紫金DDoS部署方案在金融行业的应用
作者:于涛
来源:《中国金融电脑》 2017年第4期
分布式拒绝服务(DistributedDenial of Service,DDoS) 攻击是拒绝服务攻击的一种,其攻击的目的主要在于资源占用和资源消耗,攻击者利用分布式的客户端(傀儡主机),向服务提供者发起大量看似合法的请求,消耗或长期占用大量资源,从而达到拒绝服务的目的。从不同的角度看,DDoS 攻击的方法有不同的分类标准,依据消耗目标资源的不同,可以把DDoS 攻击分为攻击网络带宽资源、攻击系统资源和攻击应用资源三类。
对于金融行业来说,安全性永远是第一位的。攻击者通过实施大量DDoS 攻击将会给企业带来巨大的损失,例如,实施网络带宽资源的攻击将会极大占用企业出口网络宝贵的带宽资源,造成企业出口带宽拥塞。实施系统资源攻击将会占满业务服务器系统可用资源,造成无法处理客户的正常访问请求。但是一般企业现有的防护设备,如防火墙、入侵防御设备都无法有效防止DDoS 攻击,因为DDoS 攻击从表面看都是合理的请求,这些防护设备都会误认为DDoS 流量是正常的访问流量从而全部放行。所以,如何有效地应对 DDoS 攻击,保护关键业务和重要资源已经成为了金融行业值得思考一个重要问题。
深圳市紫金支点技术股份有限公司( 以下简称“紫金公司”) 一直致力于为金融行业客户推出安全解决方案,其中关于如何帮助客户搭建一个安全合理并且高效的DDoS防护安全体系是紫金公司多年来所追求的目标。经过多年的商用案例和服务支持积累的丰富经验,紫金公司总结出一套自己的DDoS 安全解决方案体系与流程。紫金DDoS安全解决方案由四部分组成。
1. 了解客户实际需求
第一部分就是前期与客户不断地沟通交流,了解和搜集客户的需求,其中包括客户企业的流量流向(路由设计)、带宽占率、设备数量及链路类型等,这样可以对客户的网络有一个清晰的了解,对后续DDoS的环境搭建有着重要参考意义。
2. 选择DDoS 实际部署方案
第二部分就是为客户选择合适的部署方案。DDoS 设备部署基本分成两种,一种是直连部署模式,如图1 所示。另一种是旁路部署模式,如图2 所示。所谓直连部署是指将DDoS 设备串接在两个网络设备之间,使两个网络设备之间的流量都流经DDoS 设备。
直连部署方案的好处:(1)DDoS 设备一般都是以透明模式接在客户现网环境中,不会改变客户的原有拓扑结构;(2)所有流量经过客户网络都会经过在线实时的清洗,可以为客户的网络提供精细化的流量检测能力。但是使用直连部署的方式也会存在一些问题,比如直连部署会造成单点故障,还有在用户割接业务时有造成业务中断的风险。
旁路部署的好处:(1)可避免网络单点故障,设备自身问题不会影响正常业务流量的转发;(2)提供按需防护,即仅对可疑流量进行牵引,而通往其他目的地的流量将不受任何影响,按正常路径进行转发,网络正常的业务和性能将不受影响。但是旁路部署也有问题,那就是DDoS 检测设备需要通过分光或镜像接入网络,清洗设备需要通过引流和回注接入网络,配置比较复杂,并且需要改变客户原有的网络架构,需要客户重新规划地址网段,这样会增加客户的运维压力。
3. 选择引流、回注方案
第三部分就是紫金公司为客户企业选择适合企业网络架构的流量引导方法,通常引流、回注模式的DDoS 都是旁路部署模式。引流的含义表示当DDoS 设备检查到有异常攻击流量的时候,DDoS 设备会把异常流量通过路由协议(静态、动态)与从接入流量设备上引导到DDoS 设备进行清洗异常流量处理,清洗后的干净流量回注到原来的网络中,并通过策略路由或者静态路由、搭建VPN 等方式回注到正确的下一级网络出口,正常到达访问目标服务器。紫金公司在为客户推出DDoS 防护方案时会充分考虑客户的实际组网情况,并从中挑选出适合客户内部网络的引流、回注方式。
4. 搭建DDoS 管理中心
第四部分就是关于DDoS 安全架构管理中心的搭建模式,基本上DDoS 管理中心的部署方式分为两种,一种是集中部署,一种是分布式部署。集中部署的含义就是当客户网的局域网络有多台DDoS 防护设备的时候,客户使用一台管理服务器就可以对所有的DDoS 设备进行相应的纳管。分布式部署适用于DDoS设备分布在广域网各处的场景。紫金公司会基于前期的沟通以及多年的项目实践经验为客户推荐一种合适的DDoS 控制中心搭建方式。
目前,紫金公司已经成功为国内多家金融机构行业部署了上述的DDoS 安全防护方案, 这套DDoS方案最大的特点就是能够根据客户的实际需求,创建一个专属于企业客户的安全DDoS 防御网络, 经过客户实际测试和运行,部署紫金公司DDoS 安全防护方案可以为客户提供很强的抗DDoS 和反黑客能力,而且设备稳定性好、可靠性高,完全满足大型金融企业网对防御DDoS 攻击的苛刻要求。
