WanGuard Anti-DDoS

Ochrona DDoS w WanGuard – wdrożone i dostrojone przez ITORO

Oprogramowanie WanGuard firmy Andrisoft to system anty-DDoS klasy operatorskiej, który wykrywa ataki w sekundy i mityguje je za pomocą BGP FlowSpec, black-holingu RTBH lub przekierowuje hiperwolumetryczne ataki DDoS do centrum scrubbingu. Jako Andrisoft Gold Partner ITORO instaluje, dostraja i obsługuje go dla ISP / DC oraz przedsiębiorstw na całym świecie.

2–5s
Detekcja przez port-mirror (kopia ruchu)
Oparta na kopii ruchu, DPDK
15–30s
Kompleksowa end-to-end
RTBH / FlowSpec, dostrojone
35–95s
Inne systemy
sFlow / NetFlow / IPFIX

Powyżej ~65 s łącza uplinki (łącza zagraniczne i peeringi) ulegają wysyceniu – w tym momencie użytkownicy już stracili dostęp. Liczy się wyłącznie szybkość.

Zobacz cennik Porozmawiaj z inżynierem

Czym jest WanGuard

Kompletna platforma ochrony przed atakami DDoS

WanGuard łączy szybki monitoring ruchu, wykrywanie anomalii i automatyczną mitygację w jednym systemie on-premise, nad którym masz pełną kontrolę. Możemy włączyć mitygację firm trzecich, taką jak fail-over do scrubbing center, ochronę Web Application Firewall (WAF) lub inne warstwy, aby zbudować ochronę wielowektorową.

WanGuard Sensor

Pobiera pakiety z port-mirror lub NetFlow/sFlow, buduje bazowe profile ruchu per IP i wykrywa ataki wolumetryczne oraz protokołowe w mniej niż 5 sekund.

WanGuard Filter / WanFilter

Filtrowanie pakietów przyspieszane przez DPDK czyści wyłącznie złośliwy ruch – skalując się od 1 Gb/s do 800 Gb/s na port sensora, bez odrzucania czystego ruchu.

WanGuard Console

Centralne zarządzanie, dashboardy, raportowanie i alerty z długoterminową analityką sFlow/IPFIX/NetFlow i planowaniem przepustowości.

Jak to działa
WanGuard z RTBH lub BGP FlowSpec: BGP Update z regułami firewalla FlowSpec jest wysyłany do routerów, aby dopasowany ruch atakujący był odrzucany na interfejsach uplink (lub u dostawcy Tier 1-2), zanim dotrze do Twojej sieci; WanGuard wykrywa przez port-mirror/sFlow, a RTBH lub brzegowy FlowSpec można też wysłać upstream.

Szybka reakcja

FlowSpec rozsyła reguły filtrowania w całej sieci w kilka sekund, zatrzymując ataki, zanim dotrą do celu.

Precyzyjne filtrowanie

Reguły celują w złośliwy ruch według IP, protokołu, portu i cech pakietów – uprawniony i normalny ruch przechodzi bez zakłóceń.

Działa na Twoich routerach

Wykorzystuje istniejące routery z obsługą BGP (Cisco, Juniper, Arista, Huawei, Nokia) – bez konieczności zakupu dedykowanego urządzenia.

Skalowalne

Stosowane globalnie lub na wybranych segmentach sieci; skaluje się wraz z Twoją istniejącą infrastrukturą BGP.

Wdrożenie bez przestojów

ITORO wdraża BGP FlowSpec bez okna serwisowego – bez przerwy w usługach podczas instalacji.

Niższy koszt

Wykorzystuje Twoje routery zamiast dedykowanego sprzętu DDoS, obniżając całkowity koszt posiadania.

Ataki, które zatrzymujemy

Stworzony do ataków, z którymi ISP faktycznie się mierzą

WanGuard, dostrojony przez ITORO, broni przed pełnym zakresem wolumetrycznych i protokołowych ataków DDoS – poniższe kategorie obejmują zdecydowaną większość rzeczywistych incydentów.

Zalewy wolumetryczne

Wysokoprzepustowe zalewy UDP, ICMP i IP, które próbują wysycić Twoje łącza (Uplinki).

Amplifikacja / Odbicie

NTP, DNS, CLDAP, CHARGEN, SSDP, memcached, SNMP i podobne wektory odbite.

Carpet-bomb

Ataki rozproszone na wiele docelowych adresów IP w prefiksie – wykrywane per IP, a nie tylko per usługa.

Fragmentacja

Zalewy fragmentów IP/UDP zaprojektowane tak, by prześlizgnąć się przez systemy oparte na próbkowanym flow.

Wyczerpanie stanu TCP

Ataki SYN, ACK i zalewające dużą ilością połączeń na urządzenia stanowe.

DNS i warstwa aplikacji

Zalewy zapytań DNS są mitygowane (bezpieczeństwo DNS przez DNSdist). Ataki w warstwie aplikacji (L7) odrzucamy lub ograniczamy przepustowością, zamiast całkowicie je zatrzymywać – WanGuard to mitygacja wolumetryczna L3/L4, a nie WAF (firewall aplikacji webowych).

Metody mitygacji

RTBH, BGP FlowSpec i WanFilter – właściwe narzędzie do każdego ataku

Filtrowanie BGP FlowSpec

Granularne filtrowanie z prędkością sprzętową wysyłane wprost do kart liniowych Cisco/Juniper/Arista – odrzuca tylko ruch atakujący, utrzymując usługę online.

Black-holing RTBH

Remotely Triggered Black Hole odrzuca cały ruch do atakowanego adresu IP na Twoich łączach upstream – rozwiązanie awaryjne, gdy atak jest zbyt duży, by filtrować go granularnie.

Scrubbing WanFilter

Chirurgiczny scrubbing pakietów DPDK, wdrażany inline lub jako filtr off-ramp. Użyj go, gdy Twoje routery nie obsługują BGP FlowSpec, lub jako dodatkową warstwę filtrowania na wierzchu FlowSpec – chroniąc konkretne usługi zamiast black-holingu całego adresu IP.

Warstwowa automatyzacja

Najpierw FlowSpec/WanFilter, RTBH jako rozwiązanie awaryjne, gdy łącza uplink zbliżają się do wysycenia – w pełni automatycznie, z alertami do Twojego NOC.

Uczciwy zakres · co możemy, a czego nie możemy zablokować

Mitygacja ma granice – i jesteśmy wobec nich szczerzy

W ramach Twojego łącza uplinkFiltrowane w sieci – WanGuard + Juniper MX · BGP FlowSpec · RTBH
Poza pojemnością łączaPrzekierowanie do zewnętrznego scrubbingu

Pojemność Twojego łącza uplink to twardy limit – nie możemy filtrować więcej, niż przenosi łącze.

Co mitygujemy

  • Wszystko, na co WanGuard + Juniper MX mogą zareagować – w ramach przepustowości Twojego łącza uplink.
  • Stale aktywne, bezstanowe filtrowanie MX: anti-spoofing, anti-amplification, rate-limity, CoPP.
  • Dynamiczny BGP FlowSpec i RTBH aktywowane w momencie wykrycia ataku.
  • Granularne filtrowanie utrzymuje Twojego klienta online – RTBH tylko w ostateczności.

Gdzie eskalujemy – szczerze

  • Mitygacja jest ograniczona pojemnością łącza uplink – nie możemy filtrować więcej, niż przenosi łącze.
  • BGP FlowSpec blokuje tylko to, co da się wyrazić regułą – niektórych losowych lub adaptacyjnych zalewów DDoS nie da się odfiltrować.
  • Gdy ruch przekracza Twoje łącze uplink lub nie da się go odfiltrować, eskalujemy do zewnętrznego centrum scrubbingu o skali terabitowej.
  • Z góry mówimy, czego nie jesteśmy w stanie zablokować – to nasza marka, a nie zastrzeżenie prawne.
Dlaczego ITORO

Andrisoft Gold Partner, który obsługuje WanGuard każdego dnia

  • Kompletna instalacja, strojenie BIOS/OS/NIC i szkolenie personelu.
  • Realistyczne progi per IP, które wychwytują ataki bez fałszywych alarmów.
  • BGP, RTBH i FlowSpec skonfigurowane na Twoich routerach i łączach upstream.
  • Wsparcie zarządzane jest zawsze częścią wdrożenia – od pokrycia e-mail w trybie NBD po pełną administrację outsourcingową. Pierwszy rok jest dołączony do produktu.

Wdrożenie od początku do końca

Dokładne kroki, które ITORO wykonuje, aby przeprowadzić Cię od pustych serwerów do dostrojonego, produkcyjnego wdrożenia WanGuard.

Instalacja
Instalacja oprogramowania WanGuard Console, Sensor i Filter (Filter jest dostarczany razem z Sensor).
Instalacja karty do filtrowania ruchu na serwerach filtrujących ruch.
Strojenie systemu Debian: governor CPU, scheduler dysku, parametry sysctl, GRUB.
Ustawienia WanGuard
Połączenie komponentów WanGuard na serwerze głównym (Sensor / Filter).
Konfiguracja WanGuard Filter: parametry filtracji i dodatkowa ochrona przed przepełnieniem łącza (usługa dodatkowa).
Dodanie podsieci IP klienta i ustawienie progów ataków DDoS.
Faza końcowa
Filtrowanie ruchu, a następnie RTBH jako działanie ostateczne.
Konfiguracja powiadomień e-mail, raportów i alertów z WanGuard.
Ustawienie początkowych progów filtrowania ruchu (wymagana konsultacja z klientem).
Skryptowe archiwizowanie systemu WanGuard, z kopią na serwerze ITORO (opcja dla klientów z pakietami wsparcia ITORO).
Szkolenie operatorów: obsługa systemu, interpretacja alertów i codzienne zarządzanie.
Uruchomienie produkcyjne

Zobacz cennik

Cennik

Przejrzysty, od 2 500 € jednorazowo

Dwa standardowe scenariusze pokrywają większość wdrożeń. Jednorazowe wdrożenie (pierwszy serwer obejmuje instalację, szkolenie i miesiąc dostrajania); licencje WanGuard są roczne. Zbuduj pełną, wyszczególnioną wycenę w kalkulatorze.

Scenariusz 1 · podstawowy
od 2 500 €

Tylko RTBH – najszybszy i najtańszy sposób na zatrzymanie ataków wolumetrycznych przez black-holing celu.

  • Sensor port-mirror 2×10GE, detekcja <5 s
  • BGP RTBH na Twoich routerach/łączach upstream
  • Mitygacja wyłącznie przez blackhole
Scenariusz 2 · standardowy
od 3 000 €

RTBH + BGP FlowSpec – granularne filtrowanie, które utrzymuje usługę online, z RTBH jako rozwiązaniem awaryjnym.

  • Wszystko ze Scenariusza 1
  • Granularne filtrowanie BGP FlowSpec + WanFilter
  • Skaluje się do sensorów 40/100/400GE

Otwórz pełny cennik i kalkulator

WanGuard FAQ

Najczęstsze pytania

Czy WanGuard jest lepszy od chmurowej ochrony DDoS?

WanGuard działa on-premise: ruch nigdy nie opuszcza Twojej sieci, detekcja jest szybsza, a koszt przewidywalny. Uzupełnia chmurowy scrubbing upstream w przypadku bardzo dużych ataków wolumetrycznych.

Jak szybko WanGuard wykrywa atak DDoS?

Przy detekcji port-mirror zwykle od 2 do 5 sekund; przy NetFlow/sFlow od 35 do 95 sekund, zależnie od interwałów eksportu.

Jaki sprzęt jest potrzebny?

Router z obsługą BGP, switch lub router zdolny eksportować flow (sFlow, NetFlow, IPFIX) lub mirrorować ruch oraz – dla sensora port-mirror – serwer dobrany do prędkości portu, który chcesz mirrorować, od 1 do 400 Gb/s. ITORO rekomenduje dokładną specyfikację.

Czy ITORO może obsługiwać WanGuard za nas?

Tak – nasze poziomy wsparcia Gold/Platinum obejmują monitoring, strojenie progów, zmiany, a nawet pełną administrację.

Czy powinniśmy wdrożyć inline czy out-of-band?

Preferujemy metodę out-of-band (off-ramp) z filtrującym VRF – detekcja i scrubbing nigdy nie znajdują się na stałe w ścieżce danych, więc nie ma czego zawieść. Filtr inline również jest obsługiwany, ale ma jedną wadę: umieszczony w moście lub bezpośrednio w ścieżce danych może, przy restarcie lub zdarzeniu serwisowym, na krótko wpłynąć na ruch. Filtrowanie off-ramp całkowicie tego unika.

Jak długo trwa wdrożenie?

Pierwszy serwer obejmuje instalację, strojenie BIOS/OS/NIC, szkolenie i miesiąc dostrajania. W praktyce większość wdrożeń rusza w ciągu jednego do dwóch tygodni – pod warunkiem, że sprzęt, serwer i BGP są gotowe, a Twój zespół ma czas na szkolenie. Możemy też wdrażać, gdy jesteś pod aktywnym atakiem; czasem oznacza to uruchomienie ochrony przez alternatywną ścieżkę danych (na przykład łącze komórkowe), aby dotrzeć do atakowanego centrum danych lub ISP.

Jak radzi sobie z zaszyfrowanymi atakami (TLS)?

Ataki TLS działają w warstwie 7. WanGuard działa w warstwie 3/4 – BGP FlowSpec, black-holing RTBH i brzegowy FlowSpec. To nie jest firewall aplikacji webowych - WAF; to oprogramowanie do wolumetrycznej mitygacji DDoS, które pochłania zalew (flood) na podstawie zachowania ruchu (przepustowość, źródła, cechy pakietów i protokołów sieciowych).

Czy integruje się z naszą istniejącą infrastrukturą?

Tak. WanGuard steruje Twoimi istniejącymi routerami z obsługą BGP (Juniper, Cisco, Arista, Huawei, Nokia) – bez wymiany całej infrastruktury. Juniper MX doskonale sprawdza się jako stale aktywna brama filtrująca z prędkością łącza, a telemetria strumieniowa Juniper zasila Grafana dla pełnej widoczności – oba dostępne jako produkty dodatkowe w naszym portfolio.

Czy skaluje się wraz ze wzrostem naszej przepustowości?

Sensory skalują się od 2×10GE do 400GE na serwer, możesz dodawać sensory i POP-y, a detekcja flow/sFlow skaluje się do terabitów na wielu routerach. Mitygacja przez BGP FlowSpec działa z prędkością portów Twoich routerów.

Jak koszt wypada w porównaniu z chmurowym scrubbingiem?

WanGuard to jednorazowe wdrożenie plus roczne licencje i koszty wsparcia – bez opłat za scrubbing lub burst naliczanych za Gb/s, które rosną wraz z rozmiarem ataków. Koszty są przewidywalne, a Twój ruch nigdy nie opuszcza sieci.

Jaką widoczność uzyskujemy poza alertami o atakach?

Dashboardy na żywo, raporty per incydent i długoterminowa analityka – a także opcjonalna telemetria Juniper MX do Grafana, dająca widoki brzegu i mitygacji w czasie rzeczywistym, które Twój NOC może obserwować podczas ataku. Raportowanie regulacyjne (NIS2) jest dostosowywane do wymagań Twojego kraju w ramach pakietu awaryjnego ITORO.

Jakie rodzaje ataków DDoS może zatrzymać?

Zalewy wolumetryczne (UDP/ICMP), amplifikacja/refleksja (NTP, DNS, CLDAP, memcached i inne), carpet-bomb, fragmentacja, wyczerpanie stanu TCP (SYN) oraz zalewy DNS. Ruch w warstwie aplikacji (L7) jest odrzucany lub ograniczany przepustowością, a nie całkowicie zatrzymywany. Aby uzyskać więcej informacji, skontaktuj się z działem sprzedaży.

Gotowy, by zatrzymać ataki DDoS, zanim dotrą do celu?

Otrzymaj wdrożenie WanGuard dobrane i dostrojone do Twojej sieci.

Skontaktuj się z ITORO