DDos攻擊作為以消耗服務(wù)器資源的攻擊方式，同樣使得企業(yè)深惡痛絕。尤其是像電信運營商，服務(wù)器遭受DDos攻擊導致服務(wù)器無響應(yīng)的情況，嚴重影響了企業(yè)的品牌形象。那么部署DDoS攻擊防御戰(zhàn)略就顯得十分必要了。

企業(yè)DDoS攻擊防御戰(zhàn)略：運營商網(wǎng)絡(luò)面臨的威脅和挑戰(zhàn)

目前運營商骨干網(wǎng)和各地市城域網(wǎng)，寬帶用戶數(shù)量多，網(wǎng)絡(luò)結(jié)構(gòu)復雜，業(yè)務(wù)流量大，DDOS攻擊導致的網(wǎng)絡(luò)安全問題時有發(fā)生，導致IP網(wǎng)絡(luò)整體服務(wù)質(zhì)量下降，已經(jīng)嚴重威脅到網(wǎng)通IP網(wǎng)絡(luò)優(yōu)質(zhì)的品牌形象，因此在電信運營商的城域網(wǎng)和IDC層面上開展對DoS/DDOS等攻擊的防范具有必要性，通過安全防范、為用戶提供穩(wěn)定可靠的網(wǎng)絡(luò)服務(wù)。

在電信運營商的城域網(wǎng)層面上，分布式拒絕服務(wù)(DDOS)攻擊是最常見的攻擊之一。這些攻擊的方法是一些攻擊者通過向目標發(fā)送大量的惡意的非法請求，導致計算機服務(wù)器和網(wǎng)絡(luò)設(shè)備的性能降低和網(wǎng)絡(luò)服務(wù)中斷，或者網(wǎng)絡(luò)連接的帶寬達到飽和;在運營商的IDC層面，企業(yè)WEB站點的托管服務(wù)也越來越多，而分布式的HTTP Page Flood攻擊是最常見的攻擊之一，這種攻擊的方法是一些攻擊者同時向攻擊目標發(fā)送大量的正常HTTP請求，導致WEB服務(wù)器的性能降低，最終WEB服務(wù)中斷，這種攻擊也是目前WEB站點安全威脅中最難防范的攻擊類型。

企業(yè)DDoS攻擊防御戰(zhàn)略：DDOS攻擊給運營商帶來的損害

運營商網(wǎng)絡(luò)上經(jīng)常會發(fā)生多種類型的攻擊，而且攻擊流量巨大，因此會帶來的嚴重的損害：

服務(wù)器資源耗盡：海量的SynFlood等DDOS攻擊會造成運營商自身的以及重要客戶的關(guān)鍵服務(wù)器資源耗盡，造成關(guān)鍵業(yè)務(wù)應(yīng)用的中斷，如DNS，WEB等。從而引起大面積的Internet訪問故障和應(yīng)用停止。給運營商的業(yè)務(wù)和信譽帶來巨大損害，以及運營商及其用戶的經(jīng)濟上的無法估量的損失。

帶寬資源耗盡：運營商骨干帶寬資源較為充裕，但是下級客戶接入的帶寬資源有限。大規(guī)模的DDOS攻擊可以輕易將客戶接入的帶寬完全占用，而導致大面積的應(yīng)用無法訪問，或者客戶無法訪問Internet。

企業(yè)DDoS攻擊防御戰(zhàn)略：我們?nèi)绾谓鉀Q安全威脅

為了防御運營商難以避免的而且日益嚴重的網(wǎng)絡(luò)威脅，一些安全廠商也相應(yīng)發(fā)布了自己的DoS/DDOS防御安全解決方案。通過在運營商IP城域網(wǎng)或IDC部署這套安全防御解決方案，能夠讓電信運營商以很少的開支，幫助企業(yè)客戶保障網(wǎng)絡(luò)安全。

目前能夠提供DoS/DDOS防御安全解決方案的廠商也很多，每個廠商所提供的DoS/DDOS防御機制不同，多數(shù)廠商都只是防御已知的DOS攻擊，缺乏對現(xiàn)在流行的“零日攻擊“和應(yīng)用層攻擊的防御手段;目前業(yè)界做得比較好的廠商首推Radware公司的DoS/DDOS防御解決方案，Radware公司是業(yè)界第一個提供單臺6Gbits/s吞吐量的廠商。在DoS/DDOS攻擊防御領(lǐng)域具有很多領(lǐng)先的技術(shù)，尤其是在防御未知DOS/DDOS攻擊(即“零日攻擊“)方面具有專利性的技術(shù)——基于行為的DoS/DDOS防御技術(shù)，可以自動學習、自動制定策略和報告。

我公司的IDC中也托管了很多企業(yè)的WEB站點，自從業(yè)務(wù)開展以來，經(jīng)常遭受到DOS/DDOS、HTTP Flood等各種惡意流量的攻擊,導致客戶無法正常運營，對我司的日常運營和用戶滿意度也造成了嚴重的影響。

現(xiàn)在我公司已經(jīng)引入了Radware公司提供的DOS/DDOS防御安全解決方案。在唐山分公司的IDC內(nèi)部署了一臺Radware的DefensePro6000 DOS/DDOS防御設(shè)備后，防護效果非常好，繼續(xù)發(fā)生的UDP Flood、TCP Flood及HTTP Page Flood等攻擊全部被Radware的DefensePro設(shè)備攔截。

DOS/DDOS安全解決方案也稱之為DoS/DDOS流量清洗解決方案，即在運營商的城域網(wǎng)或IDC內(nèi)構(gòu)建一個全面的DoS/DDOS流量清洗中心，可以對外面惡意流量進入客戶系統(tǒng)之前進行有效的攔截。防止運營商的增值服務(wù)受到DDOS攻擊的影響，最大限度的確保其可用性。

DoS/DDoS攻擊防御戰(zhàn)略安全解決方案實現(xiàn)了下列目標：

幫助運營商客戶有效地防御DDOS攻擊，從而最大限度地提高在線服務(wù)和業(yè)務(wù)的連續(xù)性。解決方案可以幫助用戶清除攻擊流量和只允許合法流量使用從運營商網(wǎng)絡(luò)到客戶網(wǎng)絡(luò)的、帶寬有限的連接。運營商將以安全服務(wù)托管的形式向企業(yè)客戶提供這種保護。同時針對運營商的IDC，還可以利用相同的防御系統(tǒng)防止他們的托管客戶的Web和其他電子商務(wù)應(yīng)用遭受DDOS攻擊。

確保運營商網(wǎng)絡(luò)中的網(wǎng)絡(luò)資源(例如路由器、DNS、SMTP、電子郵件和WWW)具有足夠的安全性，不會受到DDOS攻擊的影響。

為運營商的增值服務(wù)部門提供了一個新的安全服務(wù)理念，可以根據(jù)客戶對安全級別要求的不同實施相應(yīng)的安全防護策略，以提供增值服務(wù)的價值空間。
 

【編輯推薦】

1. DDOS防火墻防御功能對比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 防火墻安全測試之日志分析工具
4. 淺析各類DDOS防火墻應(yīng)對攻擊時的表現(xiàn)
5. 實例體驗自造DDOS硬件防火墻