DDOS防火墙在企业机房的应用介绍DDoS

2010-08-16    来源:ZDnet    
相信不少有过托管经验的朋友都碰到过这种情况:服务器本来还正常运行,但是突然无法访问,ping也都是超时,去ping同一IP段的其他地址也都是类似情况,打电话到机房才知道机房遭到

  相信不少有过托管经验的朋友都碰到过这种情况:服务器本来还正常运行,但是突然无法访问,ping也都是超时,去ping同一IP段的其他地址也都是类似情况,打电话到机房才知道机房遭到DDOS(拒绝服务估计,一种通过发动大量客户机请求消耗被攻击服务器或是被攻击机房带宽的网络攻击手段,造成被攻击者网络超负荷,无法被外界访问)。碰到这种情况,相信用户也是非常无奈,除了等机房解决问题之外束手无策。

  的确,随着互联网的飞速发展,网络安全已经成为一个巨大问题,网络恶性攻击日益突出,解决DOS攻击也是IDC行业必须要解决的问题。为了机房服务器的稳定运行,作为站在抵御DDOS第一线的硬件防火墙设备也是面临巨大考验,用户对防火墙的整体性能提出了越来越高的要求,一旦发生大流量攻击事件时,往往最先失去抵抗能力的就是发生在这里,如果流量达到一定的程度可以将整个机房的上层设备带宽堵满,形成网络瓶颈和系统单点故障,导致整个网络中断。

  不幸的是,国内不少机房并没有采用DDOS硬件防火墙,包括一些大型的机房都是如此,我们看到的不少带千兆硬防的托管、虚机广告其实是运营商自己购买硬件防火墙再加上去,这种防护方式有个很大的缺陷,就是运营商自己拿到的机房带宽是比较少的,这点带宽如果真正发生DDOS攻击的时候其实很快就被耗尽了,也就是说防火墙硬件的负载还没多大,防火墙接入的带宽就耗尽了,因此防火墙这时只是一个摆设;真正防护效果好的方案应该是由机房方面将防火墙或者防火墙群集放在机房网络出口,把DDOS挡在机房的门口,因为整个机房的总带宽比较大,因此黑客发动的DDOS攻击如果要耗尽整个机房的带宽也不是一件那么容易的事。

  在防火墙集群系统中,将单台防火墙体系升级成多台防火墙集群多层联路结构防护,升级后针对SYN攻击防护能力将提升成倍的效果,可以有效防护各种类型的DOS攻击。将防火墙集群理论技术与思想成功应用于防火墙产品能够有效实现防火墙的高可用性(High Availability),从而保证网络及业务系统的持续性。防火墙集群技术区别于以往防火墙单向,单线,单机导通的过滤机制,该机制支持双机负载防护,多机负载防护,以及单机多线负载防护的过滤功能。集群防火墙负载均衡,为冗余的防火墙部署提供了更高的可用性。

  所以,选择硬件防火墙服务不能只看运营商是否提供这个服务,还要看运营商为你提供的机房有没有硬防,如果防火墙是机房架设的,那么效果要比运营商或者代理商自己架设的好很多。

  那么,弄清楚这个问题后,我们就跟大家介绍几个带硬件防火墙的机房:

  上海--横浜桥机房

  上海的机房非常之多,不过机房带有硬件防火墙配置的却寥寥无几,横浜桥机房是上海电信跟绿盟(业内知名DDOS防火墙“黑洞”的开发商)合作的机房,该机房同时还推出网络安全服务、网络监控、数据备份恢复、负载均衡、网站加速服务,拥有优秀的带宽环境,国际级的设备,战略级的电力供应,机房内温控系统、空调系统、活动地板、监控系统、烟感消防等一应俱全,是主机租用、主机托管理想的环境。

  浙江--远景数据中心杭州双线机房

  远景数据中心拥有多个电信级高品质IDC机房的运营权,共拥有30G带宽资源,200多个机柜资源。远景数据中心双线机房配备有世界一流的计算机安全防护系统以对整个网络和客户的主机进行严密的保护。通过机房的安全监控中心的安全管理和相关的计算机安全防护系统,可以有效防止黑客入侵和各种恶意渗透。例如采用了Juniper 的IGS1000硬件防火墙,双金盾抗DDOS攻击千兆硬件防火墙集群。远景数据中心杭州双线机房采用4G中国电信+4G中国网通接入,120个机柜,是华东地区最大、带宽最充裕的双线机房。

  陕西--中国电信西部IDC数据中心

  西部IDC数据中心是中国电信核心节点机房之一,面积5000平方米,节点之间传输速率达到40G。西安为中国公用计算机网络(CHINANET)的核心之一,同时,西安又是西北五省和中国公用计算机网络(CHINANET)连接的必由之路,拥有最大的网络传输线路,因此该机房也是国内规模较大的几个重点机房之一。西部IDC数据中心采用千兆DDOS硬件防火墙体系,对分布式攻击的防御效果非常好。

  重庆--电信五里店机房

  重庆五里店机房位于重庆市江北区五里店电信传输大楼,于2005年1月正式投入使用,机房内采用先进的Cisco网络设备, 使用两台Cisco7609路由器与广东骨干两台GSR路由器冗余连接,总出口带宽达40G;重庆电信采用绿盟科技的黑洞千兆级防火墙打造专业防DDOS攻击的安全区域。为用户提供高品质的安全服务,整个安全区规划特定的网段、设定专业的维护人员,针对目前流行在SYN FLOOD,ICMP FLOOD连接耗尽等方面的攻击有非常出色的防御能力,而且可以通过扩展灵活地打造高要求、个性化的安全环境。

  四川--西昌电信数据中心机房

  中国西昌电信数据中心座落在西昌市城南大道,房总体建筑结构根据电信级枢纽机房的特点设计建造。高达4.5米的层高和6000平米的总建筑面积提供了充足的机柜存放空间。机房采用Redundant Juniper Core Switches E320和CISCO 12000做为核心路由,拥有5G光纤接入,现四川华西资讯网络科技有限公司独立享用2G带宽,每当网络使用率达到60% 将扩容一次。该机房全面采用目前国内顶级安全公司绿盟科技生产的黑洞千兆硬件防火墙1600增强型,能够对SYN Flood、UDP Flood、ICMP Flood、HTTP GET Flood和(M)Stream Flood等各类DoS攻击进行防护,最近得到消息,该机房已经完成了防火墙集群系统的升级,防御效果更为出色。
 

1
3