Thunder TPS

下一代DDoS防护系统

Thunder TPS

A10 Networks® Thunder TPS威胁防护系统产品线可提供高性能、全网范围的防护,有效抵御DDoS(Distributed Denial of Service)攻击,在遇到各种泛洪型、协议漏洞型和其它复杂应用攻击的情况下确保服务可用性。

Thunder TPS产品系列基于ACOS®架构(Advanced Core Operating System,高级核心操作系统),并采用了A10的SSMP(可扩展的对称多处理器)结构,可提供出色的性能,并利用共享内存技术来高效地跟踪网络数据流,为服务提供商、网站运营商及企业提供精确的DDoS攻击防护。

  • 全方位DDoS防护确保服务可用性:企业对服务可用性及互联网连接的依赖性日益加重,故障停机就意味着收入损失。Thunder TPS可对全部流量进行深度流量分析,自动探测异常,并有效抵御各种类型的攻击,包括极难对付的多向量攻击,这种攻击会将泛洪攻击、协议漏洞型攻击和复杂的应用层攻击混为一体,直击企业防护体系的最薄弱环节。

  • 超强性能和能效适应不断增长的攻击规模:DDoS攻击的发生频率、规模和复杂度以前所未有的增长之势变得愈发严峻。借助强大的ACOS架构,Thunder TPS可应对任何大规模、极为苛刻的网络环境。分布式多向量攻击探测和防御功能可优化系统资源,实现性能的扩展。将普通攻击由专用硬件解决,对于复杂的应用层攻击,因为需要执行非常耗费资源的深度包检测(DPI),则由多核、强大的CPU内核专注对付。Thunder TPS硬件设备不仅可应对性能挑战,而且具备超高能效的特点。以紧凑的设备结构实现如此的高性能,为客户带来显著的机架空间、供电和制冷消耗的节省,降低运营成本。

  • 灵活的定制化和广泛的网络集成:为轻松集成到各种网络架构中,需要一种可与多厂商设备协作的灵活DDoS 攻击防御解决方案。通过RESTful API、aXAPI,Thunder TPS可集成至定制化或第三方检测解决方案中,且支持带内和带外运行的多种网络灵活部署模式。日志、网络统计数据等信息采用通用标准,可被高速共享。采用基于TCL的aFleX®脚本技术,程序策略引擎支持完全定制化的检测和防御,也可利用正则表达式(regex)和伯克利数据包过滤(BPF)模式,匹配过滤机制,进行深度数据包检查(DPI)。

A10 Thunder TPS可通过最高效的硬件产品有效保护关键服务,确保客户数据中心的资源得到高效利用。小巧的外形和出色的性能相结合,可通过大幅度降低电源、机架空间和冷却要求来降低运营支出。

  • 特征及优势

    扩展IPv4连接

    A10 Thunder TPS系列能够检测并防御任何类型的攻击,即使同时发生多起攻击时也不例外。

    • 全面的多维攻击防御:通过检测并防御各种类型的DDoS攻击以保证服务的可用性,不管是简单的泛洪攻击、协议漏 洞型攻击或资源耗尽型攻击,甚至是应用层漏洞型攻击:
    - 泛洪攻击,如DNS或NTP放大攻击,其目的是通过流量泛滥使被攻击网络连接达到饱和,进而导致服务不可用。Thunder TPS提供多种验证技术,防御放大和泛洪攻击,过滤欺骗型流量,并支持高颗粒化、多协议速率限制来防止突然增加的非法流量耗尽网络和服务器资源。可对每个连接进行限制,定义其带宽和包速度。
    - 协议漏洞型攻击,如SYN floods、Ping of death和IP地址异常,其企图让被攻击的协议栈瘫痪,使之无法对合法流量做出正确的响应。Thunder TPS以硬件检测并防御50多种异常攻击,在系统CPU介入前阻止这些攻击。例如,检测SYN请求或其他特性,管理无序段,TCP/UDP端口扫描等均可用。
    - 应用层漏洞型攻击,如Slowloris、HTTP GET泛洪和基于SSL的攻击,其专门攻击应用功能的安全漏洞或使之不可用。Thunder TPS具备多种应用检查和速率限制控制,借助A10可编程的aFleX功能,Thunder TPS可对接收到的数据包进行深度数据包检查(DPI)并采取定义的措施来保护应用。例如系统针对各种不同类型的DNS请求进行限制策略,和对大部分HTTP头进行安全检查。

    • A10威胁智能防护服务:A10携手ThreatSTOP推出威胁智能防护服务,从包括DShield和Shadowserver在内的30余个安全智能库中获取信誉数据信息,Thunder TPS即可快速识别并阻断与已知恶意源的往来流量。A10威胁智能防护服务可为客户提供以下收益:
    - 保护网络远离网络威胁
    - 拦截非DDoS式的网络威胁,如垃圾邮件和钓鱼式网络欺诈
    - 让Thunder TPS系统更高效
    威胁智能防护服务系统会在互联网上不断查找潜在安全威胁者,帮助客户利用全球资源来阻断来着互联网恶意源的流量,并可识别已知的机器和其他攻击源,为Thunder TPS降低工作负荷。此外,A10威胁智能防护服务可捕获非DDoS相关的安全威胁,如垃圾邮件和钓鱼式网络欺诈等。


    出色性能应对规模不断扩大的攻击

    过去几年中,不管是在带宽(Gbps)还是每秒数据包数(PPS)方面,DDoS攻击规模都迅速增加。Thunder TPS配备了专业、高性能的硬件和最新、最强大的Intel Xeon CPUs,可防御任何大规模的复杂攻击。

    • 高性能平台高性能平台:借助从40到160Gbps的DDoS防御吞吐性能(集群部署时高达1.2Tbps),Thunder TPS可有效应对最大规模的DDoS攻击。配备了基于高性能FPGA的FTA技术的Thunder TPS产品型号,可在数据CPU介入前快速检测并防御50多种攻击。在进行客户连接请求验证时,SYN cookies可以高达223Mpps的速率生成。硬件的安全策略引擎(SPE)以100ms的间隔执行高颗粒度的流量速率,SSL安全处理器可用于检测并防御基于SSL的攻击,包括最新的POODLE威胁。更复杂的应用层(L7)攻击(HTTP、DNS等)由最新的Intel Xeon CPUs进行处理,因此即使面对多维度攻击时也可确保高性能系统扩展。在网络连接方面,Thunder TPS配备了1Gbps、10Gbps、40Gbps和100Gbps的接口。

    • 大容量的威胁智能分类列表:可定义8个独立列表,每个分别包含1600万个条目。用户可利用来自IP信誉数据库的数据信息,还可动态生成黑名单/白名单的条目。

    • 同步保护对象:Thunder TPS可同时监控64,000个有用户指定的主机或子网,以保证连接了众多用户和服务的整个网络的安全性。


    灵活定制化和广泛的网络集成部署

    对网络运营商来说,DDoS攻击防御解决方案必须能够轻松植入到现有网络架构中,这一点非常重要,它可以使网络准备好应对即将到来的DDoS威胁。

    • 可编程的策略引擎:完全可编程的集中化配置和管理引擎,配合对系统状态和统计数据的访问,使得高级应用和安全策略的执行变得更加简便。采用基于TCL的aFleX语言,或高速的策略匹配模式正则表达式(regex)和伯克利数据包过滤(BPF),系统的检测和防御能力也可被完全个性化。

    • 轻松的网络集成:Thunder TPS支持多种性能选项及可支持带内和带外操作的灵活部署模式,包括MPLS检测的路由或透明运行模式,可集成到任何规模的任何网络架构中。此外,通过aXAPI(开放RESTful API),Thunder TPS可以轻松集成到第三方检测解决方案中。常见的活动形式(CEF)开放日志管理标准,提升跨平台支撑。

  • 产品描述

    A10 Thunder TPS产品线

    高性能的Thunder TPS产品系列可在网络边缘检测并防御多维度的DDoS攻击,扮演网络基础架构第一道防线的角色。

    Thunder TPS系列硬件设备拥有从10Gbps的入门级型号到160Gbps的高性能型号,满足各种最严苛的要求,保护大型网络。所有型号都采用双电源、固态硬盘(SSD),没有拆卸式部件,全面确保了高可用性。配备了安全策略引擎(SPE)硬件加速的型号,在硬件级间采用基于FPGA的FTA技术,优化数据包处理,提供高度可扩展的流分发和DDoS攻击防护功能。FPGA以硬件检测并防御50多种常见的攻击向量,而不影响用于处理更复杂应用层攻击的数据CPU的性能。

    交换和路由处理器可提供高性能网络处理。每台设备都可以提供最出色的单机架性能,而“80 PLUS™ 铂金级”认证电源意味着最高级别的绿色环保解决方案,显著降低功耗成本。客户可利用高密度1Gbps、10Gbps、40Gbps和100Gbps端口选项来满足最高的网络带宽需求。所有高性能设备都采用高效的机框设计,最多可将8台Thunder TPS产品部署到一个集群中,实现更高的容量和高效的列表同步。

  • 产品参数

    Thunder TPS产品参数表