扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
在控制平面,保护路由引擎CPU等关键资源,起用路由认证、路由信息过滤登记制保护路由安全。
在管理平面,最小化网络服务,安全远程访问,设备安全网络管理等一系列安全措施。
在异常流量监测方面,需要建立全网网络安全异常流量监控体系,及时发现并预警DDoS共计二指,提高网络的安全应急相应能力,同时提高网络运营商的安全防护水平。
异常流量控制措施,非法源要抵制过滤,断口访问控制ACL,流量控制CAR,和黑洞路由等等。
介绍客户网络DDoS安全防护,目前在大网上采用的DDOS流量控制策略不适用于客户网站或网络的DDoS攻击防护,异常流量控制手段无法识别和过滤针对应用层的DDoS攻击流量,我们对客户网络DDoS安全防护有相应的业务防护。
在防护的方式有串联部署和旁路部署。旁路部署分为就目的清洗和就源清洗。
串联部署方式是将安全网管串联在介入口处,可以对客户的双向网络流量进行实时监测和控制,只能串联部署在被保护客户的共同网络出库,为部分比较固定的用户提供攻击防护,不能实现安全设备的复用,投资成本较高。
这种适合部署在用户端或城于网介入层,可以保护本身是网络请求发出的要求。
旁路部署方案分析:把干净的流量进行回复。特点是可以提供应用级的DDOS保护,对机遇连接的协议TCP及其上层应用,如Web、Ftp等具有良好的防范效果,对客户实施防护策略时,必须根据客户提供的网络服务,配置合理的反向探测识别过滤机制。
这种旁路部署方案已经在现网上获得了广泛的应用,但由于当前设备的防御机制及功能限制等因素,使得这种方案在实际应用中仍一定的局限性,是我们要考虑到的。第一这种方式只能针对具体的应用或协议进行保护,对于私有协议、多数机遇UDP的应用,该类产品不能提供有效的保护。
第二无法保护本身是网络请求发起端的客户网络。只能贪色单方面的流量,即远程用户发起灵丘的网络流量,如果被保护对象是网吧或者本身是网络请求发起端的客户网络,该方案无法有效满足保护的需求。部分防范机制会对放恩有一定的影响,比如几秒的时延要刷新等。
旁路式就目的清洗方案分析:是指清洗设备靠近被保护目标部署,是目前常见的部署方案,主要适用于小规模的DDoS攻击防护。当发生DDoS攻击的时候,要到靠近的地方才能清洗。这时候一套清洗设备只能服务于本地,它的利用率是比较低。同时由于在单点的清洗流量不能太高,不能满足业务的需求,也不能承诺SLA。在有大流量的时候,出口链率可能已经被堵塞了,影响效果。
另一种是就源清洗是采用全网集中调度方式,适用于大规模的DDoS攻击防护。在发生DDoS攻击的时候,分布式处理能力达到几百G,有效满足客户需求。就源清洗,设备将服务于任何攻击,利用率大大提高,不会造成目标前的局部的链路堵塞。
DDoS攻击防御业务网络构想:庆捷流量通过骨干网2/VPN送回城域网中。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。