随着网络的高速发展，各大运营商以及IDC公司对网络安全的防护和网络稳定性要求更高。为防御海量ddos攻击提高网络稳定性，金盾抗拒绝服务系统推出旁路解决方案。

1. 接入拓扑

中新金盾旁路牵引模式，根据净化后回注流量的不同，分为如下两种模式：

1. 1 回注流量

此种模式，抗拒绝服务系统在处理过流量之后，将纯净流量再次从原路发回网络，如下图所示：

此种模式下，需要在核心路由器上配置策略路由，将从抗拒绝服务系统发回的流量直接送至下层设备，否则核心路由器和抗拒绝服务系统之间会形成流量的无限循环。

1.2. 注入下层

此种模式，抗拒绝服务系统处理流量之后，将纯净流量直接注入下层设备，如下图所示：

采用此种模式，考虑下层设备的不同，有两种不同配置：

●若下层设备为交换机，则抗拒绝服务系统将自动解析目标主机的MAC地址，并将纯净流量直接发送至该主机；

●若下层设备为路由器，则需要在抗拒绝服务系统上设置下层路由器的地址（下一跳地址）若是集群则每台设备都要独立设置。

2. 分析器（ Analyzer）

分析器用于从用户网络中识别出攻击行为，并通知抗拒绝服务系统进行牵引处理，同时还收集一些连接信息提供给抗拒绝服务系统，因此分析器目前只支持镜像/分光（Mirror/SPAN）模式。分析器接入核心路由器的下层，以便在遇到大流量攻击的情况下，分析器的端口不被攻击流量完全堵塞。

3. 抗拒绝服务系统（Protector）

抗拒绝服务系统设备在网络流量正常情况下，处于非激活状态。当分析器识别出攻击流量后，通知抗拒绝服务系统设备，随后防护设备设备通过BGP路由通告，从核心路由器将流量牵引到抗拒绝服务系统进行处理，并将过滤后的流量重新提交到原网络。