本文讲的是 : 抗DDoS 一场企业摆脱不了的安全攻防战 , 【IT168评论】DDoS攻击从未消沉过,近两年来,虽然针对企业以经济利益为目的的高级可持续性攻击越来越多,而企业也越来越难以防范。但作为一种易于开展又为害甚重的攻击手段,DDoS攻击也成为如今困扰企业的难题之一。
DDoS攻击全称分布式拒绝服务攻击,攻击者大都以瘫痪对方的服务为直接目的,以耗尽网络设施(服务器、防火墙、IPS、路由器)性能为手段,利用网络中分布的傀儡主机向目标设施发送恶意攻击流量。由于傀儡主机数量巨大,所以DDoS 攻击产生的流量经常会达到服务器甚至是电信级网络设备的性能上限。同时由于傀儡主机呈现多地区分布的特点,导致攻击难以溯源,无法准确防范。而其简单的工作原理和攻击方式导致大量的不法之徒可以轻易的掌握某种DDoS攻击技术。
华为企业网络产品线首席安全架构师钱晓斌认为,企业目前在安全和风险管理上面临着几个严重的挑战,首先是缺乏端到端的企业整体安全方案;其次缺乏统一的安全防御模型。信息的共享与使用存在困难,政府和不同的企业、企业的不同系统之间,在安全架构与模型、信息通告、接口标准等方面缺乏统一与协作,导致虽然企业建立了多种安全防御系统,但攻击仍然可以利用安全盲区发动;最后安全防御的成本急剧增加,攻防成本和效率失衡。
基于以上的机会,DDoS攻击在如今呈现愈演愈烈之势。近两年来,最大规模的DDoS攻击早已超过100G。而对传统的企业级安全防御设备来说却无法有效的进行防御,防火墙作为网络基础安全设施已经得到人们的认可,但防火墙的主要功能是域间隔离、NAT、VPN。DDoS攻击的对象是部署在防火墙DMZ区的服务器,传统防火墙对DMZ区只能采用通用的基于应用端口和四层协议的访问控制,如果攻击是模拟业务访问报文,防火墙的防范会彻底失效。IPS设备基于特征库过滤已知威胁,但是当前DDoS攻击大部分都是模拟合法业务访问报文,所以IPS系统面对DDoS攻击往往也束手无策。
而最糟糕的是,大量变源IP变源端口的DDoS攻击会快速导致部署在网关处的新建会话低的防火墙或IPS早于业务系统瘫痪,现网已经出现多次DDoS攻击引起防火墙和IPS瘫痪最终导致网络业务中断的事故。
在此背景下,企业的DDoS防护是时候需要一款专业的抗DDoS产品了。今天小编为大家推荐的是华为推出的一款专业抗DDoS产品——华为AntiDDoS。
华为Anti-DDoS 系统由检测设备,清洗设备,管理中心三部分组成。其中Anti-DDoS8000系列产品采用分布式机框架构,能够实现清洗模块和检测模块的灵活扩展,性能可以根据硬件配置进行线性扩容。其强大的crossbar 交换设计可以轻松应对百G 级的超大流量攻击的清洗和检测。而Anti-DDoS1000系列采用的是华为多核硬件平台,在1U空间内集成了所有Anti-DDoS8000 功能,轻松应对G级DDoS攻击。
结合多年对现网流量的分析经验和对客户诉求的理解,华为提出了精细化防范理念,使用防护对象将具有相同业务模型或同样网络位置的目标服务器IP 进行捆绑,对不同的防护对象使用独立的防范策略。而其它所有管理,分析和控制均基于防护对象进行操作,这样便实现了业务独立分析,防范,统计,在提供精细化防范的同时也为推广DDoS 防护增值业务提供了支撑。
与此同时,其智能防护引擎集成了DDoS防护必备的7层防护算法,逐层对攻击流量进行清洗过滤,实现对流量型攻击和应用层攻击的全面防护。
通过与云计算技术的融合,华为AntiDDoS还可以为各种规模的企业用户提供抗D方案。据悉,在中小企业市场,华为通过与安全宝的合作,为中小企业用户提供基于云安全服务的抗D方案。而在前段时间,华为又与云清洗企业Black Lotus展开合作,利用云端能力为企业提供更大规模的流量清洗和抗D服务。
DDoS 防护是一场长期持久的战争,攻击者总是在猜测着防护体系的防范规律,同时也在不断的推出新的攻击软件和攻击手段。在如此情势下,单纯靠网络安全设备来进行防护是远远不够的。完整而健全的防护体系实际上需要DDoS 防护设备,应急响应团队,攻击分析团队和DDoS 防护开发团队的通力合作才能够建立。
原文发布时间为:2015年7月6日
本文作者:董建伟
原文标题 :抗DDoS 一场企业摆脱不了的安全攻防战