方案背景
DDoS (Distributed Denial of Service, 分布式拒绝服务) 由DoS演进而来。DDoS攻击模式不规则,技术复杂,攻击持续时间长,倾向于针对多种方式的组合攻击。在过去的几年,有报告调查统计显示,200+Gbps或以上的攻击流量已经变得司空见惯了。这种大规模的、大流量的攻击,特别是随着针对应用层的HTTP GET / POST flood攻击的增加,攻击频率更高、持续时间更长、复杂度更高。
通过旁路方式部署NFP平台,将受保护的网络流量牵引至NFP设备上,经过高达32个DDos实例,提供DDoS 清洗能力,确保安全流量通行。
防护技术
—
在华耀NFP网络功能平台上,可以部署多达32个抗DDoS实例,并且每个实例所占用的CPU、内存、SSL加速等资源互相独立。在突发的海量DDoS攻击面前,NFP平台上瞬间“激活”这32个抗D实例组合成抗D“大坝”以缓解攻击,并且当攻击过后,也可以随时释放多余的抗D实例。
异常流量检测
—
NFP设备依托高性能架构平台,采用“感知+防护+记忆”的策略自学习生成算法,有效应对各种各样的拒绝服务攻击。创新使用立体可视化的监控统计系统,可以直观地进行异常流量预警和攻击统计,实现事前响应、事中处理和事后分析。
攻击流量清洗
—
NFP具有丰富的设备管理功能,提供内容丰富的攻击报表和攻击审计日志方便的提供使用运维的便利性。它不仅可以提供本地报告也可以通过云管平台进行攻击状态的实时监测展示,便于对攻击事件进行有效的溯源调查。
攻击报告
—
对于DDos的攻击流量, NFP采用如下核心技术:全量检测、 基线学习、动态阈值、代理防护、反向验证。NFP可以对恶意流量进行防范处理,智能的攻击检测及防护,有效清洗CC攻击、慢速连接攻击等攻击。
NFP抗DDoS方案
方案价值
更高的防护性能
应用层防护算法逐一突破,联合调优
防护体系灵活扩充,统一管理
及时的流量牵引和回注
DDoS防护实例在NFP上拥有相互隔离的运行环境, 互不干扰, 使实例性能更接近物理机的性能。在此基础上结合vAPV的服务器负载功能,将所有运行的DDoS实例有机整合调度,实现性能的横向扩展,防护效能更大化。
NFP采用全量检测技术,可以实现实时IP的流量跟踪,对IP进行DDoS检测。识别诸如网络层攻击,如TCP协议栈等;应用层攻击,如HTTP GET/POST攻击等,慢速攻击,如slowloris等攻击。识别到异常流量,NFP平台可以瞬时完成流量的牵引,减少服务器过载可能性。通过TCP Option字段的设置和读取技术,实现了对流量高细粒度的记录和识别,使服务器做出准确响应。
NFP平台与DDoS实例进行对接,对防护算法进行单点突破后,再整体联调。即使全线防护算法同时开启,系统依然稳定运行,从而实现7层DDoS防护完整性的提升。
可弹性调配的DDoS防护能力既能应对突发的海量攻击,也能随时释放多余DDoS实例,并且在企业的防护体系建设过程中,NFP可以充分体现平台化的优势,满足多种防护功能实例灵活扩充,实现集中管理。
适用行业
大型企业
政府
互联网
云服务提供商
|
|
