个字段，最多20个字符，字段之间用横线（-）分隔，所以整个设备命名“所在机房-所在机架-设备功能-设备层次-设备型号-设备编号”。

举例：位于核心机房C排第7个机架外网生产核心交换机H3C S10508命名为
“HW-C07-SC-HX-H10508-SW01”。

⏹ 最全面的一体化安全设备，提供L2~7全面安全防护为了更好的应对混合型攻击，DPtech UTM2000采用L2~7融合操作系统ConPlat ，具备防火墙、入侵防御、防毒墙、内容过滤等诸多功能，是目前业界功能最丰富的UTM 产品，能够为用户提供L2~7完全融合的防御效果。

⏹ 采用先进的多核硬件架构，多种业务并行线速处理DPtech UTM2000基于迪普科技高性能硬件架构APP-X ，即使多功能开启、特征库增加，也不会影响设备性能和网络时延。

⏹ 有线无线一体化解决方案，提供多样的接入方式DPtech UTM2000支持有线无线一体化，通过WiFi 和3G 网络，可以提供全面的无线网络安全防护以及线路备份解决方案，帮助用户实现降低建设成本、简化网络结构、易于管理等需求，是用户综合安全保障的最佳选择。

⏹ 专业的特征库团队，特征库自动升级，持续安全防护迪普科技拥有一支专业的特征库团队，实时跟踪网络安全领域的最新动态，提供应用识别与威胁特征库APP-ID ，设备可及时自动升级，能够为用户网络提供实时的防御能力。

⏹ 丰富的防火墙功能DPtech UTM2000 支持先进的应用防火墙技术，可以提供灵活的安全区域隔离功能，能够按区域进行重点安全防护，并且支持NAT 、虚拟防火墙、MCE 等功能。

⏹ 全内置IPSec VPN 、SSL VPN 硬件加密 面对用户分支互联、移动办公的需求，DPtech UTM2000全内置IPSec VPN 、SSL VPN 硬件加解密功能，在简化网络结构的基础上，极大的提升了用户网络安全建设的性价比。

⏹ 专业的系统漏洞防护，实现虚拟软件补丁技术DPtech UTM2000 通过分析漏洞攻击产生原理，定义攻击类型的统一特征，可以不受攻击变种的影响，并且采用虚拟补丁技术，极大减少了网络运维人员的工作量。

⏹ 专业的防病毒引擎，可防御各类病毒采用专业病毒库，并且支持新一代虚拟脱壳和行为判断技术，可以准确查杀文件型、网络型和混合型等各类病毒。

Scanner1000系列具备如下特点：⏹ 闭环管理流程，提供全方位漏洞管理⏹ 全面精确的Web 安全分析，确保应用层漏洞防护⏹ 自动补丁管理，及时解决潜在风险⏹ 漏洞库自动更新，持续安全防护 信息技术飞速发展，网络应用日益复杂和多元化，利用漏洞攻击的网络安全事件日趋严重，权威机构统计95%以上的攻击事件都利用了未及时修补的漏洞，让用户蒙受巨大的社会、经济损失，漏洞俨然已经成为危害互联网安全的罪魁祸首之一。

因受应用层技术复杂、更新快等因素限制，传统产品主要针对操作系统漏洞进行扫描，针对应用级漏洞，如Web 应用、SSL 加密等漏洞管理效果不佳，并且在漏洞管理上过于单一，不具备漏洞预先通告、定期评估、漏洞自动修补等重要功能，无法从根本上避免攻击产生。

因此，只有从技术本源入手，采用完整、有效和持续的漏洞扫描管理系统才能有效地避免攻击威胁。

DPtech Scanner1000漏洞扫描系统可提供漏洞通告、关联检测、自动修复、资产风险管理、漏洞审计多维度闭环管理功能，通过高性能的多核硬件平台，可实现对网络中各种资产进行全方位、高效的漏洞管理。

DPtech Scanner1000漏洞扫描系统采用“智能关联扫描引擎”技术，通过多种扫描方法关联校验的方式对漏洞进行扫描，且对漏洞特征库进行持续不断的升级，从而确保漏洞判断准确无误。

支持对终端、服务器、路由/交换设备、操作系统（Windows/Linux/Unix ）、应用服务等进行漏洞管理，具有覆盖2-7层漏洞检测和自动修补等技术，尤其针对Web 应用系统进行代码级检测，消除XSS 跨站脚本、SQL 注入、网页挂马等漏洞威胁，且支持对SSL 加密应用的漏洞管理。

DPtech Scanner1000 系列产品是目前业界性能最高、漏洞检测最全面、功能最丰富的漏洞扫描系统，能够满足各种应用环境的部署与管理需求，目前已成为漏洞管理的首选产品。

产品概述 产品系列DPtech Scanner1000漏洞扫描系统【 】 产品彩页 DPtech Scanner1000 Scanner1000-MSScanner1000-GS[键入文字]产品规格 产品型号 Scanner1000-MS Scanner1000-GS 可扫描网络资产 终端设备、服务器、路由/交换设备、操作系统（Windows/Linux/Unix ）、应用服务、数据库 Web 漏洞扫描Web 服务器检测、插件检测、配置检测、注入攻击漏洞检测、注射攻击漏洞检测、远程文件检索漏洞检测、文件上传检测、FORM 弱口令检测、数据窃取检测、GOOGLE-HACK 检测、中间人攻击检测、Web 2.0 AJAX 注入检测、Cookies 注入检测、弱口令扫描 设备漏洞扫描 SMTP/POP3、FTP 、SNMP 、端口扫描、弱口令扫描 网页木马检测支持各种类型木马检测、木马分析、木马溯源 扫描方式 定时扫描、手动扫描 扫描对象 支持多个域名/IP 设置扫描对象、支持多个扫描对象扫描、支持SSL 扫描 网络爬虫扫描深度可设、预定义用户登录参数、提供交互式用户登录参数设置、支持并发扫描 漏洞修复 补丁管理、与微软WSUS 联动系统管理 ICP 备案提醒 被扫描的网站ICP 备案是否到期，以及到期提醒支持HTTPS 支持HTTPS 网站的漏洞扫描多服务器支持支持多服务器、多端口扫描 报表分析 扫描结果对比、漏洞报告、统计分析、报表导出。

简单易用
流量清洗产品的界面设计简洁明了，操作简单易懂，方便管理员进行配置和管 理。
04
典型案例
金融行业案例
案例名称
某银行流量清洗项目
案例描述
关键技术
实施效果
随着银行业务的发展，网络流 量不断增加，同时面临各种网 络威胁。为了保障银行业务的 安全稳定运行，该银行决定采 用流量清洗产品对流量进行实 时监测和清洗。
实施效果
有效降低了网络威胁对政府业务的影响，提高了 网络安全性和业务稳定性。
05
未来展望
技术发展趋势
人工智能与机器学习
利用AI和机器学习技术实现更智能的流量识别和清洗，提高清洗 效率和准确性。
云计算与虚拟化
借助云计算和虚拟化技术，实现流量清洗服务的弹性扩展和按需部 署，满足不同规模企业的需求。
5G与物联网
流量识别技术具有高精度、高效率的特点，能够快速准确地识别出网络流量中的各 种应用和协议，为后续的流量清洗和流量控制提供了基础。
流量清洗技术
流量清洗技术是流量清洗产品的核心部分，它能够根 据流量识别结果对恶意流量、垃圾邮件、病毒等有害
流量进行清洗和过滤。
流量清洗技术可以采用种手段，如丢弃恶意流量、 过滤垃圾邮件、隔离病毒等，以确保网络的安全和稳
流量清洗产品概和述关键技 术介绍
• 产品概述 • 关键技术 • 产品优势 • 典型案例 • 未来展望
01
产品概述
产品定义
流量清洗产品是一种网络安全设备， 用于识别、过滤和清除网络流量中的 恶意数据包、病毒、木马、蠕虫等威 胁。
它通过实时监测网络流量，对每个数 据包进行深度分析，判断其是否具有 潜在的威胁，并采取相应的措施来保 护网络免受攻击。

DDoS异常流量清洗解决方案《DDoS异常流量清洗解决方案》本文来自绿盟科技解决方案1. 安全问题、压力和挑战DDoS攻击是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备（如防火墙、路由器等）负载过高，从而最终导致系统崩溃，无法提供正常的服务。

DDoS攻击从种类和形式上多种多样，从最初的针对系统漏洞型的DoS攻击（如Ping of Death），发展到现在的流量型DDoS攻击（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等），以及越来越频繁出现的针对应用层的DoS攻击（如Http Get Flood、连接耗尽、CC等）。

从以往国内外的攻击实例中表明，DoS/DDoS攻击会对电信运营商、运行大型电子商务的企业、金融等高度依赖互联网业务的客户造成巨大的损失。

而且由于各类DDoS 工具的不断发展，使得实施DDoS攻击变得非常简单，各类攻击工具可以从网络中随意下载，只要使用者稍有网络知识，便可发起攻击。

骨干网和城域网是电信运营商最重要的数据流量通道，是承载互联网各种丰富应用的重要基础设施，保障网络的可用性，以及保持合理的带宽利用率对电信运营商至关重要。

而在骨干网、城域网中的的DDoS攻击主要以流量型攻击为主，大流量的攻击会拥塞网络带宽，抢占网络设备的处理能力，使得网络带宽的整体利用率降低，从而对多种业务构成威胁。

大规模DDoS攻击对骨干网、城域网核心网络的影响主要表现在如下方面：•核心网络的通信链路被DDoS攻击流量占用•DDoS攻击造成链路中网络设备的负载过高•大客户业务受DDoS影响服务质量急剧下降运营商数据中心（IDC）是为满足互联网业务和政府、企事业信息服务需求而建设的应用基础设施，IDC通过与互联网的高速连接，以丰富的计算、存储、网络和应用资源向服务提供商（SP）、内容提供商（CP）、各类集团客户等提供大规模、高质量、安全可靠的主机托管、主机租赁、网络带宽租用、内容分发等基础服务和企业邮箱、企业建站等增值服务。