近年来,随着云计算的兴起与大规模商用,DDoS攻击也在向大流量和高频率的趋势发展,据悉仅去年上半年,1Gbps以上DDoS攻击日均就达上千起。随着未来更加强大的攻击工具的出现,也为日后发动数量更多、破坏力更强的DDoS攻击带来可能。由于DDoS攻击难于防御,又危害严重,所以如何有效的应对DDoS攻击早已成为所有安全厂商所需面对的严峻挑战。
目前市面的抗D产品总类繁多,从防护手段上来说,可以分为近目的防护和近源防护两类,而这两大类相辅相成,又缺一不可。其中,近目的防护的代表为各大传统安全厂商,汉柏便是其中之一,汉柏早在5年前就推出了抗拒绝服务系统。去年,汉柏更结合其自研的网络分析设备Detector,流量清洗设备ADS、云脑平台,提供了近目的防御的,基于威胁情报的DDoS解决方案。
近源防护的代表是中国电信的云堤产品,它的主要功能包括攻击检测、攻击防护和分析溯源三大功能,具有全网覆盖(含电信海外网络)、对大攻击流量的全面客观测度、近源防护,并可区分攻击来向的流量压制,防护能力上不封顶、全网1T的清洗容量、基于BGP anycast技术的近源攻击流量牵引,秒级防护生效;覆盖全网的准确攻击溯源,用户零操作,零设备部署。
今年年初,汉柏与电信网安强强联合,签署了战略合作协议,汉柏基于威胁情报无极容量的抗D方案终于震撼问世。解决方案原理图如下:
当无攻击流量时,方案中涉及的产品默认均采用旁路部署模式,几乎不对网络产生影响。
当有攻击流量时,流量分析设备(Detector)会将攻击信息上报给云脑,云脑接收信息后,根据用户配置的阈值或智能分析得出的推荐使用阈值,自动将攻击流量引入对应的汉柏ADS进行流量清洗,对应关系可以灵活指定。汉柏ADS独创了多核并行计算和多引擎负载分担技术,充分发挥多核硬件平台的强大并行处理优势。单台汉柏ADS设备可清洗10Gbps DDoS流量。同时,汉柏DDoS利用聚合技术结合自研集群协议而形成的“多虚一”虚拟化集成技术,可将多台防火墙虚拟成一台防火墙,让多个设备集群起来工作,将多台防火墙虚拟成一台性能卓越的超级防火墙技术,解决了单台设备的瓶颈问题,多机集群可清洗500Gbps DDoS流量。
当攻击流量比例太大造成用户带宽占用过多,正常请求无法进入服务器网络时,云脑会提前启警,根据攻击流量情况,提示开启云禹服务。汉柏云禹服务提供了电信云堤的流量压制服务。电信云堤流量压制作为运营商级的防护服务,其突出优势是“近源防护”的概念。云堤的近源流量压制利用了很多BGP核心功能,如Anycast/虚拟下一跳/FlowSpec进行控制信令的全网散步,利用IP网核心路由器将攻击流量进行可区分方向的丢弃、限速和其他QoS动作。云堤监控分析电信全网的路由器的NetFlow数据,能够准确的辨别一个攻击的主要区域来向,可以判断是从境外发起还是从国内其他运营商发起,并定位发起点是哪一家运营商、哪一个城市甚至是IDC机房,从而调度IP承载网路由器和分布式部署的流量清洗设备将攻击流量在“最靠近攻击发起源”的网络节点上对攻击流量的进行清除,因此其攻击防护能力理论上无限大。
云脑系统是方案中的IT运维管理中心。云脑作为一款基于大数据的高级安全威胁监测和预测的安全分析平台,通过高效的数据分析,针对性的对APT攻击和下一代未知威胁进行监测与预测;同时,分析结果与汉柏网络安全系列产品、汉柏云管家等安管平台智能联动,并提供标准接口,可随时递交和查询威胁信息,也是第三方威胁情报共享中心,让分析结果及时送达并运用,构建纵深防御体系。
云脑智能分析的结果,不仅可以提前预知风险,生成更合适的触发阈值,使得DDoS攻击的危害降到更低,而且因为可以同时与IDS、WAF等安全设备联动,不仅是DDoS攻击,其他的入侵行为也能一并进行防御,防御功能更全面。
汉柏云脑可同时管理多台Detector和ADS设备,以及IDS、WAF等安全设备,整套方案的配置管理等操作均可在云脑上统一执行,由云脑进行统一的策略下发和信息收集。形成的报表和流量异常情况都可在云脑上查看,相较于传统的DDoS解决方案,大大降低了网管维护的复杂度。网管可根据业务的不同需求,动态设置引流的触发条件,预置云禹服务的触发条件。同时,云脑提供统一的API接口,可与其他厂商的安全设备做对接和管控。
方案可在云环境随意迁移。汉柏顺应时代发展的要求,针对当前网络大变革环境下的安全防护需求,立足于云安全。该方案中所涉及的产品能在如vm、汉柏OPV、kvm、Xen等多种Hypervisor系统上运行,不仅可基于网络、应用、用户进行防护,还可基于云租户、基于云主机配置细粒度的安全策略,安全策略可动态感知云环境变化,匹配到对应的云租户或云主机,充分满足云计算环境下的DDoS防护要求。
联系客服