Flood Shield Feature List

最終更新日:2022-04-14 08:28:04

洪水シールド特性リスト

洪水シールドとは、既知のあらゆるタイプのサービス拒否攻撃からウェブサイトおよびネットワークインフラを保護する統合クラウドベースのDDoS緩和ソリューションである。洪水シールドは、米国、欧州、アジア、中国大陸のCDNetworksの巨大なグローバルインフラに配置されている。世界で12以上のDDoSクリーニングセンターと15Tbpsの総容量を持ち、最大で最も致命的な攻撃を防ぐように設計されている。このため、洪水シールドがこの種の攻撃に脆弱な大手ゲームサイト、ストリーミングサイト、その他の垂直サイトで使用される理由の1つになる。

ワークプロセス

CDNetworksの分散存在点(ポップ)上に洪水シールド DDoS偏向技術を展開している。これはクラウドベースの「オンプレミス」ソリューションで、容量はほぼ無限になる。顧客のネットワークに複雑な配置や変更を行う必要がなく、自動的に透明な拡張を提供する。洪水シールドは、簡単なDNS変更によってウェブサイトおよびHTTP/Sトラフィックを保護することができ、BGP告知によって複数のドメイン、サーバ、プロトコルを含むネットワークインフラ全体を保護することができる。顧客のトラフィックはCDNetworksのポップルートを経由するため、DDoS攻撃は顧客のサーバーやネットワークではなくCDNetworksのインフラストラクチャを攻撃する。CDNetworksのポップは、アプリケーション層攻撃(L7)およびAckおよびSyn洪水攻撃、UDP洪水攻撃、ICMP 洪水攻撃、CC攻撃など、既知のすべてのタイプのネットワーク層攻撃(L3/L4)を検出および転送することができる。

キーとなる特性とメリット

機能 説明 メリット
アプリケーション層防御 HTTP/S洪水から保護し、攻撃やその他のDDoSベースの高度なレート制限および透明な挑戦の7層を低減し、遅延する。 サイトとアプリケーションを正常に動作させ、実際のユーザーを模倣した複雑な分散攻撃を防ぐ
ネットワーク層防衛 15Tbps+全体攻撃吸収能力でネットワークエッジの最大の攻撃も阻止する。 ネットワークインフラの安全性と利用可能性を維持し、ネットワークのサージをエッジまで押し上げ、汚れたトラフィックをネットワークから離れた場所にフィルタリングして清掃する。
カスタマイズポリシー アクセスポリシーとレート制限をカスタマイズし、事前に攻撃されたりリソースが悪用されたりしないようにする。 不要なトラフィックをフィルタリングし、誰があなたのリソースにアクセスできるか、アクセスレートを制御する。
レイヤー 7 登録、ダッシュボードと警告 登録と調査ツールによって、アプリケーション層攻撃が完全にリアルタイムで見られる。 攻撃がいつ発生するかを瞬時に把握し、攻撃の詳細を精査し、必要に応じて効果的な行動を簡単に実行する
レイヤー3/4 登録、ダッシュボード 登録と調査ツールによって、アプリケーション層攻撃が完全にリアルタイムで見られる。 多くのクラウドDDoSソリューションとは異なり、CDNetworksはネットワークベースの攻撃のためのアラート、登録、ダッシュボードも提供する。
DNS / CDN プロビジョニング DNS配置を介してトラフィックをCDNetworksのポップにルートする。 1つの簡単なDNS CName変更により、HTTP/Sトラフィックを容易かつ即時に保護する。CDNを使ってウェブサイトやアプリを高速化する。
BGP公告でプロビジョニングする BGP告知(CDNetworksがあなたのIP空間を告知する)を介して、ネットワーク全体のトラフィック(AS)をルーティングする。これには、すべてのサーバー、サービス、プロトコルが含まれる。 ほぼ無制限の「常時オンライン」ソリューションを使用して、ネットワークインフラ全体および複数のプロトコルを、内部機器を配置することなく保護する。

洪水シールド特性紹介

ネットワークレイヤー (L3/L4) 攻撃緩和

特性 説明
SYN 洪水保護 洪水シールドは3回のハンドシェイク(エージェントのようなもの)を引き継ぎ、syn クッキーを使って保護する。
UDP 洪水保護 (1) ウエブアプリケーションのUDPメッセージを拒否する。 (2)深いパケット検出、使用モードおよび閾値制限UDPアプリケーション
ICMP洪水保護 閾値による防御
ACK 洪水保護 接続テーブルとTCPクッキーに基づく
LAND 攻撃保護 直接的に降下する
増幅攻撃(DNS、SSDP、NTP、SNMPなど)保護 特定のポートをブロックする
接続洪水保護 接続プールに基づく防御、代理による。
TCP データ洪水保護 (1)深いパケットの検出と使用モード。(2) IPレート制限

アクセスコントロール

特性 説明
ブラック/ホワイトリスト IP、URL、ユーザ-代理によるブラック/ホワイトリストの設定に対応する。
レート制限 (1) IP速度制限要求。(2) IP + UAまたはIP + cookieによるクライアント識別、特定URLへのアクセス時のレート制限(URLは通常のマッチングをサポート)

アプリケーショレイヤー (L7)攻撃緩和

特性 説明
ポリシーに基づく防御 カスタムポリシー(IPブラック/ホワイトリスト、IPアクセス頻度制御など)で攻撃を防ぐ
クライアント検証による防御 JS検証、METAタグ検証、302リダイレクト、captchaなどの挙動に基づく検証方法を提供し、攻撃を効果的に遮断し、高い可用性を保証する
ヘッダー攻撃の逸れを低くし遅らせる 未完了または長時間HTTPヘッダの識別およびパケットリリースの遅延、TCP接続のリセット
POST攻撃逸れを低くし遅らせる パケットリリースの遅延で長時間HTTPを識別、TCP接続をリセットする。