NSFOCUS Anti-DDoS システム 概要 ADS の役割正規トラフィックを妨害することなく悪意あるトラフィックだけをブロック ネットワークの可用性と事業の運用を確実にする ADS が必要なのはインターネットデータセンター企業のインターネット境界バックボーンネットワークデバイスの種類 ADS: DDoS ミチゲーションデバイス NTA: ネットワークトラフィック解析 ADS-M,: 管理プラットフォーム NSFOCUS Anti-DDoS (ADS) システムは 分散型サービス拒否 (DDoS) 攻撃のミチゲーションデバイスで 既知 / 未知の DDoS 攻撃のミチゲーションを実行します DDoS 攻撃を検知すると リアルタイムで悪意あるトラフィックをブロックします その際に正規なフローやミッションクリティカルな通信を妨害することはありません 従って サービスの可用性および継続性を大幅に高めます NSFOCUS ADS シリーズは IPv4/IPv6 デュアルスタックをサポートし 政府 / 企業のウェブサイト インターネットデータセンター (IDC) LAN/MAN およびバックボーンネットワークに対する DDoS 攻撃を識別し トラフィックモデリング アンチスプーフィング プロトコルスタックふるまい解析 指定のアプリケーション防御 ユーザーのふるまい解析 動的フィンガープリンティングおよびレート制限などの業界最先端の技術を用いて攻撃トラフィックを効果的に軽減します NSFOCUS ADS の設置は非常に柔軟です ネットワーク環境やお客様の要望に合わせて インラインモードやアウトオブパスダイバージョンモードで設置することが可能です アウトオブパスダイバージョンモードでは NSFOCUS ネットワークトラフィック解析装置 (NSFOCUS NTA) および NSFOCUS 管理システム (NSFOCUS ADS-M) と連携し NSFOCUS ADS は ISP および IDC などの複雑なネットワークにおいても有効な DDoS 対策を可能にします NSFOCUS ADS シリーズはマルチコア プロセッシング アーキテクチャまたは X86 アーキテクチャを採用することで 1Gbps から数 10Gbps のスピードレンジでトラフィックをクリーニングし ハイパフォーマンスと優れた拡張性 企業のネットワーク IDC ISP およびバックボーンネットワークを標的とする DDoS 攻撃に対する強力な防御力を誇ります 性能 最大 40G の DDoS ミチゲーション性能 1 / 9
機能 正確な検知と識別 検知 & ミチゲーション アンチスプーフィング プロトコルのふるまい パターン解析 ユーザーのふるまい解析 動的フィンガープリント レート制限 ブラックリスト & ホワイトリスト ペイロード解析 ネットワークレベル ACL URL ACL ユーザー定義 CAPTCHA ポリシーテンプレート NSFOCUS ADS シリーズは NSFOCUS 社が自社開発したアルゴリズムを搭載することで ネットワークパケットの解析後に様々な種類の DDoS 攻撃を正確に識別し 軽減することが可能です ADS はアルゴリズムに トラフィックモデリング アンチスプーフィング プロトコルスタックふるまい解析 指定アプリケーション防御 動的フィンガープリンティングおよびレート制限を搭載しています 高い識別能力と防御機能により システムはあらゆる種類の大規模な DDoS 攻撃を防御することが可能です 例えば SYN Flood 攻撃を防御する際の接続保持レートおよび新規接続レートは SYN Cookie やランダムドロップアルゴリズムを遥かに上回ります 強力な防御力自社のアルゴリズムを用いた NSFOCUS ADS は SYN Flood, UDP Flood, UDP DNS Query Flood, ICMP Flood および ACK Flood NTP アタックに代表される DRDoS など様々な攻撃を防御することのできるハイパフォーマンスな防御機能を備えています 本システムは HTTP get/post Flood オンラインゲームへの攻撃およびビデオ / オーディオサービスへの攻撃などの より危険なアプリケーションレイヤ DDoS 攻撃に対しても適しています 接続ステータスの維持に関わらず同時セッションへの制限はありません レート制限機能は突然のトラフィックの増加に対応することを目的として搭載されています ACL 機能により ブラック / ホワイトリストを持つ特定のアプリケーションを容易に管理することが可能になります 詳細なパケット検査ルールでは 送信元 / 宛先 IP 送信元/ 宛先ポート プロトコルタイプまたはその他シグネチャ (TCP フラッグ ICMP タイプおよび ICMP コード ) に基づいたテンプレートを作成してクイック防御を実行しています DC 事業者やキャリアの要望を考慮し NSFOCUS ADS はグループごとに個別で防御ポリシーを設定できるユーザーグループ防御機能を提供しています ハッキング技術の急速な開発により 新たな DDoS 攻撃手法が出現し 絶えず変化し続けています 攻撃技術をトラッキングし 新たな攻撃タイプを検知するために 弊社はネットワークの研究とその対策に従事するエキスパート リサーチチームを結成しました 新たな攻撃の検知時は 即座に対応を行い NSFOCUS ADS を 1 週間以内にアップデートすることで ユーザーのネットワークの安全性を確保します 2 / 9
膨大な量の攻撃トラフィックを防御 次の攻撃を防御 SYN Flood UDP Flood UDP DNS Query Flood (M) Stream Flood ACK Flood HTTP get/post Flood SIP attacks アノニマス攻撃 - LOIC - HOIC - Slowloris - Pyloris など ハイエンドの NSFOCUS ADS シリーズは高度なマルチコア プロセッサ アーキテクチャ ( 複数のハイパフォーマンスのパラレルネットワークプロセッサ ) を搭載した通信事業者向けのネットワークに適しています これらアーキテクチャにより ADS アプライアンスは単体で 40Gbps の DDoS 攻撃の解析および処理能力を持つことが可能になります SYN Flood による一般的な 64 バイトの攻撃を例に挙げます :NSFOCUS ADS 8000 シリーズデバイスは 29,760,000pps の SYN Flood トラフィックを処理することが可能です NSFOCUS ADS クラスタは複数の ADS デバイスを使用し 攻撃トラフィックの防御および処理能力を大幅に向上させます 攻撃先 トラフィック量およびトラフィックタイプなどの条件に基づいて より大量の複雑なトラフィックをダイバージョンし 軽減することが可能です ISP または大企業が非常に深刻な DDoS 攻撃を受けた場合でも NSFOCUS ADS 8000 シリーズは最高の防御能力を発揮します ネットワークの可用性を確保するためにも システムはホストの識別やトラフィックダイバージョンなどの技術を多数適用することで 攻撃トラフィックをフィルターに掛けます 但し この際に正規トラフィックへの影響やネットワークサービスの品質低下などは発生しません IPv4/IPv6 デュアルスタック IPv4 アドレスの不足がますます深刻化し より多くの IPv6 トラフィックがネットワーク内で見られるようになりました IPv6 ネットワークについても DDoS 攻撃トラフィックによる被害を受けていますが IPv4/IPv6 フォーマットが大きく異なることから 現在の検知方法では通信事業者および企業内のネットワークで攻撃トラフィックを検知することはできません そのため IPv6 トラフィックを識別し DDoS トラフィックだけを選別してミチゲーションすることが重要になります DDoS 攻撃トラフィックが検知されると IPv4 トラフィック /IPv6 トラフィックに関わらず ADS デバイスは効果的にブロックします 柔軟な設置ネットワーク環境およびスケールによって 必要な製品モデルや適用する設置モデルが決まります 設置モードにはインラインモード アウトオブパスダイバージョンモードおよびそれぞれのクラスタモードがあります これら設置モードは柔軟で 様々なネットワークプロトコルをサポートしているため NSFOCUS ADS 製品は複雑なネットワーク環境に適用し 低コストで独立サーバーや SME に最適なアプリケーションソリューションを提供することが可能です 3 / 9
大規模な IDC や通信事業者におけるオンデマンド防御を行うには ダイバージョンモードで NSFOCUS ADS 製品をアウトバンドインターフェースに設置します 疑わしいシグネチャが検知されると システムは動的トラフィックダイバージョン技術を駆使して保護ゾーンやホストに向かうトラフィックのネクストホップをクリーニングデバイスにリダイレクトします その際に 正常なトラフィックは妨害されることなく通過します 攻撃トラフィックの検知およびフィルタリング後 クリーンなトラフィックはメインストリームに戻り 元の宛先へと送られます NSFOCUS ADS シリーズはお客様の既存のネットワークに柔軟に対応できるよう トラフィックダイバージョンおよびインジェクション機能を豊富に搭載しています 複雑なネットワーク環境で容易 かつネットワーク環境を変更せずに円滑な運用を行うことが可能です ユーザーフレンドリーなレポートおよび管理 NSFOCUS ADS シリーズはユーザーフレンドリーな管理システムを提供しているため 容易にランニングステータス ポリシー設定 レポートのチェック パケットキャプチャおよびフォレンジックの解析が可能です NSFOCUS ADS-M は複数台の NSFOCUS ADS を集中管理 監視 コントロールおよびメンテナンスを行います 集中管理では 同時に ADS デバイスの設定の確認や変更することが可能です また 本機能では 同時に ADS デバイスのトラフィック 攻撃情報およびレポートの確認ができるだけでなく リモートスタートやパケットキャプチャタスクの実行も可能です NSFOCUS ADS-M は 複数台の NSFOCUS ADS デバイスの設定ファイル トラフィック統計データおよびアラート情報を保存し 集中管理を行います 他にない付加価値ビジネス管理 NSFOCUS ADS-M と連携すると ADS デバイスはユーザーに付加価値のある Anti-DDoS サービスの提供を行う通信事業者により大きな利益を提供することが可能です また NSFOCUS ADS-M はセルフサービスシステムを提供することで ユーザーが管理システムにログインし 権限に応じたインターネットトラフィックや攻撃防御ステータスを確認することが可能になります セルフサービスシステムおよび攻撃フォレンジック解析により NSFOCUS ADS デバイスは通信事業者が付加価値サービスを行えるよう 幅広いサービスを提供しています 4 / 9
専門家によるカスタマーサポート 設置オプション トラフィックダイバージョン ( アウトオブパス ) インライン設置ダイバージョン BGP OSPF リインジェクション PBR GRE 10 年に渡って DDoS 攻撃の研究 製品開発に携わってきた弊社の専門家は 攻撃イベントに対して即座に対応を行っています また 防御診断 インストール トレーニングなどのサービスにより防御システムの安全性を確実にするエキスパートです アプリケーション NSFOCUS ADS シリーズは最先端のインテリジェントアルゴリズムを搭載することで DDoS 攻撃トラフィックの識別と軽減を行います ネットワークがどれほど複雑であっても NSFOCUS ADS は SME IDC および通信事業者のそれぞれに適した Anti-DDoS ソリューションを提供することができます インライン設置インライン設置はサーバー数や帯域幅の少ない企業に適しています ADS アプライアンスはネットワーク入口に透過型で設置され DDoS 攻撃の検知 解析およびブロックを行います トポロジは次の通りです : MPLS VLAN トラフィックダイバージョン設置 IDC 通信事業者または重要なビジネスシステムには 疑わしいトラフィックのダイバージョンを実行するアウトオブパスモードが最適です 通常 NSFOCUS NTA といったトラフィック検知デバイスは ネットワーク内であればどこでも設置することが可能ですが ADS についてはメインパスのネットワーク入口に設置します NTA は流入トラフィックを監視し DDoS 攻撃トラフィックの種類やソースをリアルタイムで検知します DDoS 攻撃を検知すると NTA は即座に ADS に通知します 通知を受けると ADS はトラフィックダイバージョン機能を有効化し ルートまたはスイッチの疑わしいトラフィックを ADS へとダイバージョンします DDoS 攻撃トラフィックのフィルタリング後は ADS はネットワークにクリーンなトラフィックを戻します ADS-M はすべての処理を管理し 記録します 5 / 9
トラフィックダイバージョン設置例 アウトオブパスダイバージョン設置 クリーニングセンター設置 6 / 9
仕様 仕様 ADS NX5-8000 シ ADS NX5-6000 シ ADS NX5-4000 リーズ リーズ リーズ ADS NX5-8000 ADS NX5-6020 ADS NX5-4020 シ ADS NX3-2000 シリーズ ADS NX3- ADS NX3-2020 2010 最大ミチゲーション 能力 (bps) 最大 40G 最大 20G 最大 10G 最大 4G 最大 2G パフォーマンス (pps) 29,760,000 14,880,000 8,928,000 2,976,000 1,488,000 レイテンシ 40 μs 攻撃防御 TCP - SYN flood - ACK flood - fins flood - fragments HTTP GET/POST Flood UDP - random port floods - fragments ICMP - Unreachable - Echo - Fragments Anonymous attacks Connection Exhaustion Stream Flood Malformed HTTP header attacks DNS flood attacks SIP attacks HTTPS Flood インターフェース 最大 最大 最大 最大 8*10GE SFP+ または 2*10GE XFP, 2*10GE SFP+ 4*GE ポート ( カッパ 4*10GE SFP + 及び 16*GE( カッパー SFP-GE-SX および 12*GE SFP ( カッパー SFP-GE-SX および SFP-GE-LX が利用 16*GE ポート ( カッパー SFP-GE-SX および SFP-GE-LX が利 ー SFP-GE-SX および SFP-GE-LX が利用可能 ) SFP-GE-LX が利用可 可能 )8*GE カッパー 用可能 ) 4*GE カッパーポート内 能 ) ポート内蔵 蔵 7 / 9
検知 & ミチゲーショ ン アルゴリズム リアルタイムのトラフィック監視 ( シグネチャベース ふるまいベース ) クライアントサイドの識 別 (SYN Cookie URL リダイレクション CAPTCHA) ACL メカニズム ( ネットワークレイヤおよ びアプリケーションレイヤ ) パターンマッチング フェイルオープン / ソリューション ソリューション GE ポート用の内部 GE ポート用の内部フェイル フェイルクローズ 有効化 有効化 フェイルオープン / フ ェイルクローズ オープン / フェイルクローズ 設置 トラフィック トラフィック インライン インライン ダイバージョン ダイバージョン トラフィック ( アウトオブパス ) ( アウトオブパス ) ダイバージョン ( アウトオブパス ) IP プロトコル IPv4/v6 ルーティング プロトコル BGP, OSPF, RIP, IS-IS, 静的ルーティング なし ネットワークレイヤ PBR, MPLS-LSP, MPLS VPN, GRE tunnel, L2 VLAN なし プロトコル 重量 16.55 Kg 10.5 Kg 11 Kg 11 Kg 11 Kg 寸法 (W*D*H) 626mmx 443mm 550mmx 575mm 432mm 575mm 432mm 575mm 432mm x 88 mm 440mm 88 mm 88 mm 88 mm x 88 mm ラック 2U 2U 2U 2U 2U 電源 AC/DC 冗長電源 AC/DC 冗長電 AC/DC 冗長電源 AC/DC 冗長電源 AC/DC 冗長電源 源 消費電力 450W 150W 350W 350W 350W MTBF 45,000 時間 87,600 時間 45,000 時間 45,000 時間 45,000 時間 動作温度 5-40 0-45 0-40 0-40 0-40 保管温度 -10-70 -20-65 -20-80 -20-80 -20-80 8 / 9
コンプライアンス CE, FCC, UL, CB, KCC, ROHS 詳細 : NSFOCUS 社のウェブサイト : www.nsfocus.com をご覧ください NSFOCUS は NSFOCUS Information Technology Co. Ltd. 社の登録商標です NSFOCUS 社は 本書に記載されているすべての文言 文書フォーマット 図 写真 方法論 およびプロセス手順に関する著作権を保有し 特に明示しないかぎり 財産権と著作権に関する法律によって保護されます NSFOCUS 社からの書面による許可なく 本書のいかなる部分をいかなる方法によっても複製または引用することを 個人 商用問わず禁止致します NSFOCUS 社について www.nsfocus.com NSFOCUS 社はサービスプロバイダ データセンタおよび企業を対象とした変化の激しいネットワークセキュリティ業界において世界的なリーダーの地位を確立し キャリアグレード Anti- DDoS システム ウェブアプリケーションファイアウォールおよびネットワーク侵入防止システムをはじめとするネットワークセキュリティソリューションに重きを置いています 弊社製品はすべてお客様のネットワークや機密情報の安全を守ることを目的としています 9 / 9