运营商网络面临的威胁和挑战
目前运营商骨干网和各地市城域网,宽带用户数量多,网络结构复杂,业务流量大,DDoS攻击导致的网络安全问题时有发生,导致IP网络整体服务质量下降,已经严重威胁到网通IP网络优质的品牌形象,因此在电信运营商的城域网和IDC层面上开展对DoS/DDoS等攻击的防范具有必要性,通过安全防范、为用户提供稳定可靠的网络服务。
在电信运营商的城域网层面上,分布式拒绝服务(DDoS)攻击是最常见的攻击之一。这些攻击的方法是一些攻击者通过向目标发送大量的恶意的非法请求,导致计算机服务器和网络设备的性能降低和网络服务中断,或者网络连接的带宽达到饱和;在运营商的IDC层面,企业WEB站点的托管服务也越来越多,而分布式的HTTP Page Flood攻击是最常见的攻击之一,这种攻击的方法是一些攻击者同时向攻击目标发送大量的正常HTTP请求,导致WEB服务器的性能降低,最终WEB服务中断,这种攻击也是目前WEB站点安全威胁中最难防范的攻击类型。
DDOS攻击给运营商带来的损害
运营商网络上经常会发生多种类型的攻击,而且攻击流量巨大,因此会带来的严重的损害:
·服务器资源耗尽:海量的SynFlood等DDOS攻击会造成运营商自身的以及重要客户的关键服务器资源耗尽,造成关键业务应用的中断,如DNS、WEB等。从而引起大面积的Internet访问故障和应用停止。给运营商的业务和信誉带来巨大损害,以及运营商及其用户的经济上的无法估量的损失。
·带宽资源耗尽:运营商骨干带宽资源较为充裕,但是下级客户接入的带宽资源有限。大规模的DDOS攻击可以轻易将客户接入的带宽完全占用,而导致大面积的应用无法访问,或者客户无法访问Internet。
我们如何解决安全威胁
为了防御运营商难以避免的而且日益严重的网络威胁,一些安全厂商也相应发布了自己的DoS/DDoS防御安全解决方案。通过在运营商IP城域网或IDC部署这套安全防御解决方案,能够让电信运营商以很少的开支,帮助企业客户保障网络安全。
目前能够提供DoS/DDoS防御安全解决方案的厂商也很多,每个厂商所提供的DoS/DDoS防御机制不同,多数厂商都只是防御已知的DOS攻击,缺乏对现在流行的“零日攻击“和应用层攻击的防御手段;目前业界做得比较好的厂商首推Radware公司的DoS/DDoS防御解决方案,Radware公司是业界第一个提供单台6Gbits/s吞吐量的厂商。在DoS/DDoS攻击防御领域具有很多领先的技术,尤其是在防御未知DOS/DDOS攻击(即“零日攻击“)方面具有专利性的技术——基于行为的DoS/DDoS防御技术,可以自动学习、自动制定策略和报告。
我公司的IDC中也托管了很多企业的WEB站点,自从业务开展以来,经常遭受到DOS/DDOS、HTTP Flood等各种恶意流量的攻击,导致客户无法正常运营,对我司的日常运营和用户满意度也造成了严重的影响。
现在我公司已经引入了Radware公司提供的DOS/DDOS防御安全解决方案。在唐山分公司的IDC内部署了一台Radware的DefensePro6000 DOS/DDOS防御设备后,防护效果非常好,继续发生的UDP Flood、TCP Flood及HTTP Page Flood等攻击全部被Radware的DefensePro设备拦截。
DOS/DDOS安全解决方案也称之为DoS/DDoS流量清洗解决方案,即在运营商的城域网或IDC内构建一个全面的DoS/DDoS流量清洗中心,可以对外面恶意流量进入客户系统之前进行有效的拦截。防止运营商的增值服务受到DDoS攻击的影响,最大限度的确保其可用性。
DoS/DDoS防御安全解决方案实现了下列目标:
·帮助运营商客户有效地防御DDoS攻击,从而最大限度地提高在线服务和业务的连续性。解决方案可以帮助用户清除攻击流量和只允许合法流量使用从运营商网络到客户网络的、带宽有限的连接。运营商将以安全服务托管的形式向企业客户提供这种保护。同时针对运营商的IDC,还可以利用相同的防御系统防止他们的托管客户的Web和其他电子商务应用遭受DDoS攻击。
·确保运营商网络中的网络资源(例如路由器、DNS、SMTP、电子邮件和WWW)具有足够的安全性,不会受到DDoS攻击的影响。
·为运营商的增值服务部门提供了一个新的安全服务理念,可以根据客户对安全级别要求的不同实施相应的安全防护策略,以提供增值服务的价值空间。
DOS/DDOS防御部署设计
将两台DoS/DDoS防御设备旁路部署在两台城域网核心路由器上,每台DOS防御设备可以采用10G链路连接核心路由器,两台DoS/DDoS防御设备构成了“城域网安全防护/DDoS清洗中心”,通过在核心路由器上做策略路由,将被保护网段的数据流导向到清洗中心(如下图),达到过滤掉DDOS攻击流量,放行正常访问流量的目的。这种部署方案可以全面解决城域网的不同安全问题,总体上看,解决的思路是:“对攻击流量清洗,对正常流量放行”,通过全面的技术手段对城域网及IDC中的不安全因素进行过滤,以来保证城域网的安全。
运营商DDoS 安全防御模式
DoS/DDoS安全防御解决方案的目标是帮助电信运营商在城域网及IDC的安全层面上彻底消除隐患,并能够为运营商带来一种新的安全服务创收模式。电信运营商可以将这种部署模式作为一种服务,提供给他们的企业客户。接下来我们将讨论该解决方案可以通过哪些服务模式开展DOS/DDOS防御。
1、网络服务托管模式:在这种服务模式下,解决方案让电信运营商可以防止企业客户的网络遭到来自互联网的DDoS攻击。这些攻击不仅会影响企业内部的应用系统,而且更为严重
相关视频
相关阅读 关于近期PC6遭受DDOS攻击声明防止DdoS攻击:通过路由器绕过DDoS防御攻击web服务器实例从地震防护看如何防范DDoS攻击十项策略预防DDoS攻击避免DDoS攻击的方法介绍DDOS攻击困惑企业,飓风软件为DDoS“对症之药”教你通过修改注册表抵抗DDOS攻击如何最大限度减轻DDoS攻击危害
热门文章 没有查询到任何记录。
最新文章
金山游戏盒子怎么卸载警惕网络陷阱:新型病毒
NOD32用户名和密码最新(2013.09.11)忘记密保答案怎么办bitdefender 2011激活码及注册码集合卡巴斯基Pure数据加密最佳首选
人气排行 如何关闭xp防火墙金山游戏盒子怎么卸载 如何卸载金山游戏盒子什么杀毒软件的资源占用最少忘记密保答案怎么办如何关闭win7防火墙诺顿杀毒软件的使用技巧安装NOD32后无法上网的解决方法如何卸载瑞星防火墙
查看所有0条评论>>