網絡安全保護已經逐漸成為企業上雲首要考慮的問題,面對源源不斷的網絡攻擊,很多企業在上雲的時候都產生了猶豫,頻繁的面對DDoS攻擊,勒索病毒,暴力破解,讓無數上雲企業苦不堪言。
其實面對網絡攻擊,也不是沒有解決辦法,選擇更高性能的網絡安全產品即可有效抵禦網絡攻擊的侵害。
騰訊安全聯合實驗室研製的DDoS高防產品就依託其優秀的架構做到對攻擊的完全檢測和高清洗能力。使用光稜物理分光做1:1流量鏡像,旁路Netflow檢測鏡像流量,不影響客戶正常業務流向,檢測後的鏡像流量被丟棄。檢測原理主要為基於流量建模分析客戶IP的流量中是否存在攻擊流量。
騰訊安全DDoS攻擊防護可以檢測SYN Flood、ACK Flood、UDP Flood、ICMP Flood、CC 攻擊等常見的攻擊類型及更多的攻擊。
在檢測完成之後,當檢測到某個IP被攻擊後,清洗集群向核心路由發布BGP牽引路由,將該IP的流量牽引至清洗集群防護。清洗後的乾淨流量,再通過BGP路由回注至核心路由,最終流向用戶的雲主機或通過轉發集群流向用戶使用的非騰訊雲的機房中。
至於其中用到的防護算法,也是利用了騰訊雲安全團隊多年的技術積累。在傳統的代理、反向探測、認證、黑白名單、報文合規等標準技術的基礎上,結合安全信譽、大數據分析、用戶行為分析、特徵學習等多種技術手段,對威脅進行阻斷過濾,僅對數據報文頭部進行分析。
防護系統對用戶的業務數據是安全無感知的,不涉及、不查閱業務負載報文,能夠保證用戶在被攻擊持續狀態下仍然可以對外提供業務服務。
我們可以從上圖中看出騰訊雲DDoS攻擊的防護體系架構。整個高防區通過策略控制中心統一分發策略,首先通過1:1分光將流量複製,然後用檢測集群檢測流量,再依據設置好的策略使用攻擊清洗集群清洗,清洗之後將流量回注到TIX路由器,再由外網核心導入沒有被攻擊的雲主機,同時公網的轉發集群將流量傳送至外部機房。
騰訊安全DDoS防護依靠著優秀的底層架構便能夠提供更多強大的核心功能,不僅僅對常見的攻擊防護,還可以做到流量封堵、取證溯源、協議支持、監控管理和管理報告。
其中管理報告模塊是很多常見的DDoS防護所不具備的,系統可以提供直觀而便利的設備運行監控、策略配置、報表生成和抓包取證等管理:在統計報表頁面,選擇高防資源,即可查看相應的 DDOS 攻擊詳情、CC 攻擊詳情,方便用戶快速溯源和查看防護結果。