利認(rèn)為，如果防火墻中的Anti-DDoS功能不是單獨(dú)的板卡，一旦開(kāi)啟DDoS防護(hù)功能，可能會(huì)對(duì)防火墻的基本轉(zhuǎn)發(fā)，甚至?xí)挶淼荣Y源造成巨大的消耗，造成性能極大下降。對(duì)于DDoS的防護(hù)，必須要使用專用的Anti-DDoS設(shè)備或者專門的板卡。對(duì)于滿帶寬的DDoS攻擊，在鏈路上游對(duì)于流量的清洗是DDoS防御最為有效的方式。然而，從統(tǒng)計(jì)數(shù)據(jù)來(lái)看，數(shù)據(jù)中心發(fā)生的攻擊90%以上不足以造成數(shù)據(jù)中心出口帶寬擁塞，基本是以業(yè)務(wù)癱瘓型攻擊為主，只有10%不到的攻擊是將數(shù)據(jù)中心的鏈路完全擁塞的。

 

　　因此，如果是應(yīng)用型的DDoS攻擊，由于流量在本地帶寬控制以內(nèi)，所以本地清洗即可，一旦遇到針對(duì)基礎(chǔ)設(shè)施的大流量擁塞型泛洪攻擊，在鏈路上游的清洗還是必要手段。最完美的方式是將數(shù)據(jù)中心側(cè)和運(yùn)營(yíng)商側(cè)進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)分層防御。即運(yùn)營(yíng)商側(cè)管道擁塞型攻擊，數(shù)據(jù)中心側(cè)防范業(yè)務(wù)癱瘓型DDoS攻擊。華為的 Anti-DDoS解決方案目前在運(yùn)營(yíng)商側(cè)有廣泛應(yīng)用，結(jié)合數(shù)據(jù)中心側(cè)的Anti-DDoS可以實(shí)現(xiàn)全網(wǎng)聯(lián)動(dòng)的“云清洗”戰(zhàn)略。

 

　　隨著黑客技術(shù)發(fā)展、網(wǎng)絡(luò)帶寬的普遍增加、僵尸主機(jī)數(shù)量的不斷擴(kuò)大，現(xiàn)在的業(yè)務(wù)癱瘓型攻擊也不再是以前的百兆級(jí)別的了。在2012年，發(fā)現(xiàn)數(shù)起千兆級(jí)別的 CC攻擊，因此高性能是數(shù)據(jù)中心DDoS防護(hù)方案的重點(diǎn)。同時(shí)，對(duì)于攻擊防護(hù)的設(shè)備精準(zhǔn)度也必不可少。一方面，能夠精準(zhǔn)識(shí)別每一次攻擊；另一方面，誤判更是客戶不能容忍的。現(xiàn)在，智能終端的普遍應(yīng)用會(huì)給傳統(tǒng)的防護(hù)設(shè)備帶來(lái)更多的挑戰(zhàn)，如何保證智能終端訪問(wèn)不受影響成為新的課題。

 

　　郭慶認(rèn)為，雖然造成鏈路癱瘓的攻擊數(shù)量上少于出口帶寬，但正是這種DDoS攻擊對(duì)數(shù)據(jù)中心系統(tǒng)，甚至整個(gè)數(shù)據(jù)中心造成致命傷害。這時(shí)，數(shù)據(jù)中心需要考慮投入產(chǎn)出比，雖然不能一味地增加對(duì)于DDoS防護(hù)的投入。當(dāng)問(wèn)及數(shù)據(jù)中心在DDoS防護(hù)上的投入應(yīng)該如何做預(yù)算時(shí)，郭慶說(shuō)道：“數(shù)據(jù)中心一年受到DDoS大面積影響的總小時(shí)數(shù)期間損失利潤(rùn)的20%-30%作為流量清洗投資的預(yù)算較為合適。”

 

　　他談到在大規(guī)模DDoS攻擊發(fā)生時(shí)，整個(gè)網(wǎng)絡(luò)的上下游均出現(xiàn)故障，實(shí)現(xiàn)最佳的防御效果需要三個(gè)條件：1. 有經(jīng)驗(yàn)和技能的清洗專家； 2. 與上游運(yùn)營(yíng)商的熱線機(jī)制； 3. 快速檢測(cè)攻擊變化與應(yīng)急災(zāi)備能力。云清洗是DDoS防護(hù)的大趨勢(shì)，厲害的DDoS攻擊者手法多，變化快，時(shí)常需要定制正則語(yǔ)法來(lái)清洗，大規(guī)模攻擊的清洗位置越靠近上游越好。云清洗服務(wù)商需要具備自治域AS號(hào)進(jìn)行BGP路由調(diào)度控制與DNS全網(wǎng)策略控制能力，才能帶給客戶良好的網(wǎng)絡(luò)服務(wù)品質(zhì)。

 

　　他進(jìn)一步闡述道：頁(yè)面被篡改，數(shù)據(jù)泄露這種事情客戶是不會(huì)找運(yùn)營(yíng)商的，一般是自己關(guān)起門來(lái)商量對(duì)策。所以運(yùn)營(yíng)商在上游只需清洗大流量攻擊，清洗開(kāi)通后的關(guān)鍵是防止誤殺正常業(yè)務(wù)，這方面運(yùn)營(yíng)商需要專業(yè)的清洗技術(shù)服務(wù)。不過(guò)最近一些新型的攻擊導(dǎo)致客戶系統(tǒng)提供不了服務(wù)，如訪問(wèn)出錯(cuò)、頁(yè)面訪問(wèn)緩慢，客戶也會(huì)找到運(yùn)營(yíng)商一起判斷處理。這些新型的攻擊很多時(shí)候?qū)π阅苡休^大影響，嚴(yán)重的時(shí)候引起系統(tǒng)會(huì)宕機(jī)，有時(shí)很難快速分清現(xiàn)象根源，這也是需要專業(yè)清洗技術(shù)服務(wù)的原因。

 

　　郭慶還強(qiáng)調(diào)，云清洗是DDoS防御最終的發(fā)展方向，大規(guī)模DDoS清洗方向是運(yùn)營(yíng)商主導(dǎo)的云清洗聯(lián)盟機(jī)制，中小規(guī)模DDoS清洗方向是云清洗專業(yè)服務(wù)商。

 

　　今天，以云數(shù)據(jù)中心為依托提供各種服務(wù)的商業(yè)模式已日漸明朗。因此，云數(shù)據(jù)中心自身的可用性一直是業(yè)務(wù)永續(xù)運(yùn)行的關(guān)鍵因素，談云的信息安全威脅，首先要在可用性的前提下才能進(jìn)一步解決信息的完整性與保密性方面的問(wèn)題。

 

譚杰指出，安全邊界的模糊使得內(nèi)網(wǎng)安全與外網(wǎng)安全同等重要。因此建議數(shù)據(jù)中心構(gòu)建者做到如下四件事：第一，能夠嚴(yán)格地按區(qū)域劃分，不同的租戶，不同的應(yīng)用劃分至不同的安全域，使用安全產(chǎn)品進(jìn)行隔離與保護(hù)；第二，部署端到端的安全防御手段。例如運(yùn)行在VM上的安全設(shè)備，可以將防御能力部署到每一臺(tái)物理服務(wù)器上；第三，對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行嚴(yán)格管理。通過(guò)技術(shù)和管理手段規(guī)范BYOD行為，對(duì)僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)濫用等進(jìn)行有效防御；第四，使用多功能安全網(wǎng)關(guān)（如下一代防火墻或UTM）來(lái)替代傳統(tǒng)防火墻，在保護(hù)業(yè)務(wù)流量時(shí)，出于性能考慮，可能只會(huì)用到防火墻、IPS等功能，但在保護(hù)管理流量時(shí)，可啟用二至七層的多種安全功能（防病毒、應(yīng)用控