项目背景:
为了弥补目前安全设备(防火墙、入侵检测等)对DDoS攻击防护能力的不足,我们需要保护业务系统不受DDoS攻击的影响。不仅仅能够检测目前复杂的DDoS攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。DDoS攻击一般通过Internet上那些“僵尸”系统完成,由于大量个人电脑联入Internet,且防护措施非常少,所以极易被黑客利用,通过植入某些代码,这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时,只需要同时向这些将僵尸机发送某些命令,就可以由这些“僵尸”机器完成攻击。随着Botnet的发展,DDoS造成的攻击流量的规模可以非常惊人,会给应用系统或是网络本身带来非常大的负载消耗。
成功的DDoS攻击所带来的损失是巨大的。DDoS攻击之下的门户网站性能急剧下降,无法正常处理用户的正常访问请求,造成客户访问失败;服务质量协议(SLA)也会受到破坏,带来高额的服务赔偿。同时,公司的信誉也会蒙受损失,而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等,这些损失都是由于DDoS攻击造成的。
对该公司网络内的所有网络设备和计算机系统设备作安全风险评估后,确定需保护的重点设备,制定保护策略和相关设计依据并交由该公司技术管理部门审核批准实施。
项目目标:
需实现实现阻断DoS、DdoS攻击;实现拒绝各类基于网络层的服务攻击(如SYN Flood、UDP Flood / UDP DNS Query Flood、(M)Stream Flood、ICMP Flood以及连接耗尽等攻击行为);需实现严格控制客户端在服务器上建立的存活连接数和存活时间;需提供设备运行日志;需提供图形化的实时流量监控、日志信息通告和攻击信息报表;需提供可进行管理和配置的管理端口;采用桥模式,支持50M以内的攻击流量,无故障时间>=10万小时,SYN报文在10万pps环境下连接丢失率小于1%,发起连接成功率>99%,响应时间小于3秒。
部署方式:
针对该公司的大型IDC、城域网或骨干网,当发生海量DDoS攻击时,抗拒绝服务采用串联集群部署的方式。
在串联集群部署方式中,作为Master角色的Collapsar-D和其他若干台作为Slave角色的Collapsar-D设备“并联”在网络入口端。在攻击流量较小时,作为Master的Collapsar-D设备完成对DDoS攻击流量的异常检测和攻击清除的工作;当攻击流量增大时,Master角色设备会及时启动流量牵引机制,分流攻击流量至Slave角色设备,以均衡系统负载,保证整个网络的正常运行。
经济效益:
随着DDoS攻击工具不断的普遍和强大,Internet上的安全隐患越来越多,以及客户业务系统对网络依赖程度的增高,可以预见的是DDoS攻击事件数量会持续增长,而攻击规模也会更大,损失严重程度也会更高。由于这些攻击带来的损失增长,运营商、企业或是政府必须有所对策以保护其投资、利润和服务。
采用串联集群部署的方式,“黑洞”抗拒绝服务攻击产品提供了业界领先的DDoS防护能力,通过多种机制的分析检测机制以及灵活的部署方式,能够有效的阻断攻击,保证合法流量的正常传输,使通过网络提供服务的业务系统,保护其基础业务系统(包括Web、DNS、Mail、交换机、路由器或是防火墙)免受DDoS攻击的侵害,保证其业务系统运行的连续性。