近期,某些地方的“健康碼”系統遭受不同程度的DDoS攻擊,為全國政務網路預防DDoS攻擊敲響了警鐘。綠盟科技根據各省/市的“健康碼”應用部署位置、網路架構和業務架構,提供了專業的DDoS攻擊防護方案,如:雲端防護方案、本地防護方案,雲地聯動方案等。各省市政務系統可結合業務實際情況,採用合適的防護方案。
01
雲端防護方案
雲上安心託管,專業團隊支撐,適用本地頻寬資源較小的政務系統
綠盟黑洞雲清洗服務全面覆蓋網際網路客戶,透過DNS解析,引流到高防中心進行清洗,雲清洗防護引擎採用的綠盟實體抗拒絕服務系統(NSFOCUS ADS)和綠盟網路流量分析系統(NSFOCUS NTA)的引擎,並利用豐富的頻寬儲備,幫助客戶抵禦對從網路層到應用層的大流量DDoS攻擊。支援IP接入和域名接入兩種場景的業務防護。目前,綠盟科技已擁有全球10大防護中心,覆蓋亞太、北美、拉美、歐洲等業務熱點地區。國內外5星資料中心,多線BGP線路優質網路鏈路,覆蓋客戶全球的業務防護需求。
綠盟黑洞雲清洗運營服務還提供免費源站健康檢查服務(基礎撥測服務),正式客戶享受7*24h DDoS攻擊應急服務,除了全面的攻擊事件分析報告之外,還提供網站流量分析月報等服務。
綠盟黑洞雲清洗原理示意圖
綠盟黑洞雲清洗服務已上線執行近十年,為政務外網、政務雲、網際網路企業、醫療、教育等多個行業的客戶提供服務,該方案具有頻寬大、延遲低、清洗準、模式多的四大特點:
超大防護頻寬
平臺擁有T級防護頻寬能力
標準產品可以對客戶提供單點600G+防護
單客戶最高1.7T抗D智慧排程
優質訪問體驗
機房多線BGP支援,讓鏈路質量得以保證
平均時延約60ms
精準識別演算法
智慧防護演算法,AI賦能不斷進化
每年超百萬次的防護,成功率超99.995%
多種組合模式
多種組合模式,包年模式,彈性包年模式靈活隨意選擇
02
本地防護方案
本地裝置防護,可基於業務特徵實現精細化策略配置,同時具有超高的防護時效性
該解決方案由綠盟網路流量分析系統(NSFOCUS NTA)、綠盟抗拒絕服務系統(NSFOCUS ADS)及綠盟抗拒絕服務系統管理中心(NSFOCUS ADS-M)組成。滿足客戶“可管理、可運營”的需求,同時本地裝置的防護可以最大限度降低檢測和清洗時延,提升防護時效性。方案可實現全面監控,及時發現DDoS攻擊;高效的防護能力,可按需觸發;具備資料彙總分析能力,簡化運維,同時提供了額外的增值運營能力。
本地防護方案原理示意圖
檢測——綠盟網路流量分析系統(NSFOCUS NTA)是一款基於網路流量分析技術,面向運營商、政企、資料中心、金融等市場推出的流量分析檢測產品,產品支援DPI和DFI兩種檢測模式,結合動態AI自學習演算法,可為使用者提供網路流量日常監控分析、異常攻擊流量實時告警、網內威脅發現(挖礦、Botnet、垃圾郵件等)的網路安全檢測裝置,單臺最高可支援30萬Flow/s的高效能檢測能力。同時內建多種牽引方式以及BGP Flow spec技術與路由器進行聯動,提高防護效率,最佳化清洗方案資源調配。另外,產品支援硬體部署與軟體部署兩種形態,滿足不同場景和方案的建設需求。
NTA主要能力彙總
清洗——綠盟抗拒絕服務系統(NSFOCUS ADS)作為綠盟流量清洗產品系列中的關鍵組成, ADS提供了單臺最大400Gbps的DDoS線速防護能力。透過部署 ADS裝置,可以對網路中的DDoS攻擊流量進行清洗,同時保證正常流量的訪問。 ADS採用叢集模式可以實現T級防護容量,提高整個系統抵禦海量DDoS攻擊的能力。
ADS主要能力彙總
管理——綠盟抗拒絕服務系統管理中心(NSFOCUS ADS-M)是綠盟科技流量清洗產品系列中的管理平臺,負責將來源於多個ADS裝置的資料進行關聯分析和處理;基於防護群組、業務域等邏輯物件進行業務使用者分組管理,提供群組化的賬號管理和策略控制;實現對ADS和 N他的集中管理功能。此外,ADS-M還能提供型別豐富的報表及使用者自服務系統,滿足運營商利用DDoS做增值服務的需要。產品支援硬體部署與軟體部署兩種形態,滿足多種場景和方案的建設需求。
03
雲地聯動方案
規避政務系統本地頻寬資源不足而被打滿的風險,同時提升運維效率,縮短攻擊影響的時間
為什麼需要雲地聯動方案?
原因1:只採用本地裝置進行防護,雖然防護時效性很高,但一般政務系統的頻寬資源比較少,無法應對超本地頻寬的大流量攻擊,一旦本地頻寬資源被打滿,業務仍會受影響。
單一本地防護,無法應對大流量攻擊
原因2:雲上託管的各類業務複雜,特性不一致,導致清洗策略配置相對粗獷,很難針對客戶業務特徵實現精細化的告警和清洗策略,因此可能存在漏殺、誤殺等情況。
僅靠雲清洗處理複雜攻擊常有漏殺或誤殺
綠盟科技在ADS盒子端實現聯動雲端,同步攻防狀態,設定本地DDoS頻寬告警閾值,當出口流量超過告警線後,盒子全自動將流量引流到雲清洗節點,保障客戶業務安全,整個清洗過程無需人工介入。雲地聯動方案不僅解決了小頻寬客戶大流量攻擊問題,還透過自動化運維技術,增強了使用者體驗,提升了防護效率。
雲地聯動方案原理示意圖
雲地聯動方案的核心能力介紹
1.黑洞雲清洗提供1.7T防護能力
黑洞雲清洗節點全球分佈,基於anycast技術,在不同的節點使用BGP協議同時對外宣告相同的目的IP地址,實現對DDoS攻擊流量的分散式防禦,最高單資源防護1.7T。
2.抗拒絕服務系統配置精細策略
本地部署串聯或並聯部署ADS,可以針對業務特徵配置精細策略,防護各類攻擊,處理各種已知、未知複雜攻擊。
3.雲清洗線路、源站線路線路自動切換
在沒有DDoS攻擊時,流量直接到源站,ADS自動判斷髮生攻擊頻寬資源緊張時,呼救雲清洗中心切換線路,則流量經過雲清洗再回注到源站。攻擊結束後,線路自動恢復正常。
雲地聯動方案價值:三最佳化兩降低