采用DDOS攻击防御解决方案化解网络安全威胁.docVIP

运营商网络面临的威胁和挑战 目前运营商骨干网和各地市城域网，宽带用户数量多，网络结构复杂，业务流量大，DDoS攻击导致的网络安全问题时有发生，导致IP网络整体服务质量下降，已经严重威胁到网通IP网络优质的品牌形象，因此在电信运营商的城域网和IDC层面上开展对DoS/DDoS等攻击的防范具有必要性，通过安全防范、为用户提供稳定可靠的网络服务。 在电信运营商的城域网层面上，分布式拒绝服务（DDoS）攻击是最常见的攻击之一。这些攻击的方法是一些攻击者通过向目标发送大量的恶意的非法请求，导致计算机服务器和网络设备的性能降低和网络服务中断，或者网络连接的带宽达到饱和；在运营商的IDC层面，企业WEB站点的托管服务也越来越多，而分布式的HTTP Page Flood攻击是最常见的攻击之一，这种攻击的方法是一些攻击者同时向攻击目标发送大量的正常HTTP请求，导致WEB服务器的性能降低，最终WEB服务中断，这种攻击也是目前WEB站点安全威胁中最难防范的攻击类型。 DDOS攻击给运营商带来的损害 运营商网络上经常会发生多种类型的攻击，而且攻击流量巨大，因此会带来的严重的损害： ·服务器资源耗尽：海量的SynFlood等DDOS攻击会造成运营商自身的以及重要客户的关键服务器资源耗尽，造成关键业务应用的中断，如DNS、WEB等。从而引起大面积的Internet访问故障和应用停止。给运营商的业务和信誉带来巨大损害，以及运营商及其用户的经济上的无法估量的损失。 ·带宽资源耗尽：运营商骨干带宽资源较为充裕，但是下级客户接入的带宽资源有限。大规模的DDOS攻击可以轻易将客户接入的带宽完全占用，而导致大面积的应用无法访问，或者客户无法访问Internet。 我们如何解决安全威胁 为了防御运营商难以避免的而且日益严重的网络威胁，一些安全厂商也相应发布了自己的DoS/DDoS防御安全解决方案。通过在运营商IP城域网或IDC部署这套安全防御解决方案，能够让电信运营商以很少的开支，帮助企业客户保障网络安全。 目前能够提供DoS/DDoS防御安全解决方案的厂商也很多，每个厂商所提供的DoS/DDoS防御机制不同，多数厂商都只是防御已知的DOS攻击，缺乏对现在流行的“零日攻击“和应用层攻击的防御手段；目前业界做得比较好的厂商首推Radware公司的DoS/DDoS防御解决方案，Radware公司是业界第一个提供单台6Gbits/s吞吐量的厂商。在DoS/DDoS攻击防御领域具有很多领先的技术，尤其是在防御未知DOS/DDOS攻击（即“零日攻击“）方面具有专利性的技术——基于行为的DoS/DDoS防御技术，可以自动学习、自动制定策略和报告。 我公司的IDC中也托管了很多企业的WEB站点，自从业务开展以来，经常遭受到DOS/DDOS、HTTP Flood等各种恶意流量的攻击,导致客户无法正常运营，对我司的日常运营和用户满意度也造成了严重的影响。 现在我公司已经引入了Radware公司提供的DOS/DDOS防御安全解决方案。在唐山分公司的IDC内部署了一台Radware的DefensePro6000 DOS/DDOS防御设备后，防护效果非常好，继续发生的UDP Flood、TCP Flood及HTTP Page Flood等攻击全部被Radware的DefensePro设备拦截。 DOS/DDOS安全解决方案也称之为DoS/DDoS流量清洗解决方案，即在运营商的城域网或IDC内构建一个全面的DoS/DDoS流量清洗中心，可以对外面恶意流量进入客户系统之前进行有效的拦截。防止运营商的增值服务受到DDoS攻击的影响，最大限度的确保其可用性。 DoS/DDoS防御安全解决方案实现了下列目标： ·帮助运营商客户有效地防御DDoS攻击，从而最大限度地提高在线服务和业务的连续性。解决方案可以帮助用户清除攻击流量和只允许合法流量使用从运营商网络到客户网络的、带宽有限的连接。运营商将以安全服务托管的形式向企业客户提供这种保护。同时针对运营商的IDC，还可以利用相同的防御系统防止他们的托管客户的Web和其他电子商务应用遭受DDoS攻击。 ·确保运营商网络中的网络资源（例如路由器、DNS、SMTP、电子邮件和WWW）具有足够的安全性，不会受到DDoS攻击的影响。 ·为运营商的增值服务部门提供了一个新的安全服务理念，可以根据客户对安全级别要求的不同实施相应的安全防护策略，以提供增值服务的价值空间。 DOS/DDOS防御部署设计 将两台DoS/DDoS防御设备旁路部署在两台城域网核心路由器上，每台DOS防御设备可以采用10G链路连接核心路由器，两台DoS/DDoS防御设备构成了“城域网安全防护/DDoS清洗中心”，通过在核心路由器上做策略路由，将被保护网段的数据流