1.2.5 大数据信誉体系
华为Anti-DDoS方案还支持大数据信誉体系,可以使得系统的检测和处理更高效。信誉体系包括全球僵尸网络IP信誉库和本地业务访问IP信誉库。例如,检测中心发现流量来自僵尸网络的IP,那么他将直接上报异常给管理中心;而清洗中心在引流后,会快速过滤掉此僵尸IP发送的报文,并将其加入黑名单。
① 全球僵尸网络 IP 信誉库是由华为安全智能云中心收集和更新的,目前它已拥有500万个僵尸IP,并且每日动态更新其内容。
② 本地业务访问IP信誉库是Anti-DDoS系统在防护网络没有遭到攻击时,记忆并学习到的合法流量源的IP地址。检测中心将不会检测本地业务访问IP信誉库中的地址发出的流量,这充分保证了Anti-DDoS系统不会影响网络中常用的正常业务访问,提升了用户体验
1.2.6 Anti-DDoS方案运营
随着云数据中心的发展,针对云数据中心和来自云数据中心内部的DDoS攻击越来越多。因此Anti-DDoS方案必须具备一定的运营能力,它能够提供精细化的防护并提供DDoS防护的出租能力。
华为Anti-DDoS方案支持多种精细化的防护策略,客户可以为不同的防护对象设置不同的防护策略,从而实现对防护对象的精细化防护。例如,客户可以为DNS服务器配置针对DNS业务的防护策略,为HTTP服务器配置针对HTTP业务的防护策略。防护对象是一组被防护的目标IP地址,可以是多个IP/掩码定义的IP地址段。防护策略和防护对象都是在ATIC上被配置的。
精细化的防护策略和海量的防护对象为Anti-DDoS系统的运营提供了基础。客户进行Anti-DDoS运营、将Anti-DDoS服务进行出租时,可以为不同的租户设定防护对象和配置防护策略。Anti-DDoS方案还具有租户自助功能,租户可以通过Portal服务器自己完成防护对象和防护策略的配置。
Anti-DDoS系统还提供了丰富的报表功能,既方便管理员阅读分析,又适用于方案的运营。
报表功能支持防护对象、系统两级管理概念的业务数据查询和报表呈现;支持报表手工生成,手工生成报表时,可手工指定数据的时间段;支持以excel、pdf格式导出报表;报表粒度包括日报、周报、月报、年报
华为为了适应网络云化的潮流,推出了更加高端的华为云清洗解决方案。同时,为了共同对抗DDoS攻击,华为倡导组织了云清洗联盟。
那么华为Anti-DDoS方案、云清洗方案和云清洗联盟之间到底有什么关系呢?本节我们就来一探究竟。
1.3.1 Anti-DDoS遇到的困难
前文我们分析了DDoS攻击呈现出攻击流量逐年上升的趋势,随之而来的是企业防御越来越困难,对抗一次攻击可能需要几个小时甚至几天的时间。同时,为了应对大流量攻击,企业每年需要购置更高性能的硬件设备并扩充运维人员。与此同时,由于攻击的偶然性和不确定性,企业往往需要投入高昂的硬件资源,这样是不具有经济适用性的。
因此,越来越多的企业选择了将对抗DDoS攻击的任务托管或部分托管给MSSP(安全托管服务提供商)来处理,也就是说由云端来处理DDoS攻击。MSSP通常拥有更强大的DDoS攻击处理能力,包括更强大的Anti-DDoS系统,更专业的安全运维团队等。
① 客户本地的Anti-DDoS系统发现攻击流量达到本地处理能力上限时,会给MSSP的SOC(安全运维中心)系统发送信令,向MSSP申请处理DDoS攻击。MSSP的SOC收到消息后,会下发清洗指令给清洗中心。
② 清洗中心会将客户的攻击流量引导到自身并进行清洗。
③ 清洗中心清洗完成后,会将清洗后的流量回注给客户,并将清洗结果反馈给SOC。
④ SOC 收到反馈结果后,会判断攻击是否结束。如果其认为攻击结束,则会通知清洗中心结束本次清洗,并反馈清洗结果和清洗报告给客户。
