DDoS防御分流方案

         分布式拒绝服务攻击(DDoS)是目前常见的网络攻击方法,简单来说,很多DoS攻击源一起攻击某台服务器就形成了DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
数据中心(IDC)通过与互联网的高速连接,以丰富的计算、存储、网络和应用资源向服务提供商(SP)、内容提供商(CP)、各类集团客户等提供大规模、高质量、安全可靠的主机托管、主机租赁、网络带宽租用、内容分发等基础服务和企业邮箱、企业建站等增值服务。在IDC面临的各类安全威胁中,DDoS攻击由于会对IDC业务产生重大影响而显得尤为重。为此,国内运营商的IDC均部署了流量清洗系统,流量清洗就是对进入客户IDC的数据流量进行实时监控,及时发现包括DDoS攻击在内的异常流量,在不影响正常业务的前提下,清洗掉异常流量。
          除了运营商IDC以外,还有很多中立的第三方IDC,国内的中立IDC从运营商租用链路,可以购买运营商的流量清洗服务。但是,也有部分中立IDC在国外也有机房,但是国外机房链路不具备没有流量清洗服务,需要自建DDoS防御系统。
          中创腾锐针对这部分客户的需求,提供了基于PacketFabric系列产品的DDoS防御方案。

  • 方案简介

              为满足中立IDC机房的DDoS防御需求,需要接入分析来自不同运营商的互联网流量和数据中心内部的关键链路流量,精准分析、统计各IP地址的流量信息(PPS/bps等),将出现问题的报文流发往后端报文存储与分析系统,并与现有运营系统DevOps对接,支持自动化运维管理。

              方案部署如下图所示:

    DDoS防御部署方案

              PF9032实现100G链路的接入和负载均衡输出,PX306P-48S-S实现基于目的IP的流量信息(PPS/bps等)统计,发现异常流量,并将异常流量发给报文存储与分析系统,并与现有运营系统DevOps对接,实现自动化安全管控。

  • 方案特点

    • 目的IP检测绝对精准、实时,基于全面详实的数据,不漏过任何DDoS攻击;
    • 所有检测/统计事宜全部由PacketFabric系列产品自动完成,后端运维仅通过API获取最终数据即可,完全无额外的编程、运维压力;
    • 高密度、高速率端口的组合,超高的性价比;
    • 按需、横向可扩展性,从64K 目的IP的容量开始,按照项目进展、线路数量、目的IP数量按需横向扩展PacketFabric系列容量,降低一次性投入,并且扩容不需要调整原有部署;
    • 性能无损的报文截短能力,可只为后端服务器提供报文头信息,提升整体系统性能,降低后端服务器的投资规模,并且满足合规遵从要求(不保存、识别用户的流量);
    • 更多高级功能和业务增值点:隧道终结、虚拟网络信息打标、业务性能分析、服务质量分析;