抗ddos防洪墙系统

随着internet应用的不断增多，针对internet上服务器和网络设备的分布式拒绝服务攻击（Distributed Denial of Service，简称DDOS）,正在肆无忌惮地侵扰着国内外著名的服务商、金融证券商、电信、以及政府等机构的网络和服务器，并呈愈演愈烈之势。这种攻击虽然原理简单，但破坏力很强，给网络的可用性造成极大的损害，因此，必须采用专门的机制，对攻击进行有效检测，从而遏制这种不断增长的，极具欺骗性的攻击。

AFW防洪墙是公司结合多年拒绝服务攻击防御经验，开发、研制了专门用于抵御拒绝服务等洪水攻击的硬件系统。系统采用了多项国际最新的防护技术，采用自行研发的独创性的拒绝服务攻击防御技术,可以高效的抵御来自外部拒绝服务攻击。

AFW防洪墙采用专利的算法分析DDOS攻击，利用驱动层提前过滤丢包技术，完美的解决了由于DDOS攻击带来的例如CPU过高、网络堵塞、连接缓慢等各种问题。

AFW防洪墙是一个即插即用、简单易用的硬件系统，可以在不影响原有的网络设置和网络拓扑结构情况下的简单的接入公司网络。可以与多种安全网络设备同时使用，包括防火墙，入侵检测系统，VPN和路由器，而不影响网络的性能。加入AFW防洪墙系统后，可以保证局域网内部专用或公用的广域网重要服务器正常工作，抵御来自Internet上多种DDOS等洪水攻击。

系统特点

专有高效的抗DDoS、Dos攻击防御

针对DoS攻击的特点，专门设计了特有的DoS防御模块，可以有效的抵御各种DoS、DDoS攻击。采用特有专利技术，经过优化的TCP连接监控方式来保护防洪墙内的脆弱机器。这种算法的特点是在处理TCP连接请求的时候，在确定连接请求是否合法以前，用户端与服务端是隔断的。这就令到DoS攻击者在发动攻击的时候并不能直接连接到防洪墙内部的机器，所以攻击者所发出的所有DoS攻击包只能到达防洪墙，从而保护了防洪墙内部的机器不受到DoS攻击。通过高效的离散算法提供了超过100万以上的同时连接数的容量，为数据传输的高效和可靠提供了强有力地保障。

世界领先“DataStream Fingerprint Inspection”数据流指纹检测技术

      传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，AFW洪墙独创的“DataStream Fingerprint Inspection”数据流指纹检测技术，采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。

特有的TCP标志位检测

     大多数防火墙，都缺少对连接是从哪方主动发起进行判断的选项，这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。如果允许内部主机访问外部主机的服务，这个方向连接的所有包应该是必须包含ACK位的，也就是说，不是主动发起的连接,因此，攻击者就可以从外部主机的源端口发起连接到内部主机的高端口(>1023)。AFW防洪墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接，从而攻击内部主机。