解决方案概述
业务挑战
城域网末端的普通商业客户(中小型企业、网吧等)及VIP客户(如大型企业、金融、网络服务提供商等)的专线接入需求,近年来一直保持持续高速增长。伴随着几大电信 运营商竞争的加剧,接入用户对SLA(服务等级)的要求也越来越高。由于各类DDoS工具的不断发展,使得实施DDoS攻击变得非常简单,从而导致以不正当的商业行为为目的的攻击也不断出现,而城域网的商业接入客户往往成为主要的攻击目标,其危害表现如下:
电子商务类网站等核心业务服务器极易遭到DDoS攻击
接入客户的链路带宽资源被DDoS等垃圾流量严重占用
接入设备受攻击后负载过高导致其他接入用户服务不可用
解决之道
绿盟科技长期专注于如何在城域网环境中抵御DDoS流量,利用业界知名的“黑洞”抗拒绝服务系统,制定了绿盟科技“黑洞”流量净化矩阵的解决方案——NC2M(NSFOCUSCollapsarCleanMatrix)。该方案采用多层的攻击流量检测、防护、过滤机制,及时发现背景流量中各种类型的攻击流量,以基于流量牵引技术的旁路方式,在城域网中迅速对攻击流量进行过滤,保证网吧及专线接入业务的正常运行。
城域网中针对网吧和专线接入业务的保护,方案首先确定了需要被保护目标的大致区域,在各个汇聚节点上旁路部署千兆“黑洞”设备,对各个汇聚节点下属区域分别进行DoS防护。由于城域网中不同节点的网络情况不尽相同,所以需要根据客户具体情况决定部署方案。“黑洞”抗拒绝服务系统为了适应不同的网络拓扑状况,Defender与Probe都能够采用很灵活的部署方式。只要遵循在汇聚点交换机、核心交换机或路由器上部署的原则即可。
图:绿盟科技“黑洞”流量净化矩阵——运营商网吧接入流量净化
方案优势
绿盟科技“黑洞”流量净化矩阵的解决方案——NC2M(NSFOCUSCollapsarCleanMatrix)在针对专线和网吧用户的流量净化中具有如下优势:
采用专用抗DDoS设备防护由于城域网接入用户的客户面广,业务具有多样、复杂的特点,加之参杂商业竞争等因素,所以很容易受到多种类、大流量的DDoS攻击。针对DDoS攻击,流量净化矩阵的方案采用了绿盟科技专门的抗拒绝服务系统——“黑洞”进行全方位的保护。
从运营商角度提供保护机制单纯在城域网接入客户的接入设备前部署抗拒绝服务系统并不能从根本上解决链路被DDoS流量占用的问题,只有在城域网运营商的接入层之上部署抗拒绝服务系统才能从真正意义上保护接入客户的带宽安全,提高带宽的利用率。
共享和租用的形式降低成本对于中小型企业及网吧来说,单个客户配备专用抗拒绝服务设备的成本相对过高,客户一般不会投入资金购买此类设备。针对商业楼宇中中小企业较为集中,或网吧较为集中的情况,流量净化矩阵的方案采用多家接入用户共享运营商Anti-DDoS服务的方式,其服务形式完全可以采用租用抗DDoS服务的方式来降低单个接入客户的抗DDoS成本。
为什么选择绿盟科技
绿盟科技信息 技术有限公司(NSFOCUSInformation Technology Co.,Ltd. ) ,公司成立于2000年4月,是国内最早从事网络安全 的高科技企业之一。
绿盟科技基于多年的安全漏洞研究与安全产品开发能力,为Microsoft、Sun、NetScreen、Cisco等国际知名厂商提供安全漏洞研究报告,为政府、电信 、金融、能源等行业客户提供高端安全产品与全面的网络安全 解决方案,协助客户建立安全可靠的绿色网络环境。
绿盟科技早在2000年就提出了NSPS安全服务体系,并于2004年在网络安全 行业中率先通过ISO9001双认证,具备很强的安全服务能力,拥有多年长期为之服务的客户。
绿盟科技的安全产品与解决方案涵盖:网络入侵检测/保护系统、远程安全评估系统、抗拒绝服务攻击系统、安全审计系统、内网安全管理系统和网络异常流量监测系统,以及政府、军队、企业网应用安全、城域网安全和电信 城域网安全等多种针对各行业的解决方案。