上海聯(lián)通、華為云清洗服務(wù)聯(lián)合創(chuàng)新發(fā)布會現(xiàn)場
而對于為何選擇與華為進(jìn)行合作時���,魏尚俊也表示“同全球領(lǐng)先的供應(yīng)商方案對比,上海聯(lián)通發(fā)現(xiàn)華為產(chǎn)品目前在大容量高精度性能及服務(wù)方面表現(xiàn)最佳����。所以選擇與華為公司展開合作����,共同推出了這款云清洗服務(wù)產(chǎn)品��。”
IDC如何防護(hù) DDoS攻擊
目前DDoS攻擊手段越來越復(fù)雜��、攻擊流量越來越大等情況�����,如何有效防止IDC遭受DDoS攻擊所帶來的巨大損失�,對此魏尚俊表示:“首先上海聯(lián)通與華為技術(shù)在構(gòu)建云清洗方案時有幾個特別關(guān)注的性能,第一是高容量�,跟業(yè)界各種安全專家企業(yè)方案設(shè)計相比,普通的云清洗設(shè)備容量一般在幾十個G左右���,而華為設(shè)備容量可擴(kuò)展到T級��,也就是說在建設(shè)初期就已經(jīng)考慮到后期的兼容性和擴(kuò)展性問題���。第二華為方案采用了大數(shù)據(jù)分析技術(shù),并有專業(yè)的安全團(tuán)隊分析全球最新的攻擊工具及方法���,如對僵尸網(wǎng)絡(luò)活動進(jìn)行追蹤�,并將研究結(jié)果以僵尸網(wǎng)絡(luò)IP信譽(yù)���、攻擊特征庫的形式更新到現(xiàn)網(wǎng)設(shè)備上�,讓防護(hù)更加高效和精確�。第三華為方案采用了SDN技術(shù),可從源頭過濾攻擊流量���,亦可實(shí)現(xiàn)智能引流清洗����,在發(fā)生大流量DDoS攻擊時�����,最大限度地保護(hù)聯(lián)通的網(wǎng)絡(luò)帶寬��。”
另外��,魏尚俊還表示�����,“后期上海聯(lián)通還會針對不同客戶采用差異化的防護(hù)策略����,不僅僅在城域網(wǎng)采用逐包檢測+清洗的防護(hù)方案對IDC���、ISP客戶提供防護(hù)服務(wù)。對一些重要的VIP客戶���,我們還會考慮在客戶網(wǎng)絡(luò)接入處增加一個小型硬件設(shè)備�,實(shí)現(xiàn)檢測及客戶網(wǎng)絡(luò)帶寬范圍內(nèi)對DDoS攻擊進(jìn)行清洗��,真正實(shí)現(xiàn)快速有效的云清洗�。”
利用大數(shù)據(jù)技術(shù)預(yù)防DDoS攻擊
而在利用大數(shù)據(jù)技術(shù)防范DDoS攻擊方面,華為交換機(jī)與企業(yè)通信產(chǎn)品線安全產(chǎn)品經(jīng)理楊莉表示:“大數(shù)據(jù)技術(shù)主要體現(xiàn)在對流量模型的學(xué)習(xí)過程方面�����,華為基于全流量逐包方法建立的攻擊檢測模型支持60多種之多�。其特點(diǎn)主要包括兩部分:首先系統(tǒng)會自動學(xué)習(xí)客戶網(wǎng)絡(luò)的業(yè)務(wù)訪問流量模型,這個流量模型經(jīng)過長時間的學(xué)習(xí)���,形成防護(hù)網(wǎng)絡(luò)流量模型的 baseline�����。其次�����,還會將業(yè)界流行的DDoS攻擊定義為異常的流量模型�。系統(tǒng)會利用這些流量模型實(shí)現(xiàn)攻擊預(yù)警����,快速發(fā)現(xiàn)攻擊。”
另外�����,楊莉表示��,“防御過程當(dāng)中也會運(yùn)用到大數(shù)據(jù)分析技術(shù)�,防御系統(tǒng)向全球分析、共享的僵尸網(wǎng)絡(luò)IP信譽(yù)(僵尸網(wǎng)絡(luò)IP分析過程和信譽(yù)評估過程本身就是一種大數(shù)據(jù)技術(shù))���,并通過本地IP信譽(yù)白名單及黑名單機(jī)制�,高效過濾業(yè)務(wù)流�����,提升用戶體驗(yàn)�,同時直接阻斷位于黑名單列表的源IP的流量�,提升防御效率����。”
防止IDC淪為“僵尸云”
相信大家都有所耳聞亞馬遜云淪為“僵尸云”的報道。對此�,楊莉也表示,“華為Anti-DDoS方案在針對DC的防護(hù)上�����,不僅支持傳統(tǒng)的Inbound(對內(nèi)) DDoS攻擊防護(hù)�����,還支持Outbound(對外) DDoS攻擊防護(hù)���,針對Outbound DDoS攻擊�。傳統(tǒng)DC和云DC的服務(wù)器因?yàn)榫哂袃?yōu)勢的計算能力���、超大可用的網(wǎng)絡(luò)帶寬以及實(shí)時在線性����,很多都淪為了僵尸主機(jī),成為網(wǎng)絡(luò)異常流量的源頭�����。
同時�,楊莉認(rèn)為,“針對DC的Outbound DDoS防御不適合采用傳統(tǒng)的DDoS防御技術(shù)����,由于源認(rèn)證引起的流量會使DC內(nèi)部帶寬雪上加霜���。華為系統(tǒng)采用包括僵尸網(wǎng)絡(luò)IP信譽(yù)����、僵尸網(wǎng)絡(luò)通訊報文特征����,還有C&C域名等僵尸網(wǎng)絡(luò)檢測技術(shù)來識別、阻斷僵尸網(wǎng)絡(luò)控制報文��。因此����,即使DC內(nèi)部服務(wù)器感染了僵尸網(wǎng)絡(luò),來自C&C的控制報文因被阻斷,得不到命令���,自然就解除了DC內(nèi)部服務(wù)器中僵尸之后向外發(fā)起異常流量的攻擊威脅��。針對DC的Outbound DDoS攻擊防御是華為方案的主要特點(diǎn)之一���,這也是華為方案基于全流量逐包檢測所具備的主要優(yōu)勢。”
DDoS云清洗提供差異化服務(wù)
據(jù)悉���,DDoS云清洗服務(wù)目前主要服務(wù)于上海聯(lián)通所有企業(yè)級用戶及IDC�、CDN等用戶���。而針對不同行業(yè)用戶上海聯(lián)通也提供了相應(yīng)的差異化服務(wù)�,魏尚俊表示:“上海聯(lián)通云清洗業(yè)務(wù)的服務(wù)對象是基于互聯(lián)網(wǎng)行業(yè)���,在互聯(lián)網(wǎng)上提供業(yè)務(wù)的客戶���,不同的客戶有不同的業(yè)務(wù)場景,如機(jī)場�、校園網(wǎng)、網(wǎng)吧防護(hù)需求因業(yè)務(wù)不同而存在較大差異�����。校園網(wǎng)主要以遠(yuǎn)程教育、在線課堂��、學(xué)術(shù)論壇等在線業(yè)務(wù)為主;機(jī)場主要以航班查詢��、機(jī)票預(yù)訂等在線業(yè)務(wù)為主�����,他們的共同特點(diǎn)是容易遭受應(yīng)用型的CC攻擊���。網(wǎng)吧客戶以游戲?yàn)橹鳎蛻糇⒅馗咚倬W(wǎng)絡(luò)體驗(yàn)�����,而網(wǎng)吧的特點(diǎn)是行業(yè)間惡意競爭導(dǎo)致的安全事件頻發(fā)��,尤其是以DDoS攻擊擠占帶寬����。不同用戶攻擊類型不一樣,防護(hù)需求也不一樣���,上海聯(lián)通會針對于不同客戶提供基于業(yè)務(wù)防護(hù)需求的差異化防護(hù)�。
另外,魏尚俊表示:“云清洗服務(wù)作為上海聯(lián)通邁向網(wǎng)絡(luò)安全領(lǐng)域的第一步����。在未來,上海聯(lián)通準(zhǔn)備面向安全服務(wù)領(lǐng)域鑄造全新的綜合品牌����,并愿與華為展開進(jìn)一步合作,包括針對企業(yè)安全方面提供企業(yè)安全咨詢服務(wù)���、企業(yè)安全檢測服務(wù)等����,并在架構(gòu)實(shí)方面實(shí)現(xiàn)聯(lián)動����。我們相信通過與華為的進(jìn)一步合作,上海聯(lián)通將面向用戶提供更多的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)�����。”
最后�,我們不得不說����,華為在大數(shù)據(jù)及SDN技術(shù)方面的不斷發(fā)展創(chuàng)新��,無疑為網(wǎng)絡(luò)安全市場注入了一股新鮮力量�,為安全服務(wù)提供商及用戶實(shí)現(xiàn)DDoS攻擊防御及業(yè)務(wù)創(chuàng)新提供了基礎(chǔ)保障,并從“源頭”做起�,有效保障了IDC及企業(yè)業(yè)務(wù)的安全流暢運(yùn)行。
