UDP是一个无连接协议。使用UDP协议传输数据之前,客户端和服务器之间不建立连接,h3c万兆防火墙,如果在从客户端到服务器端的传递过程中出现数据的丢失,协议本身并不能做出任何检测或提示。因此,通常人们把UDP协议称为不可靠的传输协议。
既然UDP是一种不可靠的网络协议,那么还有什么使用价值或必要呢?
其实不然,在有些情况下UDP协议可能会变得非常有用。因为UDP具有TCP所望尘莫及的速度优势。虽然TCP协议中植入了各种安全保障功能,但是在实际执行的过程中会占用大量的系统开销,无疑使传输速度受到严重的影响。反观UDP,由于排除了信息可靠传递机制,惠州万兆防火墙,将安全和排序等功能移交给上层应用来完成,万兆防火墙 报价,极大降低了执行时间,使传输速度得到了保证。
正是UDP协议的广泛应用,为黑hei客们发动UDP Flood攻击提供了平台。UDP Flood属于带宽类攻击,黑hei客们通过僵jiang尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快,通常会造成以下危害:消耗网络带宽资源,严重时造成链路拥塞。大量变源变端口的UDP Flood会导致依靠会话转发的网络设备,性能降低甚至会话耗尽,从而导致网络瘫痪。
防火墙对UDP Flood的防御并不能像SYN Flood一样,进行源探测,因为它不建立连接。那应该怎么防御呢?
开始防火墙对UDP Flood的防御方式就是限流,通过限流将链路中的UDP报文控制在合理的带宽范围之内。
防火墙上针对UDP Flood的限流有三种: 基于目的IP地址的限流:即以某个IP地址作为统计对象,对到达这个IP地址的UDP流量进行统计并限流,超过部分丢弃。基于目的安全区域的限流:即以某个安全区域作为统计对象,对到达这个安全区域的UDP流量进行统计并限流,超过部分丢弃。 基于会话的限流:即对每条UDP会话上的报文速率进行统计,如果会话上的UDP报文速率达到了告警阈值,这条会话就会被锁定,后续命中这条会话的UDP报文都被丢弃。当这条会话连续3秒或者3秒以上没有流量时,防火墙会解jie锁此会话,后续命中此会话的报文可以继续通过。限流虽然可以有效缓解链路带宽的压力,但是这种方式简单粗暴,容易对正常业务造成误判。为了解决这个问题,华为防火墙又进一步推出了针对UDP Flood的***学习功能。
***学习是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容,来判定这个UDP报文是否异常。防火墙对到达指zhi定目的地的UDP报文进行统计,当UDP报文达到告警阈值时,开始对UDP报文的***进行学习。如果相同的特征频繁出现,就会被学习成***,后续命中***的报文判定这是攻击报文,作为攻击特征进行过滤。
1、 吞吐量:很重要。该指标直接影响网络的性能,吞吐量
2、 时延:很重要。入口处输入帧后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔
3、 丢包率:在稳态负载下,应由网络设备传输,但由于资源投入而被丢弃的帧的百分比。现在性能发展了,这种情况已经较少了。
4、 背靠背:从空闲状态开始,以达到传输介质合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现个帧丢失时,发送的帧数现在性能发展了,这种情况已经较少了。
5、 并发连接数:很重要。并发连接数是指穿越防火墙的主机之间或主机防火墙之间能同时建立的连接数
6、 每秒新建连接数:很重要。1秒之内能够新建的连接数量,体现了防火墙的反应能力或者说是灵敏度。
吞吐量
1、 定义:在不丢包的情况下能够达到的速率
2、 衡量标准:吞吐量越大,防火墙的性能越高
传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制。
USG6000在控制的维度和精细程度上都有很大的提高:
1,一体化防护:从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层
的防御与应用识别深度结合,一体化处理。例如: 识别出Or***e的流量,进而针对性地进行对应
的防御,效率更高,误报更少。
2,基于应用: 运用多种技术手段,准确识别包括移动应用及Web应用内的6000 应用协议及应用的
不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策
略。
3,深信服万兆防火墙, 基于用户:通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用
户进行访问控制、QoS管理和深度防护。
4,基于位置:与***位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,***快
时间内发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP
自定义位置。
版权所有©2025 产品网
