1.4.2 设备型号
华为Anti-DDoS产品主要包括AntiDDoS1000和AntiDDoS8000系列,涵盖低、中、高端设备,型号齐全、功能丰富,可全方位满足用户各种需求。
..AntiDDoS1500系列产品介绍
在 AntiDDoS1500系列产品中 AntiDDoS1500-D 为检测设备,AntiDDoS1520/Anti
DDoS1550为清洗设备。
..AntiDDoS1600系列产品介绍
AntiDDoS1600系列产品使AntiDDoS1000系列产品摆脱了靠设备型号决定设备类型的规定,实现了通过命令行由清洗设备到检测设备的切换。
华为的AntiDDoS1600是企业级的DDoS防护系统,它可以针对中小型企业、政府、金融机构和ICP服务商的关键在线业务系统提供专业级防护方案。
..AntiDDoS8000系列产品介绍
AntiDDoS8000系列具备全流量逐包检测、60多种流量模型分析、全面的信誉体系、T级防护性能、秒级响应速度、100多种攻击精准防护等功能。
1.4.3 方案部署位置
目前,Anti-DDoS解决方案可以被广泛应用于运营商骨干网、城域网和企业网、IDC等关键位置,可实现从骨干网到企业网的层层防护
1.城域网部署
城域网部署可抵御外城域网对本城域网的DDoS攻击,保护城域网带宽资源可用。它可在防护对象汇聚处提供安全运营业务,提供增值服务,确保防护对象带宽资源及业务安全。
..IDC旁路部署
越来越多的企业业务和数据正从分散部署走向大集中,作为集中模式的代表,数据中心的出现极大地促进了企业的发展。IDC出口带宽流量较大,业务类型丰富,对可靠性要求高,容易遭受泛洪类攻击和新型应用层攻击的双重威胁。Anti-DDoS解决方案可确保托管服务器业务不中断,专业防护HTTP、HTTPS、DNS、SIP Server,提供运营增值业务。
3.企业网出口部署
企业网出口部署可帮助清洗从外部进入的DDoS攻击,防止内部主机服务器被黑客控制发起 DDoS 攻击。它对于业务流量模型的学习,可确保企业网带宽资源及应用业务服务器的安全。
1.4.4 方案部署模式
..Anti-DDoS设备部署模式
Anti-DDoS
方案主要支持直路部署、旁路静态引流和旁路动态引流部署三种模式
(1)直路部署
直路部署组网简单,不需要额外增加接口。由于所有流量都将经过DDoS防护设备,直路部署在个别攻击防护上要优于旁路部署。但这也是对DDoS防护设备可靠性的考验,因此,方案采取了清洗设备外置Bypass卡或直路双机的部署方式,保证系统在清洗设备故障时业务流量能够正常通过,增强链路可靠性
(2)旁路静态引流部署
旁路部署应运而生,可完全解决上述问题。我们首先介绍旁路静态引流部署。所谓静态引流,就是将所有去往防护对象的流量都引流到清洗设备进行清洗,不论流量是否存在异常。这种方式虽然不用部署检测中心,但对清洗设备性能要求较高。如果清洗设备性能不足,有可能会影响客户的正常业务。
于是,又出现一个问题:在大流量场景下,如果DDoS防护设备处理所有流量将耗费大量的转发性能,导致安全投资上升,同时仍可能面临影响客户正常业务的风险。问题如何被彻底解决呢?
(3)旁路动态引流部署
动态引流部署应运而生,所谓动态引流,就是将去往防护对象的流量先复制一份到检测设备进行检测,如果发现存在异常流量才会被引流到清洗设备进行清洗。动态引流的优点在于只有异常流量才会被引流清洗,正常流量会被正常转发。
旁路动态引流部署在保证原有组网不被破坏的基础上,实现了上行流量无需经过DDoS防护设备,下行流量按需牵引的目标,使防护性能及可靠性都得到了保障。
