在互联网宽带、移动技术的高速发展和普及给企业带来巨大便利的同时,企业也正面临日趋严重的网络信息安全威胁和隐患。其中,DDoS(分布式拒绝服务)攻击规模和攻击次数呈现显著增长,并且攻击的手段越来越复杂、攻击流量剧增,使企业信息安全面临严峻挑战。
2014年9月,在华为HCC2014上,华为与中国联通上海公司联合进行了DDoS云清洗服务的发布仪式,该产品采用华为基于SDN技术的Anti-DDoS云清洗方案,不同于传统的“引流回注”清洗方案,它无需带着攻击流量在整个网络中穿行,而是利用SDN感知方式进行最优资源调度,从攻击源头上实现DDoS防御。
云清洗助上海联通杜绝DDoS攻击
DDoS(分布式拒绝服务)攻击并不是一个新话题,从上世纪90年代就已经开始出现了。但是近年来,越来越频繁的DDoS攻击,给海内外的运营商和企业业务带来了巨大的安全挑战。最严重的一次在2013年3月,欧洲遭遇了史上最大的DDoS攻击达300Gbps,传统的“引流回注”清洗方案,带着300G的攻击流量在整个欧洲网络中穿行寻找清洗点,最后导致整个欧洲的运营商网络的拥塞。
上海是中国的金融、贸易、航运的中心,数据显示上海联通服务的企业客户已经超过47000家,如果出现类似攻击,造成的业务中断将给企业带来巨大的经济损失。为了杜绝类似攻击事件的发生,上海联通选择与华为合作,寻求有效解决方案。
对此,华为为上海联通提供的基于SDN技术的Anti-DDoS云清洗方案,利用大数据分析技术从60多种维度对全网络流量进行精细化分析,一旦流量出现异常将在2秒级内实现快速响应。该方案支持SDN感知方式,通过优化资源调度实现云端清洗,从源头上防御DDoS攻击。
上海联通产品管理中心总经理魏尚俊表示,DDoS防御是目前很多联通企业客户的迫切需求,我们依靠互联网提供业务的企业越来越多,这些客户对于网络安全性以及网络服务可持续性要求非常高,上海联通希望为客户提供最安全的服务。因此,在选择云清洗业务的时候,我们从大容量高精度方面,将全球各个领先供应商的方案进行了对比,发现华为最符合我们的要求,服务也是最好。
据了解,自云清洗业务上线以来,上海联通每年防护DDoS数万次,且服务模式不断创新,在运营过程中,上海联通对华为的Anti-DDoS解决方案积累了一套熟练的运营经验,如:提供大客户安全攻防报表推送、大客户攻防演练等更贴心服务,让客户不断增加安全防护意识。
华为云清洗方案的三大亮点
对于为何选择华为的云清洗解决方案,上海联通产品管理中心总经理魏尚俊表示,在构建云清洗的时候,我们看中了华为解决方案的三大亮点:第一,高容量,业界其他企业的方案设计上,普通的云清洗设备流量在几十G左右,而华为是可以扩展到T级别,现在DDoS攻击手段越来越复杂、攻击流量越来越大,我们当初建设时就需要考虑到以后的兼容性和扩展性;第二,华为的方案采用了最新的大数据分析技术,华为专业的安全团队时刻分析全球最新的攻击工具,并对僵尸网络活动进行追踪,然后将研究结果以僵尸网络IP信誉、攻击特征库的形式更新到现网设备,让防护更加高效和精确;第三,华为的方案采用了SDN技术,可基于源头过滤攻击流量,亦可实现智能引流清洗,在发生大流量DDoS攻击时,最大限度地保护联通的网络带宽。
据了解,后期上海联通会对不同企业客户采用差异化的防护策略,不仅仅在城域网采用DPI检测加清洗的防护方案。对一些重要的VIP客户,还会考虑在客户网络接入处增加一个小型硬件设备,实现检测及客户网络带宽范围内攻击清洗,以真正实现云清洗。
实现软件定义网络在安全领域的成功应用
华为企业网络产品线安全产品领域总监易建超表示,基于SDN的Anti-DDoS方案是软件定义网络在安全领域的成功应用。举例来说,有超大的来自DDoS攻击流量来攻击位于上海某DC的应用。传统的没有SDN的情况下,这个流量会在上海的DC边界实现清洗,那么攻击流量会从上海城域网穿行,给链路带来流量压力。如果采用SDN对网络的可视化和控制能力,可以快速发现攻击流量来源并在源头路由器对攻击流量实现阻断。
另外,基于SDN可以实现智能引流清洗,避免传统引流只基于路由最短路径而不管引流路径是否具备足够的可容纳攻击流量的可用带宽,导致引流路径涉及的链路都出现拥塞,相当于攻击效果被无形放大。基于SDN可以实现智能引流的原理是,引流路径计算不仅仅考虑最短路径,还看引流路径的最大可用带宽,清洗中心最大可用带宽,从攻击源头实现多路径引流。
华为企业网络产品线副总裁刘立柱表示,华为安全产品团队一直致力于为客户提供最优的Anti-DDoS安全解决方案,未来,华为同上海联通将进行更深入的合作,包括提供安全业务规划咨询、应急响应服务等,为联通的企业客户提供更加贴身和快速响应的安全防护方案。 转载自:通信世界网,http://www.cww.net.cn/tech/html/2014/10/17/20141017933435993.htm