城域网大型数据中心流量净化方案
2010-01-31 中国IDC产业联盟
解决方案概述
业务挑战
DoS/DDoS攻击从种类和形式上多种多样,从最初的针对系统漏洞型的DoS攻击(如Ping of Death),发展到现在的流量型DDoS攻击(如SYN Flood、UDP Flood、ACK Flood等),以及越来越频繁出现的针对应用层的DoS攻击(如Http Get Flood、连接耗尽、CC等)。从以往国内外的攻击实例来看,DoS/DDoS攻击会对IDC的业务产生重大的影响,造成巨大的损失:
重要的用户服务器遭受攻击——造成核心客户的流失
IDC线路带宽资源被占用——造成整体服务质量下降
日益繁多且复杂的应用层攻击——造成利润客户流失
解决之道
绿盟科技长期专注于如何在城域网环境中抵御DDoS流量,利用业界知名的ADS抗拒绝服务系统,制定了绿盟科技ADS流量净化矩阵的解决方案——NC2M(NSFOCUS Collapsar CleanMatrix)。该方案采用多层的攻击流量检测、防护、过滤机制,及时发现背景流量中各种类型的攻击流量,以基于流量牵引技术的旁路方式,在城域网中迅速对攻击流量进行过滤,保证网吧及专线接入业务的正常运行。
由于近几年网络设施建设的不断发展,以及新的IDC业务的出现,使得IDC又开始了新的发展期。电信运营商参与IDC市场使得一级IDC的网络设施建设不断提升,从以前的单链路上联,发展到现在的双千兆链路,甚至2.5G POS链路也越来越常见。此种IDC一般以两台核心交换机为核心层,上联接入路由器,下联接入层交换机到用户服务器层,同时由运维管理网络对整个IDC的网络与业务进行管理。上端的接入路由器多数情况属于电信运营商城域网组成,作为边界路由器上联城域网骨干。
针对典型的 IDC 双链路方式,我们推荐抗拒绝服务系统采用ADS旁路部署方式:
图:绿盟科技ADS流量净化矩阵——大型数据中心流量净化
方案优势
绿盟科技ADS流量净化矩阵的解决方案——NC2M(NSFOCUS Collapsar CleanMatrix)在针对专线和网吧用户的流量净化中具有如下优势:
采用专用抗DDoS设备进行防护 由于城域网接入用户的客户面广,业务具有多样、复杂的特点,加之参杂商业竞争等因素,所以很容易受到多种类、大流量的DDoS攻击。针对DDoS攻击,流量净化矩阵的方案采用了绿盟科技专门的抗拒绝服务系统——ADS进行全方位的保护。
利用集中防护、IDC客户租用抗DDoS服务的方式为IDC运营商创造新的增值服务业务 绿盟科技的流量净化矩阵在保证IDC网络流量净化的同时,可以帮助运营商提供增值服务的形式,向重要客户提供抗DDoS服务,收取一定的费用。这样既能够为多数客户集中解决DoS攻击的问题,提升IDC整体的服务质量与竞争能力,又可为IDC增加一定收益。
有完备的事件处理步骤及紧急响应机制,在用户遭受DDoS攻击时能够提供及时有效的应对策略 一套好的抗拒绝服务解决方案,不仅仅是提供设备,而且需要完整的运行维护、服务支持与应急响应方案。绿盟科技不仅具备完善的产品方案,同时具有强大的技术支持服务能力、快速应急响应能力以及对网络安全深入的研究能力,真正为城域网运营商提供完备易用的抗拒绝服务系统。