Transcript
Datasheet: Check Point DDoS Protector
Check Point DDoS Protector™ Okamžitě zastavuje útoky zaměřené na odmítnutí služeb (DoS) pomocí víceúrovňové ochrany, která blokuje široké spektrum útoků
Bezpečnostní zařízení Check Point DDoS Protector V současné době se zvyšuje množství, intenzita a komplexnost tzv. DoS (denial of service) útoků, zaměřených na odmítnutí služeb, zejména u webových serverů. Útok DoS nebo jeho aktuálně velmi rozšířenou alternativu DDoS (Distributed Denial od Service), na které se podílí více útočníků naráz, je poměrně snadné zrealizovat a způsobit tak společnostem vážné ekonomické škody. Na internetu jsou k dispozici desítky „toolkitů“ pro tvorbu útoků DDoS a k nárůstu těchto útoků dochází ve více než 230 zemích. Za útoky DDoS stojí často snaha o finanční zisk: za rok 2011 vydělali počítačoví zločinci na těchto aktivitách přes 12,5 miliard $. V roce 2012 se potvrdilo alarmující riziko těchto útoků pro bankovní a finanční odvětví. Stále populárnější platformou pro využití útoků DDoS je také tzv. hacktivismus, nový fenomén vzniklý spojením hackingu a politického aktivismu. Řady útočných kampaní se úspěšně rozjíždí a jejich terči jsou jednotlivci, podniky, organizace, státní instituce i celé země, s jejichž kroky nebo prohlášeními útočníci (jako jsou Anonymous) nesouhlasí.
KLÍČOVÉ VLASTNOSTI ■
■
■
■ ■
■
KLÍČOVÉ PŘÍNOSY ■
■
Řada poskytovatelů internetových služeb má implementováno řešení proti útokům DDoS, ovšem tato řešení obvykle nabízejí obecnou ochranu proti útokům na síťové vrstvě. Dnešní útoky DDoS jsou však mnohem sofistikovanější: spouští více útoků naráz na síťové i aplikační vrstvě. Účinné řešení DDoS musí podniku nabídnout především schopnost přizpůsobit ochranu podle jeho specifických (a měnících se) potřeb, rychle během útoku reagovat a mít flexibilní možnosti implementace.
■
■
■
PŘEHLED
Nová specializovaná bezpečnostní zařízení DDoS Protector od Check Point zajišťují podnikům obchodní kontinuitu na základě účinné vícevrstvé ochrany proti útokům DDoS. Díky novým technologiím a vysokému výkonu až 12 Gb/s dokáže zařízení rychle reagovat na „network flood“ útoky i útoky na aplikační vrstvě, a tak poskytuje automatickou obranu proti dnešním sofistikovaným útokům zaměřeným na odmítnutí služeb. Zařízení DDoS Protector nabízí flexibilní možnosti implementace, takže ho lze snadno použít v organizaci libovolné velikosti. Integrované funkce pro správu bezpečnosti, monitorování provozu a analýzu bezpečnostních hrozeb v reálném čase poskytují pokročilé možnosti ochrany proti útokům DDoS. Společnost Check Point také poskytuje pro DDoS specializovanou nepřetržitou (24/7) podporu s cílem zajistit zákazníkům okamžitou ochranu.
Ochrana proti známým i neznámým útokům DDoS. Obrana proti útokům na síťové i aplikační úrovni. Flexibilní filtrovací engine detekuje škodlivé exploity a zabraňuje jejich šíření. Ochrana proti útokům HTTP. Ochrana proti „bandwith flood“ útokům. Rychlá přizpůsobitelná tvorba signatur udržuje podniky v chodu.
■
■
■
Minimalizace dopadů na obchodní procesy podniku díky ochraně proti stále sofistikovanějším útokům DDoS. Pokročilé technologie udrží webové služby podniku v chodu i v době útoku. Zařízení je okamžitě připravené k používání, stačí ho zapnout. Integrace s produkty Check Point pro management bezpečnosti poskytuje dokonalejší přehled a lepší řízení systému. Řešení má dostatečně vysoký výkon - 12Gbps propustnost. Ochrana na bázi více vrstev blokuje různé typy útoků. Parametry a mechanismy ochrany lze přizpůsobit tak, aby vyhovovaly různým velikostem organizace a různým bezpečnostním potřebám. Flexibilní možnosti implementace zahrnují on-site instalaci (přímo u zákazníka) nebo u poskytovatele internetových služeb.
© 2012 Check Point Software Technologies Ltd. Všechna práva vyhrazena. Classification: [Protected] - Všechna práva vyhrazena 1
|
Datasheet: Check Point DDoS Protector
OCHRANA VE VÍCE VRSTVÁCH
Ochrana proti zahlcení sítě a serveru Chrání proti útokům DDoS cíleným na síť organizace, a to použitím těchto prvků: Behaviorální DoS ochrana - Chrání proti TCP, UDP, ICMP, IGMP a Fragment DDoS útokům pomocí adaptivní detekce na bázi chování (behavioral based). DoS Shield - Chrání proti DDoS útokům vytvořeným pomocí známých nástrojů, a to pomocí předdefinovaných i uzpůsobených filtrů, které umožňují aplikovat rate-limit pro jednotlivé typy vzorků. Syn Protection - Blokuje SYN spoof DoS útoky na základě limitů množství SYN na každý chráněný server. Black List - Blokuje generické útoky pomocí klasifikace zdroj-cíl na L3 a L4 a pravidel o vypršení platnosti. Omezení navazovaných spojení - Blokuje flood útoky pro obecné protokoly (jiné než DNS, HTTP) a flood útoky na aplikační vrstvě na základě nastavených limitů množství navazovaných připojení. Ochrana proti DoS/DDoS na aplikační vrstvě Chrání proti složitým distribuovaným útokům DoS (DDoS), které zneužívají aplikační zdroje, a to použitím těchto prvků: SYN Protection s Web Challenge - Chrání proti útokům DoS na bázi HTTP spojení pomocí SYN-rate limitů pro každý chráněný server. Behaviorální DNS ochrana - Blokuje útoky DoS založené na DNS dotazech pomocí adaptivní behaviorální detekce využívající techniky „DNS footprint blocking rate limits“ a „DNS challenge and response“. Behaviorální HTTP ochrana („HTTP Mitigator“) - Blokuje HTTP connection-based a upstream HTTP bandwith DoS útoky pomocí serverové HTTP adaptivní behaviorální detekce, HTTP footprint s web challenge response, 302 redirect a JS challenge.
MANAGEMENT Zařízení DDoS Appliance jsou integrována s nástroji pro správu bezpečnosti Check Point: SmartEvent Jednotné řešení pro bezpečnostní události a analýzu poskytuje v reálném čase informace pro správu bezpečnosti, na základě kterých lze okamžitě zastavit hrozby a blokovat útoky a za provozu systém chránit. Pouhými třemi kliknutími se přejde z obchodního pohledu k forenzním úkonům. SmartLog Pokročilý nástroj pro analýzu logů poskytuje proaktivní bezpečnostní inteligenci na základě okamžitých výsledků prohledávání libovolných polí logů; poskytuje přehled o miliardách záznamů logů v rámci více časových období a více domén. SmartView Tracker Komplexní monitorovací řešení pro odstraňování bezpečnostních problémů, shromažďování informací pro právní a auditní účely a pro generování reportů a analýzu modelů síťového provozu. V případě útoku nebo jiné podezřelé síťové aktivity se pomocí Smart View Trackeru dočasně nebo trvale ukončí spojení z konkrétních IP adres. Výstrahy a upozornění SNMP V1, 2C a 3, Log File, Syslog, E-mail. Konfigurace SNMP, V1, 2C, 3, HTTP, HTTPS, SSH, Telnet, SOAP, API, konzole (výběr uživatelem). Časová synchronizace Na bázi NTP (Network Time Protocol). Export signatur v reálném čase Northbound XML rozhraní exportuje behaviorální parametry.
Ochrana aplikací před cílenými DoS/DDoS útoky Odráží útoky DoS a DDoS, které vyžadují speciální filtrační kritéria. Flexibilní filtrování prostřednictvím definic vyhledává konkrétní vzory obsahu v každém paketu. Poskytuje schopnost analyzovat a blokovat probíhající útoky nastavením ochranných mechanismů v reálném čase.
© 2012 Check Point Software Technologies Ltd. Všechna práva vyhrazena. Classification: [Protected] - Všechna práva vyhrazena 2
|
Datasheet: Check Point DDoS Protector
SPECIFIKACE ZAŘÍZENÍ DDoS Protector Model
506
1006
Kategorie sítě
2006
3006
4412
Podniková
8412
12412
Datové centrum
Výkon1 500Mbps
Kapacita2
1Gbps
2Gbps
3Gbps
4Gbps
8Gbps
14Gbps
Průchodnost
500Mbps
1Gbps
2Gbps
3Gbps
4Gbps
8Gbps
12Gbps
Max. počet současných relací
2 miliony
2 miliony
2 miliony
2 miliony
4 miliony
4 miliony
4 miliony
Max. míra prevence DDoS záplavového útoku
1 milion
1 milion
1 milion
1 milion
10 milionů
10 milionů
10 milionů
3
méně než 60 mikrosekund
Latence
Detekuje a chrání proti útokům za méně než 18 sekund
Real-time signatury Inspekční porty 10/100/1000 měděný Ethernet
4
4
4
4
8
8
8
GbE (SFP)
2
2
2
2
4
4
4
10GbE (XFP)
-
-
-
-
4
4
4
10/100/1000 měděný Ethernet
2
2
2
2
2
2
2
RS-232
1
1
1
1
1
1
1
Management porty
Operační režim Transparentní L2 forwarding
Síťový provoz Režimy implementace
In-line; span port monitorování; copy port monitorování; lokální out-of path; out-of path mitigace
Podpora tunneling protokolů
VLAN Tagging, L2TP, MPLS, GRE, GTP
IPv6
Podpora IPv6 sítí a blokování IPv6 útoků Block and Report (blokovat a nahlásit); Report Only (pouze nahlásit)
Akce politiky Akce blokování
Drop paketů, reset (zdroj, cíl, oboje), pozastavení (zdroj, zdrojový port, cíl, cílový port nebo jakákoliv kombinace); Challenge-Response pro HTTP a DNS útoky
Vysoká dostupnost Fail-open/Fail-close
SKU
Interní fail-open/fail-close pro měděné porty; interní fail-close pro SFP porty; volitelný fail-open pro SFP porty4 CPAP-DP506
Interní fail-open/fail-close pro měděné porty; interní fail-close pro SFP a XFP porty; volitelný fail-open pro SFP a XFP porty5
CPAP-DP1006 CPAP-DP2006 CPAP-DP3006 CPAP-DP4412 CPAP-DP8412 CPAP-DP12412
1
Skutečný výkon se může měnit v návaznosti na konfiguraci sítě, typ provozu atd. Kapacita se měří jako maximum přeposílaného provozu, když nejsou nakonfigurované žádné bezpečnostní profily. Průchodnost se měří s ochranami na bázi modelů chování a signatur s použitím profilu eCommerce. 4 Externí optický fail-open přepínač s SFP porty k dispozici za samostatnou cenu. 5 Externí optické fail-open přepínače s SFP nebo XFP porty k dispozici za samostatnou cenu. 2 3
© 2012 Check Point Software Technologies Ltd. Všechna práva vyhrazena. Classification: [Protected] - Všechna práva vyhrazena 3
|
Datasheet: Check Point DDoS Protector
Příslušenství k zařízením DDoS Protector
SKU
10Gbps Pluggable Optics (XFP) Singlemode LR
CPAC-DP-10LR-XFP
10Gbps Pluggable Optics (XFP) Multimode SR
CPAC-DP-10SR-XFP
1Gbps Pluggable Optics Singlemode ZX
CPAC-DP-1ZX-SFP
1Gbps Pluggable Copper 1000BASET
CPAC-DP-1C-SFP
1Gbps Pluggable Optics Singlemode LX
CPAC-DP-1LX-SFP
1Gbps Pluggable Optics Multimode SX
CPAC-DP-1SX-SFP
10GbE External Bypass unit podporující 1 LR segment - chrání proti výpadku napájení nebo selhání spoje - pro DDoS Protector řady x412
CPAC-DP-1LR-10BP
10GbE External Bypass chassis, zahrnuje 1 LR interface segment, rozšiřitelné až na 4 segmenty - chrání proti výpadku napájení nebo selhání spoje - pro DDoS Protector řady x412
CPAC-DP-4LR-10BP
10GbE External Bypass Module, LR interface segment - chrání proti výpadku napájení nebo připojení - pro DDoS Protector řady x412
CPAC-DP-1LR-10BPM
10GbE External Bypass chassis, zahrnuje 1 SR interface segment, rozšiřitelné až na 4 segmenty - chrání proti výpadku napájení nebo selhání spoje - pro DDoS Protector řady x412
CPAC-DP-4SR-10BP
10GbE External Bypass Module, SR interface segment - chrání proti výpadku napájení nebo připojení - pro DDoS Protector řady x412
CPAC-DP-1SR-10BPM
1GbE External Bypass unit podporující 1 SX segment - chrání proti výpadku napájení nebo selhání spoje - pro DDoS Protector řady x412
CPAC-DP-1SX-1BP
1GbE External Bypass unit podporující 1 LX to SX segment - pro DDoS Protector řady x412
CPAC-DP-1LX-1BP
Dvouslotový stojan (rack mount frame) pro bypass přepínače
CPAC-DP-2RM
Duální DC napájecí zdroj pro zařízení DDoS Protector řady x412
CPAC-DP-2PS-DC
Jednoduchý DC napájecí zdroj pro zařízení DDoS Protector řady x412
CPAC-DP-PS-DC
CONTACT CHECK POINT
Worldwide Headquarters 5 Ha’Solelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email:
[email protected] Czech U.S. Headquarters Office IBC 800 Building, Bridge Parkway, Pobrežní Redwood 3/620, 186 City,00 CAPraha 94065 8,| Tel.: Tel: 800-429-4391; +420 222 311 495, 650-628-2000 email:
[email protected] | Fax: 650-654-4233 | www.checkpoint.com
Arrow ECS, a.s. | Nagano Office and Technology Park, | Nagano III, U Nákladového nádraží 10, 130 00 Praha 3 | tel: +420 266 109 211 | www.arrowecs.cz Arrow ECS, a.s. | Tvorkovských 5, 709 00 Ostrava - Mariánské Hory | tel.: +420 597 488 811 | www.arrowecs.cz
©2012 Check Point Software Technologies Ltd. Všechna práva vyhrazena June 7, 2012
