联想网御异常流量管理系统抵御DDoS攻击

　　随着全球政治经济一体化趋势日益明显，政府管理服务职能的电子化、自动化、无纸化趋势日益明显，其中，电子政务的发展尤为迅速。在世界各国积极倡导的“信息高速公路”的五个应用领域中，“电子政务”被列为第一位，可以说，政府信息化是社会信息化的先导，电子政务是信息化社会发展的必然。

　　在我国，信息化建设也成为产业结构升级和工业化、现代化的关键环节，为了实现用信息技术改造和提升传统产业的任务，政府部门的信息化管理水平必须有更大的飞跃，电子政务的发展成为现代化进程中不可或缺的一环。近年来，在中央政府的大力倡导和推动下，我国电子政务已逐渐进入全面实施阶段。

　　某市信息中心作为该市电子政务网的中心节点，连接着众多的市级政府部门以及下属各县市区节点。该中心的外网边界主要用于内部用户的互联网访问、提供对外WEB服务、市内各局委办机构或市辖各县市区与下属各乡镇相关机构的互联，包括市级互联网边界以及各市局委办/县市区到各乡镇的接入边界。由于外网边界直接面临社会各界用户，使用环境复杂，面临的安全风险极大，尤其是近年来日益严重的分布式拒绝服务攻击(DDoS)，更对网络的稳定运行造成了严重的隐患。从2000年以来，几乎每隔两年就有影响严重的大规模DDoS攻击事件发生，目前，“僵尸网络”越来越多地被用作敲诈工具，由大量“肉鸡”组成的“僵尸网络”，很容易就能达到很高的攻击流量，不仅使被攻击的服务器拒绝提供服务，并且大量占用网络带宽资源，使网络拥塞，造成网络丢包、时延增大，严重时还会导致网络不可用。因此，如何使该信息中心的外网边界免受DDOS攻击的危害，是一个亟需解决的重要问题。

　　联想网御根据多年对网络攻击和防护的深刻理解，凭借对网络处理器（NP）应用技术的研究积累，倾力打造了异常流量管理系统Leadsec-Guard。联想网御异常流量管理系统包括异常流量分析(Leadsec-Detector)和异常流量过滤(Leadsec-Guard)两个模块。Leadsec-Detector可对不同网络节点的流量进行实时关联分析，在定位异常流量发源地后通知Leadsec-Guard，Leadsec-Guard对异常流量完成牵引和过滤，系统通过Leadsec-Detector和Leadsec -Guard的协同工作，完成全网的流量分析、异常流量牵引、DDOS攻击过滤、P2P识别与控制、异常流量带宽限制等处理，帮助用户实时了解网络运行状况，及时发现网络中出现的问题并自动对异常行为做出响应，从而快速消除异常流量造成的危害。

　　Leadsec-Guard采用国际上领先的网络处理器，同时驱动32个硬件微引擎并行工作，通过自主创新的并行处理算法，可抵御300万pps的SYN flood攻击，大流量攻击下的新建连接成功率和原连接保持率显著高于同类产品，是目前唯一一款单机可防御2.5G大流量DDOS攻击的设备。通过联想网御独创的智能防护算法，Leadsec-Guard还能对攻击行为进行分析和自学习，动态形成攻击特征库，有效区分攻击流量和正常流量，可防护SYN flood、UDP flood、ICMP flood等二十多种攻击，保证正常流量不受影响；通过微码自主开发的协议栈，对网络应用进行深度检测，实现了对P2P协议的识别、阻断和限制。Leadsec-Detector基于标准的Netflow技术，采集并分析Netflow流量信息，一旦检测到异常数据流，就会发出警告信息。Leadsec-Detector采用分布式采集、分散式处理和集中管理机制，通过基线检测和异常行为检测算法，可实时进行全网关联的流量分析。

　　该信息中心的网络共有3个互联网出口，分别是网通出口、电信出口和中科院网络出口，每个网络出口的带宽为1Gbps。为了防御来自互联网的DDOS攻击，该中心在3个出口处均旁路部署了1台联想网御Leadsec-Guard和1台Leadsec-Detector设备。通过对出口路由器进行配置，路由器可通过Netflow协议将流量采样数据发送给Leadsec-Detector，Leadsec-Detector在发现攻击流量后告知Leadsec-Guard，Leadsec-Guard将攻击流量牵引到Leadsec-Guard上并进行攻击流量过滤，从而完全消除了DDOS攻击。

　　通过部署联想网御异常流量管理系统，该市信息中心Web服务器、邮件服务器、数据库服务器等等重要服务器均受到了良好保护，当受到来自外部互联网的恶意攻击时，服务器仍然能正常工作，对外响应速度也不受影响。同时，该信息中心的三个网络出口均保持了通畅，在受到大规模DDOS攻击时，攻击流量将被自动过滤掉，而正常的通信访问则能够继续进行，没有因DDOS攻击而出现通信受阻的情况，从而充分保障了电子政务网络中各种业务的顺利进行。

某市信息中心联想网御异常流量管理系统应用方案