【51CTO.com原創(chuàng)稿件】雖然人們在2019年新年鐘聲里互道平安喜樂，但仍有很多人對于20多天前的那場DDoS攻擊仍然心有余悸。12月13日夜間，國內(nèi)多家銀行的HTTP、HTTPS在線業(yè)務(wù)受到了來自以海外地址為主的攻擊。國內(nèi)電信運營商在第一時間針對80端口及443端口的CC攻擊進(jìn)行了封堵，有效地保護(hù)了被攻擊金融客戶的鏈路，但是即便是經(jīng)過了運營商進(jìn)一步過濾，仍有不少攻擊到達(dá)銀行的數(shù)據(jù)中心，導(dǎo)致其對外的WEB服務(wù)器CPU使用率大幅提升，響應(yīng)速度降低，影響了國內(nèi)用戶的正常訪問。

　　記者了解到，在本次DDoS攻擊過程中，F(xiàn)5 Advanced WAF(API安全-新一代WAF)的安全防護(hù)策略被證實非常有效地幫助用戶抵御了攻擊。于是記者采訪了F5首席技術(shù)官吳靜濤，請他從應(yīng)用的角度分享F5對于安全防護(hù)的一些創(chuàng)新思路。

[[255347]]

　　產(chǎn)品+服務(wù)抵御住這次“特殊”的DDoS攻擊

　　DDoS攻擊已經(jīng)被看作是目前最大的網(wǎng)絡(luò)安全威脅之一，2018年關(guān)于各種用戶的互聯(lián)網(wǎng)業(yè)務(wù)被攻擊癱瘓的新聞報道也不絕于耳。那么這次DDoS攻擊有何特別之處呢?

　　吳靜濤告訴記者，過去DDOS幾乎都是從國外發(fā)起，但是這次攻擊不一樣，國內(nèi)也有發(fā)起源，影響面非常廣。除了F5新一代WAF產(chǎn)品發(fā)揮作用之外，F(xiàn)5快速響應(yīng)客戶需求并提供周到的現(xiàn)場服務(wù)，也是幫助客戶在這場攻防戰(zhàn)里致勝的關(guān)鍵因素。

　　他進(jìn)一步解釋道，“在WAF市場F5一直是全球最領(lǐng)先的公司之一。這次攻防對抗中，F(xiàn)5的新一代WAF產(chǎn)品打開了應(yīng)用安全防護(hù)功能，抵住了瘋狂的流量攻擊。同時在F5產(chǎn)品+服務(wù)的大體系下，在產(chǎn)品功能之外又有專家在現(xiàn)場對攻擊事件的實時處理，所以取得了非常好的防御效果。”

　　F5的安全責(zé)任感：在其位謀其政 任其職盡其責(zé)

　　其實DDoS攻擊肆虐這么多年，市場上已經(jīng)形成了非常豐富的“抗D”產(chǎn)品，但是真正能抗住的產(chǎn)品鳳毛麟角，那么為什么F5的產(chǎn)品可以取得如此棒的防護(hù)效果呢?吳靜濤非?？陀^地從客戶端的變化開始剖析F5 的安全優(yōu)勢。

　　他指出，客戶應(yīng)用的終端品種日益豐富，瀏覽器、原生APP、各種嵌套式應(yīng)用、IOT設(shè)備比比皆是，傳統(tǒng)的統(tǒng)一安全防護(hù)策略顯然無法防護(hù)所有的應(yīng)用。在這樣的形勢下，F(xiàn)5產(chǎn)品的部署位置決定了由F5來做安全防護(hù)更容易取得出眾效果。眾所周知，F(xiàn)5既在應(yīng)用端又在客戶端，離企業(yè)客戶和用戶都很近，所以由F5來將應(yīng)用中的不同流量提取出不同的灰度，做流量精分，再針對不同灰度的精分結(jié)果去做安全防護(hù)，最終實現(xiàn)對關(guān)鍵應(yīng)用進(jìn)行精細(xì)化的安全防護(hù)策略就事半功倍順理成章了。

　　記者早已發(fā)現(xiàn)，不少用戶在上云之后，往往安全防護(hù)工作交由云服務(wù)提供商來部署，用戶只需在互聯(lián)網(wǎng)的接收入口上做一個統(tǒng)一的安全防護(hù)，但當(dāng)遭遇DDoS攻擊時，云清洗和統(tǒng)一安全防護(hù)策略很多都失效了。在吳靜濤看來，究其原因就在于安全策略不夠精細(xì)。F5的做法是通過產(chǎn)品+服務(wù)的方式，對一些關(guān)鍵的業(yè)務(wù)、關(guān)鍵的應(yīng)用以流量精分的方式，對一個App里多種流量進(jìn)行精細(xì)化的安全防護(hù)策略。“傳統(tǒng)的安全架構(gòu)完全不能適應(yīng)如今以分鐘級做攻防轉(zhuǎn)換的新攻防模式，F(xiàn)5會先給客戶提供這樣的安全服務(wù)，等客戶驗證之后認(rèn)同防護(hù)效果，再選購。這樣先嘗后買的模式非常受客戶歡迎。”

　　F5對于安全防護(hù)的優(yōu)勢還有很多，其中“一鍵防護(hù)”功能最貼近用戶需求。吳靜濤透露道，由于攻防轉(zhuǎn)換往往是分分鐘的事，所以客戶需要有一個非?？焖俚墓ぞ邅響?yīng)對。顯然這時搭建DevOps模型讓研發(fā)部門去改是來不及的，因為代碼需要經(jīng)歷校驗、測試、評估之后才能上線。所以最好的解決之道就是全自動去修改、配置，但由于大多數(shù)客戶不允許全自動切換，因此F5推出了“一鍵切換”功能，幫助客戶快速應(yīng)對，非常好地滿足了用戶對應(yīng)用的可用性、安全性、可視化和自動化提升等多種需求。

　　如何有效防御DDoS攻擊?F5給出四點建議!

　　從企業(yè)客戶角度來看，與DDoS攻擊對抗是一個漫長的過程，攻擊手段和工具會不斷刷新，那么如何才能讓自己立于不敗之地呢?吳靜濤也給出了四點建議：

　　第一點建議，用戶需要意識到網(wǎng)絡(luò)攻防和合規(guī)是兩回事，安全部署不應(yīng)該以合規(guī)為目標(biāo)，而要重點考慮攻防，將攻防放置于首位。

　　第二點建議，用戶需要改變統(tǒng)一安全策略，對于關(guān)鍵應(yīng)用而言，需要對應(yīng)用做完流量精分之后，再根據(jù)不同灰度的流量進(jìn)行安全策略配置。F5產(chǎn)品+服務(wù)的攻防模型已經(jīng)被眾多用戶證明是有效的，可供參考。

　　第三點建議，不要將安全防御能力全部寄希望于全自動安全模式，從另一個角度而言，全自動也意味著安全風(fēng)險，最好的處理辦法是要做可控的風(fēng)險管理。

　　第四點建議，謹(jǐn)慎選擇透明模式和Bypass模式!吳靜濤強調(diào)，很多客戶被攻擊就是因為這兩個模式，如今的DDoS攻擊終極目標(biāo)其實并不是讓業(yè)務(wù)癱瘓，而是為了在徹底打穿透明模式和Bypass模式之后，掩蓋不法分子如入無人之境般竊取核心數(shù)據(jù)。對此F5給出的解決之道是構(gòu)建一個超高彈性的全代理架構(gòu)，做現(xiàn)代攻防的處理。

　　“攻防是第一目標(biāo)，流量精分是實現(xiàn)方法。F5希望實現(xiàn)的效果是通過機器學(xué)習(xí)之后的一鍵操作，而不是簡單的全自動，最終構(gòu)建出完整的安全防御體系。”吳靜濤總結(jié)道。

　　通過AIOps方式給客戶一鍵選擇權(quán)

　　在2018年，人工智能是最為火爆的IT關(guān)鍵詞，而在F5的Advanced WAF(API 安全——新一代 WAF)里早有機器學(xué)習(xí)的應(yīng)用。

　　在介紹機器學(xué)習(xí)應(yīng)用之前，吳靜濤先拋出兩個問題：客戶如何判斷是否進(jìn)入攻擊狀態(tài)?如何判斷是否需要開啟全線防御?傳統(tǒng)做法是設(shè)置一個閾值，例如流量大于多少，吞吐量達(dá)到多少就啟動防御。但如今流量非常靈活，時刻處于變動狀態(tài)，很難準(zhǔn)確界定是否處于攻擊狀態(tài)。F5的做法是通過產(chǎn)品把數(shù)據(jù)采集回來后進(jìn)行大數(shù)據(jù)的分析，做成智能基線。智能基線是通過機器學(xué)習(xí)經(jīng)過判斷之后，才會被觸發(fā)最終判斷進(jìn)入攻擊狀態(tài)。

　　他表示，判斷出攻擊狀態(tài)也并不意味著要進(jìn)入全線防御。在F5產(chǎn)品+服務(wù)的框架下，經(jīng)過大數(shù)據(jù)采集、機器學(xué)習(xí)、智能基線判斷，最后進(jìn)行預(yù)案全部工作都由F5完成，客戶自己來判斷是否通過“一鍵切換”進(jìn)入防御狀態(tài)。“F5通過機器學(xué)習(xí)的方法來去判斷正常流量、異常流量和用戶行為，然后通過AIOps的方式去做處理，最后給客戶一鍵選擇權(quán)。”

　　采訪結(jié)束時，吳靜濤告訴記者， 2018年是F5“鳳凰計劃”的元年，他本人就是鳳凰計劃在中國的主導(dǎo)人。回首2018，F(xiàn)5中國非常好地完成了這個戰(zhàn)略目標(biāo)，而且也為2019年的快速增長打下了非常堅實的基礎(chǔ)。“我們在2019年第一季度非常有信心實現(xiàn)開門紅，邁下全年快速增長的第一步。”

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】