电信运营商的城域网和IDC层面上开展对DoS/DDoS等攻击的防范,通过安全防范、为用户提供稳定可靠的网络服务。
我们如何解决安全威胁
我们如何解决安全威胁
为了防御运营商难以避免的而且日益严重的网络威胁,一些安全厂商也相应发布了自己的DoS/DDoS防御安全解决方案。通过在运营商IP城域网或IDC部署这套安全防御解决方案,能够让电信运营商以很少的开支,帮助企业客户保障网络安全。
目前能够提供DoS/DDoS防御安全解决方案的厂商也很多,每个厂商所提供的DoS/DDoS防御机制不同,多数厂商都只是防御已知的DOS攻击,缺乏对现在流行的“零日攻击“和应用层攻击的防御手段;目前业界做得比较好的厂商首推Radware公司的DoS/DDoS防御解决方案,Radware公司是业界第一个提供单台6Gbits/s吞吐量的厂商。在DoS/DDoS攻击防御领域具有很多领先的技术,尤其是在防御未知DOS/DDOS攻击(即“零日攻击“)方面具有专利性的技术——基于行为的DoS/DDoS防御技术,可以自动学习、自动制定策略和报告。
我公司的IDC中也托管了很多企业的WEB站点,自从业务开展以来,经常遭受到DOS/DDOS、HTTP Flood等各种恶意流量的攻击,导致客户无法正常运营,对我司的日常运营和用户满意度也造成了严重的影响。
现在我公司已经引入了Radware公司提供的DOS/DDOS防御安全解决方案。在唐山分公司的IDC内部署了一台Radware的DefensePro6000 DOS/DDOS防御设备后,防护效果非常好,继续发生的UDP Flood、TCP Flood及HTTP Page Flood等攻击全部被Radware的DefensePro设备拦截。
DOS/DDOS安全解决方案也称之为DoS/DDoS流量清洗解决方案,即在运营商的城域网或IDC内构建一个全面的DoS/DDoS流量清洗中心,可以对外面恶意流量进入客户系统之前进行有效的拦截。防止运营商的增值服务受到DDoS攻击的影响,最大限度的确保其可用性。
DoS/DDoS防御安全解决方案实现了下列目标:
•帮助运营商客户有效地防御DDoS攻击,从而最大限度地提高在线服务和业务的连续性。解决方案可以帮助用户清除攻击流量和只允许合法流量使用从运营商网络到客户网络的、带宽有限的连接。运营商将以安全服务托管的形式向企业客户提供这种保护。同时针对运营商的IDC,还可以利用相同的防御系统防止他们的托管客户的Web和其他电子商务应用遭受DDoS攻击。
•确保运营商网络中的网络资源(例如路由器、DNS、SMTP、电子邮件和WWW)具有足够的安全性,不会受到DDoS攻击的影响。
•为运营商的增值服务部门提供了一个新的安全服务理念,可以根据客户对安全级别要求的不同实施相应的安全防护策略,以提供增值服务的价值空间。
DOS/DDOS防御部署设计
将两台DoS/DDoS防御设备旁路部署在两台城域网核心路由器上,每台DOS防御设备可以采用10G链路连接核心路由器,两台DoS/DDoS防御设备构成了“城域网安全防护/DDoS清洗中心”,通过在核心路由器上做策略路由,将被保护网段的数据流导向到清洗中心(如下图),达到过滤掉DDOS攻击流量,放行正常访问流量的目的。这种部署方案可以全面解决城域网的不同安全问题,总体上看,解决的思路是:“对攻击流量清洗,对正常流量放行”,通过全面的技术手段对城域网及IDC中的不安全因素进行过滤,以来保证城域网的安全。
网友评论