云防护方案调研报告.docxVIP

关于云防护方案的调研报告 近日，公司XX医生信息平台项目即将立项建设，为增强公司互联网信息系统的安全防护能力，妥善应对信息系统可能遭受的拒绝服务攻击、入侵攻击、恶意扫描等攻击行为，结合XX医生信息平台的安全防护需求，降低信息系统总体建设及运维成本，根据公司领导要求，我部调研了云防护服务情况，现将相关情况报告如下： 一、安全防护需求 根据公司XX医生信息平台的安全防护需求，结合我部在公司互联网信息系统扫描中发现的安全问题，公司互联网信息系统安全防护应具备以下能力： 1、防御常见WEB攻击、漏洞攻击、恶意扫描等攻击； 2、防御一定规模的流量攻击、CC攻击等拒绝服务攻击； 3、通过链路负载均衡满足两条运营商互联网线路的正常访问； 4、通过CDN加速等方式提高应用访问速度和稳定性。 按照证联网部提供的系统建设方案和安全产品指标要求，原有方案采取本地部署安全设备，如图1所示： 1、抗DDOS设备防护拒绝服务攻击； 2、链路负载均衡设备动态调节联通和移动两条线路的访问流量； 3、IPS设备、WAF设备防护系统攻击、WEB攻击； 4、CDN技术对网站访问进行加速。 二、云防护服务情况 云防护服务是近两年新兴的安全防护模式，服务提供方通过互联网建立大规模的防护集群，向服务使用方提供抗拒绝服务攻击防护、WEB攻击防护、CDN加速服务等安全防护。服务使用方通过修改网站的域名解析到云防护提供商的防护节点，获取对应的安全防护能力。 目前云防护服务提供的安全功能主要包括以下方面，完全能够实现我们的防护需求： 1、WEB攻击防护，可对WEB攻击手段进行防护，将过滤后的正常访问流量转发给后端服务器。 2、DDoS防护：云防护服务提供商在互联网建立多个防护中心，可发现业务流量中的攻击流量，并对流量进行清洗，将过滤后的正常访问流量转发给后端服务器。 3、链路负载均衡：云防护平台支持对用户的多条互联网线路进行轮询访问。 4、CDN加速：利用DNS多线路解析和缓存技术，智能选择响应速度最快的线路。 如采取云防护服务，服务接入示意如图2所示。只将被防护网站的域名别名记录（CNAME）指向云防护服务商的防护节点，两条互联网专线正常配置即可。 图2 云防护接入示意 我们对两种模式进行了比较（如表1所示），云防护服务在采购成本、扩展能力、线路带宽、防护技术等方面具备一定优势，更加符合我们的需求，建议选择云防护服务模式。 表1采购模式比较 自行采购安全设备模式 租赁云防护服务模式 采购成本 购买全套安全设备，一次性投入成本较大 按服务年度付费，年度投入成本较低 扩展能力 扩展性差，如提升防护能力需要重新购置设备 扩展灵活，按需使用，向服务商购买扩展能力 部署维护 自行部署硬件设备，配备维护人员进行设备维护、策略调整等 无需本地部署设备，维护人员只需查看服务商推送的有效告警即可 网络带宽要求 考虑互联网大规模并发请求，线路带宽要求较大 只需跟服务商云节点通信，降低线路带宽要求 抗DDOS防护能力 出口带宽及设备性能决定，只能防御小规模攻击 服务商部署多个节点分担攻击流量，支持防御较大规模的流量攻击 WEB攻击防护能力 支持用户自定义策略，但需专门人员配置维护 能利用服务商专业安全能力，无需用户自定义策略 三、云防护服务工作模式 云防护服务工作模式如图3所示： 1、公司网站侧的配置：在域名注册商处将域名解析配置为域名别名记录（CNAME）；在云防护节点处配置CNAME和防护站点IP地址对应记录；公司防火墙配置容许云防护节点访问。 2、对于使用域名访问的用户流量，用户通过域名DNS Server查询解析，获取云防护节点的IP地址；访问请求发往云防护节点；云防护节点通过安全检测、过滤后，将正常访问流量传递给公司网站；将恶意攻击流量进行过滤，起到防护作用。如图2中1-7所示。 3、对于直接访问网站IP地址的流量，公司防火墙直接拒绝访问，起到防护作用。 图3 云防护服务工作模式 云防护服务内容主要包括安全防护和CDN加速两大类，其中安全防护主要包括WEB攻击防护、恶意扫描防护、抗拒绝服务攻击、网站防篡改锁定等安全功能；CDN加速是通过CDN节点缓存提高页面访问速度。 四、云防护服务商调研 云防护服务为近两年新兴的服务模式，由于云防护服务商需要在互联网上建立大规模的安全防护集群，中小规模的安全企业很难提供类似服务。目前提供云防护服务的多为互联网安全企业，尤其是有腾讯、百度、阿里、360等互联网企业支持的安全企业。 （一）知道创宇公司的创宇盾 创宇盾是北京知道创宇公司开发的一款基于云与大数据技术的Web系统云防御平台。在全国各重要互联网节点建立了 30个高防高性能机房，共500G骨干网带宽，以公有云或私有云方式提供集中防护。目前创宇盾共为83万网站提供安全防护，其中重点客户包括有公安部、