近年來隨着互聯網帶寬的不斷增加,加上越來越多的DDOS***工具的發佈,DDOS***的發起難度越來越低,DDOS***事件也處於上升趨勢,這給互聯網安全帶來巨大的威脅。爲了應對DDOS***,網絡服務商非常注重防禦來自外部的DDOS流量,包括購置防火牆,提高網絡帶寬等,投入了巨大的成本。這種屬於“被動安全”,即防止被他人從外部***。但在防禦的過程中,有一個地方卻一直被大多數服務商所忽略,那就是從IDC機房內部發起的DDOS***。如何主動抑制從內部發起的***,是“主動安全”所關注的問題。
前不久一個運營商IDC機房剛剛經歷了一次特別的DDOS***。與之前不同的是,這次***俘獲了他們機房的大量虛擬機做爲傀儡機,並向境外站點發起了DDOS***,因爲這次***事件該運營商被通報批評。事後該運營商進行了仔細檢查發現,該IDC機房的虛擬主機分別部署在兩個虛擬化平臺上,一個是雲宏的CNware,另一個來自X廠商的產品,而被俘獲爲傀儡機並對外發起DDOS***的虛擬機均部署自X廠商的虛擬化平臺上。而CNware平臺上的虛擬機雖然也被俘獲,但卻沒有對外發起DDOS***。
從CNware的日誌發現了其中的端倪,被俘獲的虛擬機也同樣發起DDOS***,但***流量卻被CNware的內部防火牆進行了攔截,因此對外的***沒有成功。可以想象,如果該運營商IDC機房的虛擬主機全都部署在CNware上,那本次從IDC內部發起的DDOS***就可以被成功攔截,從而避免出現更大的問題。
CNware攔截機房內部DDOS***
從IDC機房內部發起的DDOS***,常規的硬件防火牆和***檢測設備並無法進行防禦,因爲這些***的流量並不是從外部進行IDC機房,而是在防火牆內發起。CNware獨創的虛擬化層的防DDOS***技術,通過在虛擬化層OVS組件增加自研的DDOS防禦模塊,有效識別進出虛擬化層的DDOS***流量並進行攔截,對主流的DDOS***手段如SYN Flood***、TCP全連接***等有較好的防禦效果。只有把“被動安全”和“主動安全”結合在一起,才能夠在系統上有效地防範DDOS***。
CNware做爲領先的國產虛擬化軟件,在安全特性上進行了許多技術創新,除了業界首創的虛擬化層防DDOS***,還在國內首發基於虛擬化的無代理防病毒接口等。通過對虛擬化層的安全加固,使得CNware成爲要求高安全生產環境的首選虛擬化產品。