綠盟科技的DDoS專家提到“一方面,我們需要消除主機、網絡和網絡設備的DDoS安全隱患,即DDoS的“治理”;另一方面,我們需要採用各種方式減小DDoS***造成的影響,即DDoS的“緩解”。”其中,DDoS的“緩解”則包括流量稀釋和流量清洗,今天《DDoS流量清洗方案》就跟大家分享一下如何做DDoS流量清洗。《DDoS流量清洗方案》本文來自綠盟科技解決方案
1. 安全問題、壓力和挑戰
DDoS***是一種可以造成大規模破壞的***武器,它通過製造僞造的流量,使得被***的服務器、網絡鏈路或是網絡設備(如防火牆、路由器等)負載過高,從而最終導致系統崩潰,無法提供正常的服務。
DDoS***從種類和形式上多種多樣,從最初的針對系統漏洞型的DoS***(如Ping of Death),發展到現在的流量型DDoS***(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等),以及越來越頻繁出現的針對應用層的DoS***(如Http Get Flood、連接耗盡、CC等)。從以往國內外的***實例中表明,DoS/DDoS***會對電信運營商、運行大型電子商務的企業、金融等高度依賴互聯網業務的客戶造成巨大的損失。而且由於各類DDoS工具的不斷髮展,使得實施DDoS***變得非常簡單,各類***工具可以從網絡中隨意下載,只要使用者稍有網絡知識,便可發起***。
骨幹網和城域網是電信運營商最重要的數據流量通道,是承載互聯網各種豐富應用的重要基礎設施,保障網絡的可用性,以及保持合理的帶寬利用率對電信運營商至關重要。而在骨幹網、城域網中的的DDoS***主要以流量型***爲主,大流量的***會擁塞網絡帶寬,搶佔網絡設備的處理能力,使得網絡帶寬的整體利用率降低,從而對多種業務構成威脅。大規模DDoS***對骨幹網、城域網核心網絡的影響主要表現在如下方面:
核心網絡的通信鏈路被DDoS***流量佔用
DDoS***造成鏈路中網絡設備的負載過高
大客戶業務受DDoS影響服務質量急劇下降
運營商數據中心(IDC)是爲滿足互聯網業務和政府、企事業信息服務需求而建設的應用基礎設施,IDC通過與互聯網的高速連接,以豐富的計算、存儲、網絡和應用資源向服務提供商(SP)、內容提供商(CP)、各類集團客戶等提供大規模、高質量、安全可靠的主機託管、主機租賃、網絡帶寬租用、內容分發等基礎服務和企業郵箱、企業建站等增值服務。在IDC面臨的各類安全威脅中,DDoS***由於會對IDC業務產生重大影響而顯得尤爲重要,具體包括如下方面:
核心重要的用戶服務器遭受***——造成核心客戶的流失
IDC鏈路帶寬資源被佔用——造成整體服務質量下降
日益繁多且複雜的應用層***——造成利潤客戶流失
此外,針對電信運營商網絡接入的專線客戶,由於激烈的市場競爭背景, SLA(服務等級)質量變得更加重要,如何避免以及防禦針對專線接入客戶的DDoS***也是電信運營商安全工作的重要方面。
2. 安全解決方案
2.1 解決方案組成
綠盟科技長期專注於如何抵禦DDoS***,綠盟科技推出了三位一體的異常流量清洗解決方案,可滿足電信運營商對大型Anti-DDoS系統“可管理、可運營”的需求。
該解決方案由異常流量檢測系統(NSFOCUS NTA)、異常流量淨化系統(NSFOCUS ADS)及管理和取證系統(NSFOCUS ADS-M)組成。
NSFOCUS ADS(綠盟抗DDoS流量清洗產品)——作爲綠盟流量清洗產品系列中的關鍵設備,通過部署NSFOCUS ADS設備,可以對網絡中的DDoS***流量進行清除,同時保證正常流量的通過。NSFOCUS ADS設備可以通過旁路方式部署在網絡中,提供抵禦海量DDoS***的能力。
NSFOOCUS NTA(綠盟網絡流量分析產品)——綠盟流量清洗產品系列中第二類設備,稱之爲NSFOCUS NTA,該設備主要應用於異常流量檢測,需要和NSFOCUS ADS設備配合工作。NSFOCUS NTA設備可以應用Netflow等方式對流量數據進行採集,並對採集到的數據進行深入分析。一旦發現異常的網絡流量,NSFOCUS NTA會根據預先由系統管理員定義的方式觸發進行流量的牽引和清洗。
NSFOCUS ADS-M(綠盟抗DDoS綜合管理產品)——綠盟流量清洗產品系列中第三類設備,稱之爲NSFOCUS ADS-M,負責收集來源於不同網絡位置的多個NSFOCUS ADS設備的狀態數據,進行關聯分析和處理,提供綜合管理功能以及類型豐富的報表。除此之外,NSFOCUS ADS-M更提供用戶自服務系統,滿足運營商DDoS增值服務的需要。
2.2 設備部署示意圖
對於運營商骨幹/城域網、IDC數據中心及專線客戶的全網DDoS流量清洗系統部署方案如下圖所示:
3. 方案價值
全網分層部署,滿足不同粒度的防護清洗需求——不能寄希望於在一點能夠解決所有的問題,而應建立多層次的梯度防護,不同的防護層次完成不同的任務。在覈心網絡首先要做到的是對海量DDoS***的淨化,以保證核心鏈路的暢通與帶寬利用率,而針對IDC、大客戶接入等的保護更加重視對於應用層的***防護。
旁路工作方式,保障網絡的高可靠性——“物理旁路、邏輯直路”部署,天然避免單點故障隱患,高效、可靠處理海量DDoS***。
多點清洗,集中管理,統一呈現——通過綜合管理設備,不僅能夠針對全網DDoS設備集中便捷管理,還能夠集中收集全網中DDoS檢測、防護設備所獲得的***處理數據,從而對全網DDoS***事件進行集中分析和呈現,掌握全網DDoS***防護動態。
4. 方案優勢
多級聯動、全網協同——全網上下游清洗設備智能協同與動態調度,形成多級聯動的綜合立體式流量清洗解決方案。
7*24小時雲端服務——綠盟科技雲安全中心協助客戶實現7*24小時DDoS***監測、業務異常檢測及精確識別、攔截***,破解DDoS防護難題。
完善的服務應急體系——綠盟科技具備強大的技術支持服務能力,快速應急響應能力以及對網絡安全深入的研究能力,真正爲運營商客戶提供完備、有效的流量清洗系統。
文章源自
綠盟科技解決方案 http://www.nsfocus.com.cn/1_solution/1_1.html
相關文章
相關文章請參看綠盟科技安全+技術刊物第2期中的文章,《電信IP骨幹網絡異常流量及其檢測》
更多文章
DDoS流量清洗方案的更多文章請參考