随着网络的高速发展，各大运营商以及IDC公司对网络安全的防护和网络稳定性要求更高。为防御海量ddos攻击提高网络稳定性，金盾抗拒绝服务系统推出旁路解决方案。

1. 接入拓扑

中新金盾旁路牵引模式，根据净化后回注流量的不同，分为如下两种模式：

1. 1 回注流量

此种模式，防火墙在处理过流量之后，将纯净流量再次从原路发回网络，如下图所示：

此种模式下，需要在核心路由器上配置策略路由，将从防火墙发回的流量直接送至下层设备，否则核心路由器和防火墙之间会形成流量的无限循环。

1.2. 注入下层

此种模式，防火墙处理流量之后，将纯净流量直接注入下层设备，如下图所示：

采用此种模式，考虑下层设备的不同，有两种不同配置：

●若下层设备为交换机，则防火墙将自动解析目标主机的MAC地址，并将纯净流量直接发送至该主机；

●若下层设备为路由器，则需要在防火墙上设置下层路由器的地址（下一跳地址）若是集群则每台墙都要独立设置。

2. 分析器（ Analyzer）

分析器用于从用户网络中识别出攻击行为，并通知防火墙进行牵引处理，同时还收集一些连接信息提供给防火墙，因此分析器目前只支持镜像/分光（Mirror/SPAN）模式。分析器接入核心路由器的下层，以便在遇到大流量攻击的情况下，分析器的端口不被攻击流量完全堵塞。

3. 抗拒绝服务系统（Protector）

防火墙设备在网络流量正常情况下，处于非激活状态。当分析器识别出攻击流量后，通知防火墙设备，随后防护墙设备通过BGP路由通告，从核心路由器将流量牵引到防火墙进行处理，并将过滤后的流量重新提交到原网络。