云端卫士DDoS防护解决方案为数据中心保驾护航

　　近日，在主题为“智慧数据中心”的2016年第九届中国数据中心大会上，运营商级安全、加速一站式解决方案提供商云端卫士（cloudguarder.com）获得2016中国数据中心年度安全防护优秀产品殊荣。

　　云端卫士是互联网优化和智能运营解决方案的卓越服务商中盈优创科技资讯有限公司旗下的运营商级安全、一体化解决方案。凭借业界领先的大数据分析技术以及芯片级安全防护引擎，云端卫士能够为不同规模的企业提供专业、高效且快速的CC攻击防护服务、DDoS（分布式拒绝服务）攻击清洗服务、DDoS攻击压制以及CDN加速服务。

　　不可忽视数据中心DDos攻击危害

　　DDoS攻击历史悠久，是一项犯罪成本极低的网络攻击，但却对企业的业务连续性和名誉造成巨大破坏。近年来，DDoS攻击总流量不断攀升，攻击峰值不断刷新。

　　日前，中国电信云堤发布的《2015全年DDoS威胁报告》中指出，2015年国内共发生DDos攻击17.9298万次，攻击总流量达到276，531.562Tbytes，其中41%的攻击流量峰值都在10Gbps以下，4.1%的攻击流量峰值超过100Gbps；大多数DDoS攻击时间都不长，普遍不到半小时。

　　在数据中心领域，独立调研机构Ponemon Institute最近提供的一份双年度研究报告显示，与2010年相比，2013年数据中心停机成本已经上涨。研究表明，数据中心停机的平均成本从2010年的50.5502万美元上升到2013年的69.0204万美元，2015年这个数字达到74.0357美元。

　　报告指出，大多数数据中心宕机是由错误的不间断电源（UPS）设备引发，占所有事故数量的25%；紧随其后的是DDoS攻击，占22%。DDos攻击数量在过去几年稳步增长，在2013年DDos攻击只占数据中心宕机次数的18%，而2010年只有4%。

　　数据中心具备优质机房、带宽以及骨干网高速互联的优势，为企业提供互联网高速接入、服务器托管等业务，但行业内竞争日趋激烈，出于商业竞争、打击报复和网络敲诈等诸多原因，导致数据中心遭遇DDoS攻击的频率逐渐升高，进而导致客户受到牵连，造成严重的商业损失。

　　尽管入侵防御系统（IPS）、防火墙及其他安全产品是数据中心多层次防御战略的必要组成部分，但这些无法解决DDoS问题。防火墙和入侵防御系统的目的在于保护网络边界，以防被渗透、被攻破，并且是企业机构安全架构中的策略执行点。它们利用状态流量检查技术来执行网络策略、确保完整性。但入侵防御系统和防火墙所能维护的状态确是有限的，所以当设备的资源耗尽后，可能造成的结果是流量丢失、设备被锁死以及可能崩溃。

　　云端卫士DDoS防护解决方案

　　云端卫士可以更好地帮助数据中心和企业对各种类型DDoS攻击进行防护，保证其业务连续不间断运行，云端卫士的解决方案能够跨多节点实现横向扩展，核心防护引擎支持超过20种类型的DDoS攻击防护，基本涵盖所有主流攻击类型。

　　不同于其他同类产品的工作方式，云端卫士在多个运营商的骨干节点均部署有功能强大的、分布式流量清洗设备，对于攻击流量实现就近牵引处理，彼此之间互为备份，单点故障并不影响整个系统的正常工作，同时利用自有的跨运营商内容分发快速通道，将清洗后的流量实时、准确的推送回客户网络。

　　值得一提的是，云端卫士可以通过微信端迅速开启，开启防护只需要在手机上操作4个步骤，停止也只需要4个步骤，防护生效只需要15秒。相较于传统引流方式的数小时或数十小时的生效方式，这种方式具有革命性意义。云端卫士提供的DDoS防护解决方案具有以下独特优势：

　　其一，引入大数据技术。云端卫士通过采集客户业务的DPI数据，利用成熟的大数据分析平台，实时分析客户的业务特点，并根据不同客户的不同业务特点，有针对性地制定安全防护策略，并将相关策略应用到分布于全国各重要节点的防护设备上，对攻击数据进行精准封杀，保证正常业务可用。

　　其二，创新的引流方式。云端卫士通过与各个主要运营商深度合作，摒弃了传统的DNS引流方式，直接通过SDN方式进行流量牵引和回注，从开启防护到防护生效，仅需15秒钟。取消防护也可以在数秒内生效，相较于传统引流方式需数小时或数十小时生效，这个方式几乎具有革命性意义，可以做到想开启就开启、想取消就取消。

　　其三，芯片级的安全防护引擎。云端卫士在通用的x86平台上进行安全防护引擎的自主研发，跳过OSI7层协议栈的包处理过程，直接在操作系统内核进行安全防护操作，指数级地提升了处理效率，每台x86服务器均采用Intel多核Xeon处理器、512GB内存和4块万兆网卡，单防护节点可以轻松实现40Gbps的线速转发和防护，可以有效应对SYN Flood、ACK Flood、UDP Flood、ICMP Flood、NTP/DNS反射等多种类型的DDoS攻击。

　　其四，分布式安全防护节点。云端卫士在国内三大运营商100多个骨干网机房、四/五星IDC机房均有安全防护节点部署，每节点的防护带宽超过100G，整体防护带宽超过1T，对于攻击流量直接就近牵引、防护和回注，具有明显的分布式防护特点，单一节点的失效并不影响整体安全防护性能，仅仅是防护带宽略有降低。该节点原来负责的攻击防护区域的攻击流量自动切换到其他最近节点防护，切换速度为50毫秒，对于业务影响几乎为零。

　　此外，云端卫士聚集拥有多名CCIE、CCSP认证且多年行业经验的网络安全专家，这些专家对于每次攻击防护进行全程监控、跟踪，并提出建议，同时为客户提供免费的安全防护咨询服务。

　　其五，DDoS攻击防护发展趋势。现在，攻击者较少采用单一攻击方式，主要采用混合DDoS攻击技术，导致企业的事件响应规划工作变得更加困难。

　　对于DDoS事件，企业面临着相关的响应、清理和机会成本，但对于大多数企业而言，业务中断是最大的成本。高级安全管理人员可以与网络操作人员、IT安全专业人员和其他利益相关者合作来制定并测试DDoS防御计划，以提高成功抵御攻击的机率。

　　面对越来越复杂的网络攻击，专注于DDoS防护的专业团队和产品则是更好的选择。对抗DDoS攻击并没有极为彻底的解决方案，因此企业也有责任让网络边缘变得更加健壮来对抗这种攻击。同时企业也应该考虑与本地边缘设备以及云DDoS服务供应商紧密合作，加强自身网络安全防御机制。