運營商面臨的DDoS威脅主要集中在自有業(yè)務(wù)平臺易被攻擊,DNS緩存服務(wù)器易被攻擊,城域網(wǎng)內(nèi)重要業(yè)務(wù)易被攻擊,國際端口局容易遭受海外黑客攻擊。在運營商建設(shè)的IDC中心,眾多租賃給各個公司的服務(wù)器為互聯(lián)網(wǎng)提供著大量的信息服務(wù),而這些服務(wù)器往往也會是黑客的攻擊重心,頻繁的網(wǎng)絡(luò)中斷和客戶投訴直接影響運營商的服務(wù)質(zhì)量和商譽。
面對如此情形,運營商存在2種主要的防護需求:
針對城域網(wǎng)或國際網(wǎng)關(guān)的防護
DDoS攻擊流量會占用大量國際網(wǎng)關(guān)和城域網(wǎng)帶寬,同時對運營商網(wǎng)絡(luò)中的重要業(yè)務(wù)和客戶造成損害,所以針對城域網(wǎng)和國際網(wǎng)關(guān)的流量防護顯得十分必要,同時針對網(wǎng)絡(luò)流量做細致分析也可以為運營商的后續(xù)網(wǎng)絡(luò)部署和網(wǎng)絡(luò)優(yōu)化提供建議,所以一整套流量管控方案是運營商提高運營能力的重要幫手。華為推出“Netflow設(shè)備+清洗設(shè)備”的清洗方案解決網(wǎng)絡(luò)擁塞。方案中,清洗設(shè)備性能高達200G,有效防御鏈路擁塞;同時清洗設(shè)備還支持100多種攻擊類型防御、2000個防護對象的防御策略,實現(xiàn)差異化防護、管理、報表功能,為運營商提供安全運營手段。另外,整套解決方案可以提供完善的IPv6流量分析功能,滿足運營商在未來IPv6演進中的部署需求。Netflow設(shè)備部署在網(wǎng)絡(luò)節(jié)點處,采集關(guān)鍵網(wǎng)絡(luò)節(jié)點的出入流量數(shù)據(jù);而清洗設(shè)備將以旁路方式連接到核心路由器上,對重要客戶采用靜態(tài)引流,非重要客戶采用動態(tài)引流方式。Netflow承擔流量采集,分析和異常檢測的工作,在檢測到流量異常后與旁路部署的清洗設(shè)備進行聯(lián)動實現(xiàn)對異常流量的引流和清洗工作,從而完成對流量的控制。
針對IDC的防護
IDC出口帶寬流量較大,業(yè)務(wù)類型豐富,可靠性要求高,容易遭受Flood類攻擊和新型應用層攻擊的雙重威脅。傳統(tǒng)的安全防護方案都是千兆級,防護手段單一,可靠性設(shè)計也不完善,根本無法滿足新一代萬兆數(shù)據(jù)中的防護需求。華為公司針對IDC網(wǎng)絡(luò)特點,推出萬兆級、全方位IDC防護解決方案。通過對DDoS、僵尸、木馬、蠕蟲等實施過濾,大大提高IDC的防御能力;針對IDC內(nèi)部的Web服務(wù)器提供精細化防御,有效防御網(wǎng)頁篡改、網(wǎng)頁掛馬等威脅。清洗設(shè)備旁路部署在IDC網(wǎng)絡(luò)出口,對進入IDC的流量靜態(tài)引流,當發(fā)生攻擊時,清洗設(shè)備進行實時防御,清洗異常流量,轉(zhuǎn)發(fā)正常流量。清洗設(shè)備能夠提供多種業(yè)務(wù)的防護能力,運營商可以針對不同的IDC客戶分別提供包括DNS授權(quán)服務(wù)防護、專業(yè)WEB防護、網(wǎng)絡(luò)游戲防護、云服務(wù)防護等多種防范功能,以多樣的防御方式為客戶創(chuàng)造安全的網(wǎng)絡(luò)環(huán)境。