當“健康碼”系統遭遇DDoS攻擊了該怎麼辦？

近期，某些地方的“健康碼”系統遭受不同程度的DDoS攻擊，為全國政務網路預防DDoS攻擊敲響了警鐘。綠盟科技根據各省/市的“健康碼”應用部署位置、網路架構和業務架構，提供了專業的DDoS攻擊防護方案，如：雲端防護方案、本地防護方案，雲地聯動方案等。各省市政務系統可結合業務實際情況，採用合適的防護方案。

01

雲端防護方案

雲上安心託管，專業團隊支撐，適用本地頻寬資源較小的政務系統

綠盟黑洞雲清洗服務全面覆蓋網際網路客戶，透過DNS解析，引流到高防中心進行清洗，雲清洗防護引擎採用的綠盟實體抗拒絕服務系統（NSFOCUS ADS）和綠盟網路流量分析系統（NSFOCUS NTA）的引擎，並利用豐富的頻寬儲備，幫助客戶抵禦對從網路層到應用層的大流量DDoS攻擊。支援IP接入和域名接入兩種場景的業務防護。目前，綠盟科技已擁有全球10大防護中心，覆蓋亞太、北美、拉美、歐洲等業務熱點地區。國內外5星資料中心，多線BGP線路優質網路鏈路，覆蓋客戶全球的業務防護需求。

綠盟黑洞雲清洗運營服務還提供免費源站健康檢查服務（基礎撥測服務），正式客戶享受7*24h DDoS攻擊應急服務，除了全面的攻擊事件分析報告之外，還提供網站流量分析月報等服務。

綠盟黑洞雲清洗原理示意圖

綠盟黑洞雲清洗服務已上線執行近十年，為政務外網、政務雲、網際網路企業、醫療、教育等多個行業的客戶提供服務，該方案具有頻寬大、延遲低、清洗準、模式多的四大特點：

超大防護頻寬

平臺擁有T級防護頻寬能力

標準產品可以對客戶提供單點600G+防護

單客戶最高1.7T抗D智慧排程

優質訪問體驗

機房多線BGP支援，讓鏈路質量得以保證

平均時延約60ms

 精準識別演算法

智慧防護演算法，AI賦能不斷進化

每年超百萬次的防護，成功率超99.995%

多種組合模式

多種組合模式，包年模式，彈性包年模式靈活隨意選擇

02

本地防護方案

本地裝置防護，可基於業務特徵實現精細化策略配置，同時具有超高的防護時效性

該解決方案由綠盟網路流量分析系統（NSFOCUS NTA）、綠盟抗拒絕服務系統（NSFOCUS ADS）及綠盟抗拒絕服務系統管理中心（NSFOCUS ADS-M）組成。滿足客戶“可管理、可運營”的需求，同時本地裝置的防護可以最大限度降低檢測和清洗時延，提升防護時效性。方案可實現全面監控，及時發現DDoS攻擊；高效的防護能力，可按需觸發；具備資料彙總分析能力，簡化運維，同時提供了額外的增值運營能力。

本地防護方案原理示意圖

檢測——綠盟網路流量分析系統（NSFOCUS  NTA）是一款基於網路流量分析技術，面向運營商、政企、資料中心、金融等市場推出的流量分析檢測產品，產品支援DPI和DFI兩種檢測模式，結合動態AI自學習演算法，可為使用者提供網路流量日常監控分析、異常攻擊流量實時告警、網內威脅發現（挖礦、Botnet、垃圾郵件等）的網路安全檢測裝置，單臺最高可支援30萬Flow/s的高效能檢測能力。同時內建多種牽引方式以及BGP Flow spec技術與路由器進行聯動，提高防護效率，最佳化清洗方案資源調配。另外，產品支援硬體部署與軟體部署兩種形態，滿足不同場景和方案的建設需求。

NTA主要能力彙總

清洗——綠盟抗拒絕服務系統（NSFOCUS ADS）作為綠盟流量清洗產品系列中的關鍵組成， ADS提供了單臺最大400Gbps的DDoS線速防護能力。透過部署 ADS裝置，可以對網路中的DDoS攻擊流量進行清洗，同時保證正常流量的訪問。 ADS採用叢集模式可以實現T級防護容量，提高整個系統抵禦海量DDoS攻擊的能力。

ADS主要能力彙總

管理——綠盟抗拒絕服務系統管理中心（NSFOCUS ADS-M）是綠盟科技流量清洗產品系列中的管理平臺，負責將來源於多個ADS裝置的資料進行關聯分析和處理；基於防護群組、業務域等邏輯物件進行業務使用者分組管理，提供群組化的賬號管理和策略控制；實現對ADS和 N他的集中管理功能。此外，ADS-M還能提供型別豐富的報表及使用者自服務系統，滿足運營商利用DDoS做增值服務的需要。產品支援硬體部署與軟體部署兩種形態，滿足多種場景和方案的建設需求。

03

雲地聯動方案

規避政務系統本地頻寬資源不足而被打滿的風險，同時提升運維效率，縮短攻擊影響的時間

為什麼需要雲地聯動方案？

原因1：只採用本地裝置進行防護，雖然防護時效性很高，但一般政務系統的頻寬資源比較少，無法應對超本地頻寬的大流量攻擊，一旦本地頻寬資源被打滿，業務仍會受影響。

單一本地防護，無法應對大流量攻擊

原因2：雲上託管的各類業務複雜，特性不一致，導致清洗策略配置相對粗獷，很難針對客戶業務特徵實現精細化的告警和清洗策略，因此可能存在漏殺、誤殺等情況。

僅靠雲清洗處理複雜攻擊常有漏殺或誤殺

綠盟科技在ADS盒子端實現聯動雲端，同步攻防狀態，設定本地DDoS頻寬告警閾值，當出口流量超過告警線後，盒子全自動將流量引流到雲清洗節點，保障客戶業務安全，整個清洗過程無需人工介入。雲地聯動方案不僅解決了小頻寬客戶大流量攻擊問題，還透過自動化運維技術，增強了使用者體驗，提升了防護效率。

雲地聯動方案原理示意圖

雲地聯動方案的核心能力介紹

1.黑洞雲清洗提供1.7T防護能力

黑洞雲清洗節點全球分佈，基於anycast技術，在不同的節點使用BGP協議同時對外宣告相同的目的IP地址，實現對DDoS攻擊流量的分散式防禦，最高單資源防護1.7T。

2.抗拒絕服務系統配置精細策略

本地部署串聯或並聯部署ADS，可以針對業務特徵配置精細策略，防護各類攻擊，處理各種已知、未知複雜攻擊。

3.雲清洗線路、源站線路線路自動切換

在沒有DDoS攻擊時，流量直接到源站，ADS自動判斷髮生攻擊頻寬資源緊張時，呼救雲清洗中心切換線路，則流量經過雲清洗再回注到源站。攻擊結束後，線路自動恢復正常。

雲地聯動方案價值：三最佳化兩降低