隨著企業(yè)業(yè)務(wù)的持續(xù)拓展和數(shù)智化轉(zhuǎn)型步伐的加快，數(shù)據(jù)中心已逐漸演變?yōu)槠髽I(yè)數(shù)據(jù)存儲(chǔ)、處理和應(yīng)用的關(guān)鍵部署場地，這也使得數(shù)據(jù)中心面臨著日益嚴(yán)峻 的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，其中DDoS攻擊以其高效性依舊是數(shù)據(jù)中心面臨的主要威脅之一。伴隨著數(shù)智化的發(fā)展，DDoS攻擊出現(xiàn)了一些新的特征，這對數(shù)據(jù)中心如何做好DDOS攻擊防御 提出了更高的要求。

DDoS高防數(shù)據(jù)中心的架構(gòu)設(shè)計(jì)復(fù)雜且高效，其核心組成包括以下關(guān)鍵元素：

01硬件設(shè)備

數(shù)據(jù)中心配備高性能的網(wǎng)絡(luò)設(shè)備，如異常流量檢測設(shè)備、異常流量清洗設(shè)備、高防轉(zhuǎn)發(fā)設(shè)備、DNS解析設(shè)備等，以應(yīng)對海量數(shù)據(jù)流量。特別是高容量、 高速率的網(wǎng)絡(luò)設(shè)備能夠承受大規(guī)模DDoS攻擊帶來的巨大流量壓力。

02大規(guī)模帶寬資源

擁有充足的帶寬儲(chǔ)備，確保在遭受攻擊時(shí)有足夠的吞吐能力，能夠吸收和分散惡意流量，保證正常業(yè)務(wù)流量不受影響。

03智能流量清洗系統(tǒng)

運(yùn)用先進(jìn)的流量清洗技術(shù)，通過深度包檢測（DPI）和行為分析，實(shí)時(shí)甄別并剔除惡意流量，僅將合法業(yè)務(wù)流量回送至服務(wù)器。

04防護(hù)策略

采用多層次、靈活的防護(hù)策略，包括但不限于黑名單、白名單、限流策略、協(xié)議防護(hù)、端口防護(hù)等，可依據(jù)攻擊類型和企業(yè)業(yè)務(wù)特性進(jìn)行定制化配置。

05智能分析系統(tǒng)

結(jié)合人工智能和大數(shù)據(jù)分析技術(shù)，對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控和智能分析，能夠快速識(shí)別新型、復(fù)雜的攻擊手段，并自動(dòng)調(diào)整防護(hù)策略，實(shí)現(xiàn)動(dòng)態(tài)防御。

06冗余備份與災(zāi)備系統(tǒng)

高防數(shù)據(jù)中心通常具備冗余設(shè)計(jì)，如電源、網(wǎng)絡(luò)連接等，確保即使在單一節(jié)點(diǎn)失效的情況下，也能保證服務(wù)的高可用性。

07協(xié)同防御與聯(lián)動(dòng)響應(yīng)

與其他安全系統(tǒng)（如WAF、IPS等）密切配合，實(shí)現(xiàn)端到端的安全防護(hù)，并能與安全運(yùn)營團(tuán)隊(duì)進(jìn)行實(shí)時(shí)聯(lián)動(dòng)，提供緊急響應(yīng)和快速修復(fù)。

通過以上關(guān)鍵元素的有機(jī)整合，DDoS高防數(shù)據(jù)中心構(gòu)建了一道強(qiáng)大的防線，能夠有效抵擋多種形態(tài)、規(guī)模的DDoS攻擊，切實(shí)保障企業(yè)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全。

下以東部某高防三線數(shù)據(jù)中心為例，就其防御層級及安全設(shè)備做簡單介紹。

防御層級：三層

01第一層：運(yùn)營商過濾

將常見DDoS放大攻擊源端口、SYN大包、不常見三層協(xié)議在運(yùn)營商路由器上通過acl 丟棄。

下述協(xié)議或端口為高防清洗中心可與上層做丟棄處理。

也可對固定高防段封禁UDP協(xié)議SYN 大包，大于90字包長非TCP\UDP\ICMP\GRE 協(xié)議IP Fragment 報(bào)文。

02第二層 DDoS流量清洗域

可由異常流量檢測系統(tǒng)+異常流量清洗集群組成或單異常流量清洗系統(tǒng)集群構(gòu)建，用于防御DDoS流量攻擊，如SYN Flood、ACK Flood、UDP Flood、ICMP Flood 等各類洪水攻擊及反射放大類攻擊。

異常流量檢測系統(tǒng)+異常流量清洗集群，此組網(wǎng)方式，可實(shí)現(xiàn)動(dòng)態(tài)按需清洗。

解決單清洗集群的常駐清洗模式組網(wǎng)場景中的下述常見問題：

■ 徹底解決DDoS清洗系統(tǒng)對無攻擊業(yè)務(wù)誤攔截、清洗影響；
■ 解決單清洗集群組網(wǎng)下因策略設(shè)置不當(dāng)或設(shè)備性能不足時(shí)，全網(wǎng)波動(dòng)；
■ 緩解因常駐地址量過大導(dǎo)至清洗管理中心操作卡慢，日志存取異常等；

當(dāng)高防防數(shù)據(jù)中心業(yè)務(wù)IP地址數(shù)量超過8000時(shí)，建議方式為必選方案。

傲盾異常流量檢測系統(tǒng)分光/鏡像方式引入業(yè)務(wù)數(shù)據(jù)，實(shí)時(shí)檢測DDoS攻擊事件，毫秒級引流。

單清洗集群組網(wǎng)，早期高防數(shù)據(jù)中心組網(wǎng)模式，要求數(shù)據(jù)中心內(nèi)所有業(yè)務(wù)地址全部引入清洗集群。實(shí)時(shí)檢測、清洗異常流量。適用于高防數(shù)據(jù)中心初創(chuàng)，業(yè)務(wù)開展快速增長前期階段。 成本比檢測+清洗集群方式要低。當(dāng)業(yè)務(wù)發(fā)展到一定階段時(shí)，應(yīng)逐步向檢測+清洗集群方式過度。

流量清洗域常見防御策略：

【全局】-TCP空連接策略；
【全局】-TCP 防御策略；
【全局】-異常協(xié)議過濾策略；
【全局】-HTTP插件策略；
【全局】-GAME 通用策略；
自動(dòng)黑洞策略：閾值設(shè)置為防御總帶寬80%。

03第三層 CC/應(yīng)用攻擊清洗區(qū)

高防數(shù)據(jù)中心每個(gè)業(yè)務(wù)單元單獨(dú)部署傲盾異常流量清洗CC攻擊專用處理設(shè)備。采用雙機(jī)集群模式或主備模式。處理從流量區(qū)下透的應(yīng)用/CC攻擊數(shù)據(jù)。 CC攻擊專用處理設(shè)備采用串聯(lián)方式接入網(wǎng)絡(luò)。傲盾CC攻擊專用處理設(shè)備優(yōu)化了普通清洗系統(tǒng)的漏洞模塊、連接處理模塊性能，內(nèi)核預(yù)置多協(xié)議連接追蹤與建模算法， 可防御大部分應(yīng)用/CC攻擊。

傲盾CC專用設(shè)備部分應(yīng)用攻擊防御原理：

請HTTP CC 插件模式1

HTTP 字段過濾

TCP連接插件

DNS插件

通過上述防御層級和安全設(shè)備的組合，東部某高防三線數(shù)據(jù)中心構(gòu)建了一道強(qiáng)大的防線，能夠有效抵擋多種形態(tài)、規(guī)模的DDoS攻擊，切實(shí)保障企業(yè)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全。

返回首頁>>