華為Anti-DDoS方案助力ISP聯盟打造安全環境
責編:admin |2014-08-11 12:36:29DDoS攻擊危害嚴重,可導致"人財兩空"
近年來,越來越頻繁的DDoS攻擊,給運營商和企業業務帶來了巨大的安全挑戰。最嚴重的一次在2013年3月,歐洲遭遇了史上最大的DDoS攻擊,攻擊流量峰值已經高達300Gbps,超大的攻擊流量匯聚到歐洲幾個一級運營商網絡內部,造成整個歐洲地區的網絡擁塞。在荷蘭,DDoS攻擊也已經影響到了大量數據中心的正常運營,如果沒有必備的防護方案,不但對一家公司的業務造成影響,甚至會擁塞整個國家網絡的帶寬,影響所有ISP的業務連續性。
nbip是荷蘭上百家ISP企業成立的鏈路與運營服務聯盟企業,幫助ISP提供統一的鏈路與運營管理服務。該聯盟成立于2002年,是荷蘭唯一一家國家級的ISP聯盟企業。由于nbip的服務對象均是ISP,所有的業務都是互聯網在線服務業務,業務連續性高,但也是黑客最常攻擊的目標。一旦業務遭受攻擊,就會帶來巨大的經濟損失,NBIP的主席Ludo介紹到:"DDoS攻擊帶來的損失是每小時數萬歐,甚至更高。",此外,由于DDoS攻擊導致業務不在線,還會對企業的信譽和形象帶來巨大損失,影響更是不可估量。
瘋狂的DDoS攻擊過后,ISP的客戶均在尋求有效的DDoS防護解決方案。但作為一個個獨立的ISP單獨部署專業的DDoS防護方案,不但會帶來巨大的部署和維護成本,而且鏈路擁塞型DDoS攻擊根本無法得到有效防護。
"臨淵羨魚" 不如"退而結網"
作為ISP聯盟的NBIP,面對日益猖獗的DDoS攻擊,在被多輪ISP客戶屢次求助后,從2013年6月起,便開始尋求有效的DDoS防護與安全運營解決方案,以應對DDoS攻擊,提升業務運營的連續性,改善客戶業務安全服務水平。nbip于2013年年中起開始計劃部署DDoS安全增值服務,一方面保護客戶業務安全,另一方面提升自身的競爭力增加業務范圍。
其實在NBIP計劃之前,NBIP研究了業界知名的安全服務提供商的業務范圍和市場空間,覺得安全服務市場是未來的趨勢。在ICT不斷融合、云安全如火如荼的今天,運營商面臨嚴重的運營成本與收益下滑的運營壓力,均轉而做安全增值服務,如知名AT&T、BT等運營商。在安全增值服務中,DDoS安全服務是運營商必選業務之一,因為運營商有先天的帶寬資源優勢,能夠實現從上層防護,可以實現在單個ISP鏈路擁塞前做清洗防護。而NBIP相對于ISP聯盟中獨立的ISP企業來說,具有同運營商一樣的天然優勢。NBIP也意識到了DDoS防護市場需求巨大,從2013年年中開始計劃和設計"國家級DDoS流量清洗中心"項目,并與年底邀請了業界知名的DDoS防護解決方案廠商進行方案和設備測試。
"消防員"式的防護方案:
NBIP要建造的是整個荷蘭國家級的清洗中心,服務對象超過100多家,未來隨著業務和客戶的增加,這個防護性能也要能夠持續的擴展,因此對方案防護性和擴展性能均有嚴苛的要求,至少有100G的擴展防護性能。而且NBIP的主要客戶是ISP企業的在線業務系統,不但對DDoS攻擊的防護的精準度有要求而且對攻擊的響應實時性要求比較高。這就要求NBIP要建造的DDoS防護方案要具備旁路實時監控的,實現快速攻擊響應,就像"消防員"一樣,處于隨時待命狀態,一旦發生"DDoS火情"要能快速的進行處理。
在測試階段,NBIP重點對其關注的幾個點做了詳見的測試,綜合比較起來,華為的Anti-DDoS方案,采用逐包的深度檢測技術,旁路的部署模式,能夠實現秒級的攻擊響應和單臺設備200Gbps的防護性能,在方案上完全契合NBIP的方案需求,此外,在測試過程中,華為Anti-DDoS方案所表現出的簡單便捷的GUI管理方式和詳盡的報表功能,深深的吸引了NBIP的興趣, NBIP最終選擇了華為方案。
NBIP主席Ludo在測試結束后這樣評價華為的方案:"華為的Anti-DDoS解決方案對攻擊的響應速度快、具有優秀管理能力的界面,事實證明華為的解決方案正是我們所需要的。"
NBIP的數據中心出口80Gbps的帶寬,采用全流量分光逐包做攻擊檢測,一旦發現攻擊,管理中心下發攻擊流量清洗策略,并由清洗板發送BGP引流清洗策略,將受攻擊對象的流量引入清洗中心做清洗。具體方案的處理流程,如下圖所示:
方案中的檢測中心和清洗中心有AntiDDoS8160的檢測板卡和清洗板卡分別完成,集中混插在一臺AntiDDoS8160設備機框上,可大大的節約了客戶空間和部署成本,還可通過板卡擴展進行性能線性提升,滿足NBIP持續運營性能擴展需求。