此系列文章深入介紹了不同的DDoS防護(hù)模型，以便幫助客戶為特定用例選擇最佳的防護(hù)措施。此系列文章的第一部分介紹了本地設(shè)備和按需云服務(wù)。本文將介紹永遠(yuǎn)在線的云端DDoS防護(hù)措施部署、優(yōu)缺點(diǎn)以及最適合的用例。本系列的最后一篇文章將重點(diǎn)關(guān)注集成了本地和云端防護(hù)措施的混合部署。

[[233025]]

永遠(yuǎn)在線：不間斷的云端防護(hù)措施

采用‘永遠(yuǎn)在線’模式的DDoS防護(hù)解決方案的運(yùn)作是通過不間斷地轉(zhuǎn)發(fā)所有通過DDoS緩解服務(wù)提供商網(wǎng)絡(luò)發(fā)送的客戶流量。客戶將他們的路由通告(通常為BGP或DNS)變更為其DDoS緩解服務(wù)提供商的網(wǎng)絡(luò)，隨后，提供商將所有流量發(fā)送到清洗中心，攜帶惡意流量的通信就會被清除，只有潔凈流量才會轉(zhuǎn)發(fā)給客戶。

按需模式和永遠(yuǎn)在線模式之間的區(qū)別就是，檢測到攻擊時，在按需模式中，流量只會在有限的時間內(nèi)通過提供商網(wǎng)絡(luò)轉(zhuǎn)發(fā)，而在永遠(yuǎn)在線模式中，流量在任何時候都是通過提供商網(wǎng)絡(luò)進(jìn)行轉(zhuǎn)發(fā)的。

優(yōu)缺點(diǎn)：

使用永遠(yuǎn)在線的DDoS防護(hù)提供有很多重要優(yōu)勢：

• 不間斷的防護(hù)：永遠(yuǎn)在線模式的最大優(yōu)勢之一就是，企業(yè)在任何時候都可以防御DDoS攻擊。不同于僅在檢測到攻擊時才在有限的時間內(nèi)啟動轉(zhuǎn)發(fā)和防護(hù)措施的按需模式，在永遠(yuǎn)在線模式下，客戶一直處于受保護(hù)狀態(tài)。
• 沒有防護(hù)缺口：與按需模式相比，永遠(yuǎn)在線模式的另一個優(yōu)勢就是在檢測和轉(zhuǎn)發(fā)階段沒有防護(hù)缺口。多數(shù)的按需模式都根據(jù)大容量的流量閾值檢測攻擊。只有達(dá)到了一定的閾值，才會啟動轉(zhuǎn)發(fā)。檢測和轉(zhuǎn)發(fā)步驟可能需要幾分鐘時間，在此期間，應(yīng)用仍暴露在危險之中。在永遠(yuǎn)在線模式下，流量會一直通過DDoS緩解服務(wù)提供商進(jìn)行發(fā)送，因此不存在這一缺口。
• 管理開銷低：永遠(yuǎn)在線部署的管理費(fèi)用通常都很低。一旦完成了服務(wù)的初始配置，由于流量會不間斷地轉(zhuǎn)發(fā)，因此不會產(chǎn)生額外的開銷。

然而，這種方法也有一定的缺點(diǎn)：

• 延遲：永遠(yuǎn)在線模式很大的一個缺點(diǎn)就是帶來了額外延遲。由于所有流量都要通過DDoS緩解服務(wù)提供商的網(wǎng)絡(luò)進(jìn)行發(fā)送，這將不可避免地帶來更多的流量延遲。延遲的數(shù)量取決于提供商清洗中心的位置、與客戶主機(jī)的距離和連接。
• 成本：由于流量總是持續(xù)通過清洗中心發(fā)送，永遠(yuǎn)在線部署要占用比按需服務(wù)更多的帶寬。因此，永遠(yuǎn)在線服務(wù)的費(fèi)用要明顯高于按需服務(wù)。

注意事項(xiàng)：

評估永遠(yuǎn)在線的DDoS防護(hù)服務(wù)時，需要考慮到以下幾個關(guān)鍵因素：

• 延遲：應(yīng)用對延遲的容忍度如何?使用永遠(yuǎn)在線的服務(wù)通常會給連接增加一定的延遲。延遲的數(shù)量通常是次要的，但這取決于應(yīng)用及其特定用例如何確定這個程度是否可以接受。
• 攻擊頻率：應(yīng)用遭受攻擊的頻率如何?如果應(yīng)用會遭受持續(xù)攻擊，那么永遠(yuǎn)在線的服務(wù)將會起到作用。然而，如果客戶只是偶爾遭受到攻擊(或根本不會遭受到攻擊)，那么按需服務(wù)可能會更劃算。
• 預(yù)算：分配的預(yù)算有多少?與按需服務(wù)相比，永遠(yuǎn)在線的服務(wù)通常要更貴。

最適合的企業(yè)是哪些?

考慮到永遠(yuǎn)在線云DDoS防護(hù)服務(wù)各自的優(yōu)缺點(diǎn)，許多用例都特別適合這一模式：

• 關(guān)鍵應(yīng)用：承擔(dān)不起任何宕機(jī)時間，哪怕只有幾分鐘也不可以的關(guān)鍵業(yè)務(wù)應(yīng)用。服務(wù)的永遠(yuǎn)在線可以確保應(yīng)用始終處于受保護(hù)狀態(tài)。
• 頻繁遭受攻擊：頻繁遭受到攻擊的企業(yè)。在這種情況下，由于按需服務(wù)需要不間斷地啟動與結(jié)束轉(zhuǎn)發(fā)，因此顯得非常地不合適。
• 低延遲敏感性：對由此類服務(wù)引起的些微延遲不敏感的應(yīng)用。

然而，這種解決方案不太適合某些用例：

• 對延遲敏感的應(yīng)用：對延遲高度敏感的實(shí)時應(yīng)用。在這種情況下，本地或混合解決方案可能更合適。
• 對價格敏感的客戶：由于更多的流量附加費(fèi)以及服務(wù)提供商的額外開銷，永遠(yuǎn)在線服務(wù)的費(fèi)用往往更高。因此，預(yù)算有限的客戶可以考慮按需服務(wù)。

永遠(yuǎn)在線模式為那些需要持續(xù)防御DDoS攻擊并且承擔(dān)不起任何宕機(jī)時間的應(yīng)用提供了有效的防護(hù)措施。然而，安全性的增強(qiáng)卻是以增加延遲為代價的。

對需要持續(xù)防護(hù)和低延遲的客戶和應(yīng)用而言，結(jié)合了本地設(shè)備和可擴(kuò)展云服務(wù)的混合解決方案就成為了最佳選擇。本系列的最后一篇文章將介紹混合DDoS防護(hù)模式以及最適合哪些企業(yè)使用。