产品定义 | 抗拒绝服务攻击产品 Anti-DoS attack product对拒绝服务攻击进行识别和拦裁,从而减轻其危害程度的产品。抗DDoS设备即流量清洗设备,内部有一套完整的机制可以区分哪些流量是用户正常流量和僵尸网络流量, |
解决安全问题 | 抗DDoS攻击 |
主要技术 | 主要技术应该仍是流量过滤,将可能引起反射放大、或者洪攻击包进行过滤阻断。 1、IP轮询技术 对稳定性、流畅性以及安全性上要求较高的业务,用户遭受 DDoS 攻击且达到一定峰值时,系统通过 IP 轮询机制,将从IP 池中灵活调取一个新的 IP 充当业务 IP,使攻击者失去攻击目标,以此保证业务在 DDoS 的攻击下正常运转。 2、BGP 高防 IP 当用户应用 BGP 高防 IP 且配置转发规则和域名回源后,此时所有的访问流量都将流经 BGP 高防 IP 集群,通过端口协议转发的方式(支持网站业务和非网站业务)将访问流量转发至源站,同时攻击流量将在 BGP 高防 IP 集群进行清洗和过滤,只会将正常业务流量返回至源站,从而确保源站业务的稳定。 3、运营商过滤 针对反射放大类攻击,都有相同的特点,可以直接在运营商侧进行过滤,不用将流量流入抗D设备,从而使防御与反射放大类压制更有效果。 |
部署架构 | 一般串联部署与互联网最外侧,防止大规模僵尸网络入侵 |
选购要点 | |
实施使用注意点 | 黑客如果直接攻击用户业务服务器的IP,就会绕过云抗D中心。为了防止这种情况出现,最简单的解决方案是,用户的业务服务器提供两个IP,IP1是平时使用的,对外暴露,IP2平时不使用,同时限制IP2仅允许云抗D中心的IP段访问,一旦切入云抗D中心后,联系机房拉黑IP1,同时启用IP2即可,通常IP1和IP2可以指向同一服务器或者负载均衡。 |
相关标准 | GA∕T 1137-2014 信息安全技术 抗拒绝服务攻击产品安全技术要求 GA∕T 1714-2020 信息安全技术 异常流量检测和清洗产品安全技术要求 YD∕T 2272-2011 网络异常流量清洗系统技术要求 RB∕T 205-20145.1 抗拒绝服务系统安全评价规范 |
安全不足点 |