防火墙技术支持
DDoS 流量清洗解决方案七大误区 > 防火墙技术支持 > 技术支持 > 首页

DDoS 流量清洗解决方案七大误区

咨询相关产品价格和解决方案请致电010-85974776 发送您的问题
qq0.png

DDoS 流量清洗解决方案七大误区

DDoS攻击愈演愈烈,攻击的规模也越来越大。用户应该如何选择DDoS流量清洗方案、产品,才能避免无谓的设备采购,最终选择适合自己的产品,达到控制成本的同时又能有效防御DDoS攻击。本文阐述了DDoS流量清洗产品选型的七大误区,以及相应的注意事项。

误区一:选择防火墙或入侵检测IPS来清洗DDoS

分析:防火墙与入侵检测IPS通常串行部署在网络下游的网关位置,是基于状态检测的访问控制系统,本身就是DDoS的攻击目标,在新建连接与状态连接耗尽时成为瓶颈。

DDoS最佳防护实践就是:流量清洗中心加上运营商BGP路由调度控制

误区二:选择清洗设备的性能远高于自己的出口带宽

分析:有些客户网络出口带宽只有100M,厂商却推荐选择1G甚至4G清洗设备。

标准的云清洗说法是本地清洗应用型DDoS攻击,云端清洗流量型DDoS攻击。

误区三:选择清洗系统时只看设备硬件指标,忽视厂家攻击清洗技术专业能力

分析:厂家缺乏有经验和技能的清洗专家,不具备与上游运营商实时沟通,快速检测攻击与攻击应急灾备能力。客户只是买到一个硬件盒子,平时没人看,急用现调试。

DDoS清洗的最佳实践理念是“三分产品技术,七分设计服务”。

误区四:选择清洗设备时只看端口吞吐量性能,忽视小包处理能力与正则匹配下的处理性能。

分析:清洗设备标称的处理性能指标通常是实验室测试标准,在现网实际小包攻击与正则匹配下性能剧降,10G性能指标的清洗设备现网小包清洗能力不过4G左右。

误区五:选择清洗系统只看硬件清洗异常流量性能,忽视清洗后正常业务流量的通过性能。

分析:清洗设备没有可预期的正常流量通过能力,当清洗DDoS系统的硬件资源被异常流量占用时,正常流量通过能力剧降,系统无法预设与分配处理异常流量与正常流量的硬件资源配置。

误区六:选择DDoS云清洗服务同时希望提供加速等一揽子其他功能。

分析:应用加速与流量清洗在同一个数据中心出口下处理时相互干扰。在他人被攻击时,自己易受影响。

应用加速与流量清洗在小规模攻击的情况下同时提供比较现实。

误区七:选择云清洗服务商的清洗位置过于靠近下游,且不具备BGP路由调度控制能力。

分析:大规模DDoS攻击发生时,整个网络上下游均出现故障,客户最大的问题是不知道电话打给谁去解决。

云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力,才能带给客户网络服务可用性一片合泰云天。

DDoS 流量清洗解决方案七大误区

咨询相关产品价格和解决方案请致电010-85974776 发送您的问题
qq0.png
运营商级云主机产品培训活动
云主机产品.png成本.png 通过虚拟化技术整合网络、服务器、存储资源,为企业客户提供基础架构服务。根据业务需求,企业客户可灵活选择多至8核心CPU计算资源;16GB内存、1TB存储资源;以及单线或双线BGP独享带宽。 点击查看
VMware vSphere 基础架构虚拟化解决方案
VMware vSphere 云计算基础架构.pngVMware vSpherer 5.1.png VMware 云计算基础架构是将离散、孤立的基础架构组建移动到可以全面托管的基础架构中,从而降低基础架构的复杂性。通过高效池化、提高可操作进程的自动化水平以及适当利用可用的公共云服务来充分利用各种资源...... 点击查看
企业级--基础架构虚拟化解决方案(FC)
IV HP DL380 GEN8.jpgIV HP P6300 EVA M6612.jpg 企业级--基础架构虚拟化解决方案(FC)使用 HP DL380p Gen8 服务器、Brocade ICX 6430-24 千兆网络交换机、Brocade BR-5140 光纤交换机,HP P6300...... 点击查看
Palo Alto 新一代防火墙概述(概念篇)
Palo Alto Parallel Processing.pngUser-ID.jpg 应用程序行为的最新变化和使用模式正在不断威胁传统防火墙曾经提供的保护措施。用户经常从任意位置访问任意应用程序,以便完成他们的工作。许多此类应用程序使用非标准端口、动态端口或加密技术来简化用户访问流程和...... 点击查看