技術(shù)需求
大流量異常問題:業(yè)務(wù)發(fā)布后�����,會隨業(yè)務(wù)的訪問率慢慢提升帶寬的使用���,在這個變化過程中,會有突發(fā)流量的產(chǎn)生�����,為了區(qū)別這些流量是否是正常業(yè)務(wù)流量�,還是攻擊流量,帶寬的耗損直接會導(dǎo)致用戶訪問品質(zhì)下降����。
大量HTTP頁面的請求:正常提供業(yè)務(wù)時����,每臺業(yè)務(wù)服務(wù)器達到自身業(yè)務(wù)能力上限時����,服務(wù)器就會將請求丟入堆棧進行等待處理,導(dǎo)致用戶訪問速度緩慢���,喪失耐心的用戶會對該網(wǎng)站失去訪問的興趣��,給提供業(yè)務(wù)方帶來不小的資源損失�。
節(jié)點設(shè)備的性能問題:發(fā)生大規(guī)DDoS攻擊時����,會伴隨大量64k字節(jié)的小包,加速節(jié)點設(shè)備處理性能的耗損��,直至設(shè)備性能不足����,宕機或者半宕機狀態(tài),直接造成網(wǎng)絡(luò)連通性下降及網(wǎng)絡(luò)中斷的問題���。
可視直觀的日志回溯:當(dāng)攻擊發(fā)生后��,所有的信息被記錄在一個數(shù)據(jù)庫內(nèi)����,為了更方便更直觀的了解細節(jié),我們可以采用定制過濾及圖形報表的方式�,來呈現(xiàn)給使用方,更直觀更便捷的了解網(wǎng)絡(luò)內(nèi)發(fā)生的事����,對日后提升安全措施提供參照�����。
解決方案: DefensePro
美特斯邦威一共有兩個容災(zāi)機房�����,一個位于總部的康橋機房��,另一個是位于六灶的備用機房��,未來這兩個機房會實現(xiàn)全局容災(zāi)����,完全避免單點站故障導(dǎo)致業(yè)務(wù)中斷問題�。
康橋機房內(nèi)�,將DefensePro2016串接在應(yīng)用應(yīng)用負載及出口三層交換機之間,所有設(shè)備使用雙機熱備冗余的方式����,DefensePro2016也串接在兩邊容災(zāi)線路上。
六灶備用機房內(nèi)��,原先已經(jīng)部署了LinkProof鏈路負載均衡����,通過802.1q技術(shù),單線路連接到兩條Internet出口及內(nèi)網(wǎng)服務(wù)器的三層交換機上���,將DefensePro2016直接串接在Internet接入層交換機和出口Internet線路之間�����。
上述兩個機房部署了相同的安全過濾模塊�,幫助后臺業(yè)務(wù)站點防御DDoS���,HTTP Floods等攻擊�,對一些非法的行為進行阻斷防護,實現(xiàn)入侵防御的功能��。
選擇Radware DefensePro的原因:
DefensePro只需要18秒時間即可防DDoS攻擊����,且誤判率在業(yè)界最低,它還可以提供對HTTP Floods的防御機制�����,同樣使用了多種量化及質(zhì)化的攻擊定位���,區(qū)分識別大量非業(yè)務(wù)性的HTTP請求��,可給提供服務(wù)商和使用服務(wù)的用戶創(chuàng)造一個安全潔凈的互聯(lián)網(wǎng)環(huán)境�。
結(jié)果和效益
DefensePro的部署為邦購提供了業(yè)界最佳的站點服務(wù)防護能力:
站點免受了來自互聯(lián)網(wǎng)大量的DDoS攻擊����,保障業(yè)務(wù)帶寬免受攻擊的耗損����,
解決了出口及內(nèi)部服務(wù)器免受DDoS攻擊后的性能不足問題。
抵御了時下最新發(fā)展起來的HTTP Floods攻擊����,識別及防范秒殺業(yè)務(wù)的非法流量及請求����,減少了用戶的經(jīng)濟損失及提高了對業(yè)務(wù)提供商的信心��。
使用了新硬件平臺����,提升了整體性能,高速交付數(shù)據(jù)�����,使串接導(dǎo)致網(wǎng)絡(luò)瓶頸的難問題得到很好的解決�。
詳細及動態(tài)的日志報表系統(tǒng),為用戶提供直觀及美化的安全報告�����。
Radware部署DefensePro解決方案后��,美特斯邦威邦購在線電子交易平臺能夠抵御來自互聯(lián)網(wǎng)絡(luò)的多樣性的DDoS攻擊(網(wǎng)絡(luò)層及HTTP層)���,減少設(shè)備宕機次數(shù)并延長無故障工作時間�,將提高美特斯邦威在大眾心中的信譽度,為打造國內(nèi)一流的品牌奠定扎實的基礎(chǔ)����。
果-1.jpg)
