本文是此系列文章的最后一篇，探討了防御DDoS攻擊的各種替代方法，以及如何為企業(yè)選擇最佳的解決方案。此系列文章的第一篇介紹了本地硬件解決方案，第二篇討論了按需云解決方案，第三篇介紹了永遠(yuǎn)在線的云解決方案。最后一篇將探討結(jié)合了硬件和云端組件的混合DDoS解決方案。

[[233027]]

混合防護(hù)措施：兩全其美的方法

本地解決方案完全依賴于本地硬件設(shè)備，按需和永遠(yuǎn)在線的解決方案是完全基于云的，而混合模式則是將本地硬件設(shè)備和可擴(kuò)展容量結(jié)合在一起，可以應(yīng)對大流量攻擊。

在正常的業(yè)務(wù)過程中，流量直接流向數(shù)據(jù)中心。本地設(shè)備將檢查攻擊流量，并攔截多數(shù)攻擊。然而，如果檢測到可能擊垮設(shè)備(甚至完全擁塞管道)的大規(guī)模攻擊，流量就會轉(zhuǎn)發(fā)到云端清洗中心。清洗中心將攔截攻擊流量，只將潔凈流量發(fā)回給客戶。一旦攻擊結(jié)束，流量就會轉(zhuǎn)發(fā)回已經(jīng)恢復(fù)正常功能的設(shè)備。

混合DDoS防護(hù)措施為企業(yè)提供了兩全其美的解決方案：本地解決方案的低延遲和高控制能力，以及云端解決方案的可擴(kuò)展容量。

優(yōu)缺點：

和其它部署模型一樣，選擇混合DDoS防護(hù)解決方案也有一定的優(yōu)缺點：

• 最佳防護(hù)質(zhì)量：混合防護(hù)措施是多數(shù)安全分析人員推薦的最佳方法，因為該措施結(jié)合了低延遲和高容量，可以實現(xiàn)關(guān)鍵業(yè)務(wù)服務(wù)防護(hù)。
• 即時檢測：由于流量在任何時候都要流經(jīng)本地設(shè)備，因此設(shè)備可以立即檢測到攻擊。這是一種優(yōu)勢，尤其是對于在開始轉(zhuǎn)發(fā)之前通常有一個檢測和防護(hù)缺口的云端按需服務(wù)而言。
• 可擴(kuò)展容量：混合模式的重要優(yōu)勢是在大規(guī)模的大流量攻擊中可擴(kuò)展的緩解容量。此類攻擊能夠擊垮獨立的硬件設(shè)備，甚至?xí)砣麄€通往數(shù)據(jù)中心的管道。擁有備份云容量的客戶可以處理任何攻擊，不管攻擊規(guī)模如何。
• 低延遲：由于日常防護(hù)是由位于數(shù)據(jù)中心的本地設(shè)備直接處理的，因此混合解決方案可以實現(xiàn)低延遲。只有在出現(xiàn)攻擊時流量才會轉(zhuǎn)發(fā)到云端。這相對于即使在和平時期通常也會增加通信延遲的云端永遠(yuǎn)在線解決方案而言也是一個優(yōu)勢。
• 監(jiān)管：處于金融或醫(yī)療等受監(jiān)管行業(yè)的企業(yè)在將服務(wù)遷移到云端時會頻繁受到限制。因此，混合解決方案在多數(shù)時候可以提供有效的本地設(shè)備，而在大規(guī)模攻擊中則可以實現(xiàn)備份容量。
• 控制：擁有本地設(shè)備可以實現(xiàn)更好的控制能力和可配置性，特別是對于擁有獨特網(wǎng)絡(luò)拓?fù)浠蛱囟ㄐ枨蟮钠髽I(yè)而言。

然而，混合DDoS防護(hù)模式也有許多缺點：

• 管理開銷：本地解決方案通常會引發(fā)更高的管理開銷和人員需求，同時需要隨時保持本地和云端防護(hù)措施的同步和一致性。
• 成本：由于混合方案整合了硬件設(shè)備和云服務(wù)，他們的綜合成本往往比完全的云服務(wù)要高。

注意事項：

與其他模式一樣，是否選擇使用混合防護(hù)措施取決于企業(yè)的具體用例和需求：

• 威脅現(xiàn)狀：企業(yè)數(shù)據(jù)中心的威脅現(xiàn)狀如何?如果企業(yè)數(shù)據(jù)中心運(yùn)行著關(guān)鍵業(yè)務(wù)應(yīng)用，承擔(dān)不起任何降級的代價，那么混合解決方案確實是企業(yè)的最佳選擇。
• 控制：企業(yè)對控制能力和管理有多重視?一些企業(yè)很重視控制能力和可配置性，因此本地設(shè)備很適合他們。
• 受監(jiān)管行業(yè)：企業(yè)處于受監(jiān)管行業(yè)嗎嗎?如果是，將工作負(fù)載遷移到云端的指導(dǎo)方針是什么?由于混合解決方案提供了本地設(shè)備的安全性和云的可擴(kuò)展性，因此，對受監(jiān)管企業(yè)而言，混合解決方案是很好的解決方案。
• 成本：預(yù)算限制是什么，可用預(yù)算有多少?與獨立的本地或云端解決方案相比，混合解決方案往往能夠提供更高的防護(hù)質(zhì)量，但這種防護(hù)措施的價格通常會更高。

最適合的企業(yè)是哪些?

考慮到混合模式的優(yōu)缺點，此模式對以下幾類客戶(和用例)來說是最適合的：

• 數(shù)據(jù)中心防護(hù)：現(xiàn)擁有數(shù)據(jù)中心，而且在數(shù)據(jù)中心中運(yùn)行著許多需要提供保護(hù)的服務(wù)的客戶。
• 關(guān)鍵業(yè)務(wù)應(yīng)用：需要持續(xù)防護(hù)而且即使在短時間內(nèi)也不能降級的關(guān)鍵業(yè)務(wù)應(yīng)用。
• 對延遲敏感：需要快速(或?qū)崟r)響應(yīng)，并且對延遲的容忍度很低的服務(wù)。
• 受監(jiān)管行業(yè)：處于受監(jiān)管行業(yè)的企業(yè)，在將工作負(fù)載遷移到云端會受到限制。

然而，混合解決方案不太適合某些用例：

• 云托管應(yīng)用：托管在公有云(如AWS或Azure)中的應(yīng)用，針對這些應(yīng)用，沒有物理數(shù)據(jù)中心來放置設(shè)備。對此類應(yīng)用而言，就需要云端解決方案。
• 對價格敏感：沒有太多預(yù)算分配給這些綜合解決方案的企業(yè)。對這些企業(yè)而言，按需云解決方案通常是最佳選擇。

自助式選擇，而非固定菜單

正如在此系列文章的開篇文章中提到的，DDoS防護(hù)措施是一種自助式選擇，而非固定菜單。有很多可以提供不同防護(hù)程度和成本的DDoS防護(hù)措施提供商。每種模式都有各自的優(yōu)缺點;客戶有很多選擇，每個客戶都可以為他們的特定用例選擇最佳的解決方案。