華為Anti-DDoS方案助力ISP聯(lián)盟打造安全環(huán)境

責(zé)任編輯:editor006

2014-08-08 17:33:15

摘自:net.zol.com.cn

近年來,越來越頻繁的DDoS攻擊,給運營商和企業(yè)業(yè)務(wù)帶來了巨大的安全挑戰(zhàn)。NBIP的數(shù)據(jù)中心出口80Gbps的帶寬,采用全流量分光逐包做攻擊檢測,一旦發(fā)現(xiàn)攻擊,管理中心下發(fā)攻擊流量清洗策略,并由清洗板發(fā)送BGP引流清洗策略,將受攻擊對象的流量引入清洗中心做清洗。

DDoS攻擊危害嚴(yán)重,可導(dǎo)致"人財兩空"

近年來,越來越頻繁的DDoS攻擊,給運營商和企業(yè)業(yè)務(wù)帶來了巨大的安全挑戰(zhàn)。最嚴(yán)重的一次在2013年3月,歐洲遭遇了史上最大的DDoS攻擊,攻擊流量峰值已經(jīng)高達(dá)300Gbps,超大的攻擊流量匯聚到歐洲幾個一級運營商網(wǎng)絡(luò)內(nèi)部,造成整個歐洲地區(qū)的網(wǎng)絡(luò)擁塞。在荷蘭,DDoS攻擊也已經(jīng)影響到了大量數(shù)據(jù)中心的正常運營,如果沒有必備的防護(hù)方案,不但對一家公司的業(yè)務(wù)造成影響,甚至?xí)砣麄€國家網(wǎng)絡(luò)的帶寬,影響所有ISP的業(yè)務(wù)連續(xù)性。

nbip是荷蘭上百家ISP企業(yè)成立的鏈路與運營服務(wù)聯(lián)盟企業(yè),幫助ISP提供統(tǒng)一的鏈路與運營管理服務(wù)。該聯(lián)盟成立于2002年,是荷蘭唯一一家國家級的ISP聯(lián)盟企業(yè)。由于nbip的服務(wù)對象均是ISP,所有的業(yè)務(wù)都是互聯(lián)網(wǎng)在線服務(wù)業(yè)務(wù),業(yè)務(wù)連續(xù)性高,但也是黑客最常攻擊的目標(biāo)。一旦業(yè)務(wù)遭受攻擊,就會帶來巨大的經(jīng)濟(jì)損失,NBIP的主席Ludo介紹到:"DDoS攻擊帶來的損失是每小時數(shù)萬歐,甚至更高。",此外,由于DDoS攻擊導(dǎo)致業(yè)務(wù)不在線,還會對企業(yè)的信譽和形象帶來巨大損失,影響更是不可估量。

瘋狂的DDoS攻擊過后,ISP的客戶均在尋求有效的DDoS防護(hù)解決方案。但作為一個個獨立的ISP單獨部署專業(yè)的DDoS防護(hù)方案,不但會帶來巨大的部署和維護(hù)成本,而且鏈路擁塞型DDoS攻擊根本無法得到有效防護(hù)。

"臨淵羨魚" 不如"退而結(jié)網(wǎng)"

作為ISP聯(lián)盟的NBIP,面對日益猖獗的DDoS攻擊,在被多輪ISP客戶屢次求助后,從2013年6月起,便開始尋求有效的DDoS防護(hù)與安全運營解決方案,以應(yīng)對DDoS攻擊,提升業(yè)務(wù)運營的連續(xù)性,改善客戶業(yè)務(wù)安全服務(wù)水平。nbip于2013年年中起開始計劃部署DDoS安全增值服務(wù),一方面保護(hù)客戶業(yè)務(wù)安全,另一方面提升自身的競爭力增加業(yè)務(wù)范圍。

其實在NBIP計劃之前,NBIP研究了業(yè)界知名的安全服務(wù)提供商的業(yè)務(wù)范圍和市場空間,覺得安全服務(wù)市場是未來的趨勢。在ICT不斷融合、云安全如火如荼的今天,運營商面臨嚴(yán)重的運營成本與收益下滑的運營壓力,均轉(zhuǎn)而做安全增值服務(wù),如知名AT&T、BT等運營商。在安全增值服務(wù)中,DDoS安全服務(wù)是運營商必選業(yè)務(wù)之一,因為運營商有先天的帶寬資源優(yōu)勢,能夠?qū)崿F(xiàn)從上層防護(hù),可以實現(xiàn)在單個ISP鏈路擁塞前做清洗防護(hù)。而NBIP相對于ISP聯(lián)盟中獨立的ISP企業(yè)來說,具有同運營商一樣的天然優(yōu)勢。NBIP也意識到了DDoS防護(hù)市場需求巨大,從2013年年中開始計劃和設(shè)計"國家級DDoS流量清洗中心"項目,并與年底邀請了業(yè)界知名的DDoS防護(hù)解決方案廠商進(jìn)行方案和設(shè)備測試。

"消防員"式的防護(hù)方案:

NBIP要建造的是整個荷蘭國家級的清洗中心,服務(wù)對象超過100多家,未來隨著業(yè)務(wù)和客戶的增加,這個防護(hù)性能也要能夠持續(xù)的擴(kuò)展,因此對方案防護(hù)性和擴(kuò)展性能均有嚴(yán)苛的要求,至少有100G的擴(kuò)展防護(hù)性能。而且NBIP的主要客戶是ISP企業(yè)的在線業(yè)務(wù)系統(tǒng),不但對DDoS攻擊的防護(hù)的精準(zhǔn)度有要求而且對攻擊的響應(yīng)實時性要求比較高。這就要求NBIP要建造的DDoS防護(hù)方案要具備旁路實時監(jiān)控的,實現(xiàn)快速攻擊響應(yīng),就像"消防員"一樣,處于隨時待命狀態(tài),一旦發(fā)生"DDoS火情"要能快速的進(jìn)行處理。

在測試階段,NBIP重點對其關(guān)注的幾個點做了詳見的測試,綜合比較起來,華為的Anti-DDoS方案,采用逐包的深度檢測技術(shù),旁路的部署模式,能夠?qū)崿F(xiàn)秒級的攻擊響應(yīng)和單臺設(shè)備200Gbps的防護(hù)性能,在方案上完全契合NBIP的方案需求,此外,在測試過程中,華為Anti-DDoS方案所表現(xiàn)出的簡單便捷的GUI管理方式和詳盡的報表功能,深深的吸引了NBIP的興趣, NBIP最終選擇了華為方案。

NBIP主席Ludo在測試結(jié)束后這樣評價華為的方案:"華為的Anti-DDoS解決方案對攻擊的響應(yīng)速度快、具有優(yōu)秀管理能力的界面,事實證明華為的解決方案正是我們所需要的。"

NBIP的數(shù)據(jù)中心出口80Gbps的帶寬,采用全流量分光逐包做攻擊檢測,一旦發(fā)現(xiàn)攻擊,管理中心下發(fā)攻擊流量清洗策略,并由清洗板發(fā)送BGP引流清洗策略,將受攻擊對象的流量引入清洗中心做清洗。具體方案的處理流程,如下圖所示:

華為Anti-DDoS方案助力ISP聯(lián)盟打造安全環(huán)境

  

方案中的檢測中心和清洗中心有AntiDDoS8160的檢測板卡和清洗板卡分別完成,集中混插在一臺AntiDDoS8160設(shè)備機框上,可大大的節(jié)約了客戶空間和部署成本,還可通過板卡擴(kuò)展進(jìn)行性能線性提升,滿足NBIP持續(xù)運營性能擴(kuò)展需求。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號