...

NVC作成 日本語 (2016年3月版)

by user

on
Category: Documents
18

views

Report

Comments

Transcript

NVC作成 日本語 (2016年3月版)
激化するDDoS攻撃の検出と軽減
NSFOCUS Anti-DDoS (ADS) システム
オンライン攻撃はますます増加を続け、特に分散型サービス拒否(DDoS)攻撃を用いて企業のサイトをダウンさせよう
とする試みが増加した他、インターネットのバックボーンに対する、ほぼあらゆる種類の攻撃が増加したという報告書も
最近出ています。DDoS攻撃は、大手企業のWebサーバ群だけではなく、あらゆるシステムを対象としています。
米国に本社を置く NSFOCUS 社は、このように多様化かつ帯域増加を続けるDDoS攻撃に対して、攻撃トラフィックを軽減
緩和する Anti-DDoS (ADS) システムを提供します。
NSFOCUS ADSは、DDoS攻撃を検知すると、リアルタイムで悪意あるトラフィックをブロックします。その際に正規のト
ラフィックフローやミッションクリティカルな通信を妨害することはありません。従って、サービスの可用性および継続
性を大幅に高めます。
1Gbpsから数10Gbpsのスピードでトラフィックをクリーニングし、DDoS攻撃に対する強力な防御力を誇ります。
NSFOCUS ADSが提供する優れたトラフィッククリーニング技術
犯罪組織(指令者)
Internet
NS Focus
ADS
1 プロトコル分析
・RFCに基づく確認
2 アクセスコントロール
・レイヤ4 ACL
・接続制限
・URL ACL
リスト
3
属性リスト
・ホワイト/ブラックリスト
・動的有線順位
4
レイヤ4
フラッド防御
・送信元/宛先IPアドレスの確認
・複数の防御アルゴリズム
5
6
レイヤ7
フラッド防御
レート制限
・複数の防御アルゴリズム
・パターンマッチング
・トラフィック制限
◆正確な検知と識別
NSFOCUS社が自社開発したアルゴリズムを搭載し、様々な種類のDDoS攻撃を正確に識別し、軽減/緩和することが可能です。
トラフィックモデリング、アンチスプーフィング、プロトコルスタックふるまい解析、指定アプリケーション防御、動的
フィンガープリンティングおよびレート制限機能を搭載しています。
◆強力な防御力
NSFOCUS ADSは、SYN Flood, UDP Flood, UDP DNS Query Flood, ICMP FloodおよびACK Flood、NTPアタックに代表される
DRDoSなど様々な攻撃を防御する機能を備えています。本システムは、HTTP get/post Flood、オンラインゲームへの攻撃
および映像/音声サービスへの攻撃など、クリティカルなアプリケーションレイヤDDoS攻撃に対しても適しています。
接続ステータスの維持に関わらず同時セッションへの制限はありません。
ACL機能により、ブラック/ホワイトリストを持つ特定のアプリケーションを容易に管理することが可能になります。
詳細なパケット検査ルールでは、送信元/宛先IP、送信元/宛先ポート、プロトコルタイプまたはその他シグネチャ (TCPフラッ
グ、ICMPタイプおよびICMPコード) に基づいたテンプレートを作成してクイック防御を実行しています。
製品構成
・異常検知
・トラフィック監視
NTA:
攻撃検知
ADS:
クリーニング
AntiDDoS攻撃
・攻撃軽減/緩和
ADS-M:
管理ツール
・集中管理
・可視化
・レポート出力
・付加価値サービス
◆ADSは、最大40 Gbpsという大容量のトラフィックを軽減/緩和
するフィルタリングとクリーニングを提供するシステムです。
Out-of-Path (トラフィックの宛先変更) モードでは、数百Gbps
のDDoS攻撃を防御するために、複数のADSデバイスを配置する
ことができます。
◆NTAは、トラフィック・クリーニング・システム内の検出装置
です。NTAは、主に異常トラフィック検出で使用され、ADSと
連携しています。NTAは、トラフィック・データを収集し、詳
細な分析を実施します。
DDoS攻撃のトラフィックが検出された場合、NTAは、システム・
オペレータによって事前に定義された警報設定値をトリガする、
または自動的にリダイレクトして、攻撃トラフィックをクリー
ニングするようにADSに通知します。
◆ADS-Mは、トラフィック・クリーニング・システムの管理装置
です。主に分散配置されたADSデバイスからデータを収集し、
相関分析および処理を実行します。ビジネスゾーンに応じて
ユーザをグループ化し、各グループのために異なる統計レポート
を生成することにより、効率的な予防管理を提供します。
異なるノードでの監視と予防のために、ADS-Mは、権限の割り
当て、攻撃元のトレース、トラフィックの分析、および電子
フォレンジックで集中管理を行うことができます。
柔軟な導入方法
インライン
Out-of-Path (トラフィックの宛先変更)
Internet
Dos Attack
Normal Traffic
ADS
・攻撃軽減緩和
ADS
・トラフィックの引込
・攻撃軽減緩和
・トラフィックインジェクション
Notificaition to ADS
Xflow
EBGP
Attack Detection
Advertisement
ルータ
レポート
出力
ルータ
Attack
Filtering
Logs
Attack Logs
スイッチ
スイッチ
ADS-M
・集中管理
・ログ&レポート
NTA
・攻撃検知
Internet
ADS-M
・集中管理
・ログ&レポート
サーバ
PC
PC
サーバ
〒144-0035 東京都大田区南蒲田2-16-2
電話: 03-5714-2050
http://www.nvc.co.jp/
※本カタログに記載されているシステム名、製品名、社名などは各社の商標および登録商標です。
※仕様および型番号などは予告なく変更されることがあります。
(nsfocus_v1.1_B63)
Fly UP