在互聯網寬帶、移動技(jì)術(shù)的高(gāo)速發展和(hé)普及給企業帶來(lái)巨大(dà)便利的同時(shí)，企業也正面臨日趨嚴重的網絡信息安全威脅和(hé)隐患。其中，DDoS(分布式拒絕服務)攻擊規模和(hé)攻擊次數(shù)呈現顯著增長，并且攻擊的手段越來(lái)越複雜、攻擊流量劇(jù)增，使企業信息安全面臨嚴峻挑戰。

2014年9月，在華為HCC2014上(shàng)，華為與中國聯通(tōng)上(shàng)海公司聯合進行(xíng)了DDoS雲清洗服務的發布儀式，該産品采用華為基于SDN技(jì)術(shù)的Anti-DDoS雲清洗方案，不同于傳統的“引流回注”清洗方案，它無需帶着攻擊流量在整個(gè)網絡中穿行(xíng)，而是利用SDN感知方式進行(xíng)最優資源調度，從攻擊源頭上(shàng)實現DDoS防禦。

雲清洗助上(shàng)海聯通(tōng)杜絕DDoS攻擊

DDoS(分布式拒絕服務)攻擊并不是一個(gè)新話(huà)題，從上(shàng)世紀90年代就已經開(kāi)始出現了。但(dàn)是近年來(lái)，越來(lái)越頻繁的DDoS攻擊，給海內(nèi)外的運營商和(hé)企業業務帶來(lái)了巨大(dà)的安全挑戰。最嚴重的一次在2013年3月，歐洲遭遇了史上(shàng)最大(dà)的DDoS攻擊達300Gbps，傳統的“引流回注”清洗方案,帶着300G的攻擊流量在整個(gè)歐洲網絡中穿行(xíng)尋找清洗點, 最後導緻整個(gè)歐洲的運營商網絡的擁塞。

上(shàng)海是中國的金融、貿易、航運的中心，數(shù)據顯示上(shàng)海聯通(tōng)服務的企業客戶已經超過47000家(jiā)，如果出現類似攻擊，造成的業務中斷将給企業帶來(lái)巨大(dà)的經濟損失。為了杜絕類似攻擊事件的發生(shēng)，上(shàng)海聯通(tōng)選擇與華為合作(zuò)，尋求有(yǒu)效解決方案。

對此，華為為上(shàng)海聯通(tōng)提供的基于SDN技(jì)術(shù)的Anti-DDoS雲清洗方案，利用大(dà)數(shù)據分析技(jì)術(shù)從60多(duō)種維度對全網絡流量進行(xíng)精細化分析，一旦流量出現異常将在2秒(miǎo)級內(nèi)實現快速響應。該方案支持SDN感知方式，通(tōng)過優化資源調度實現雲端清洗，從源頭上(shàng)防禦DDoS攻擊。

上(shàng)海聯通(tōng)産品管理(lǐ)中心總經理(lǐ)魏尚俊表示，DDoS防禦是目前很(hěn)多(duō)聯通(tōng)企業客戶的迫切需求，我們依靠互聯網提供業務的企業越來(lái)越多(duō)，這些(xiē)客戶對于網絡安全性以及網絡服務可(kě)持續性要求非常高(gāo)，上(shàng)海聯通(tōng)希望為客戶提供最安全的服務。因此，在選擇雲清洗業務的時(shí)候，我們從大(dà)容量高(gāo)精度方面，将全球各個(gè)領先供應商的方案進行(xíng)了對比，發現華為最符合我們的要求，服務也是最好。

據了解，自雲清洗業務上(shàng)線以來(lái)，上(shàng)海聯通(tōng)每年防護DDoS數(shù)萬次，且服務模式不斷創新，在運營過程中，上(shàng)海聯通(tōng)對華為的Anti-DDoS解決方案積累了一套熟練的運營經驗，如：提供大(dà)客戶安全攻防報表推送、大(dà)客戶攻防演練等更貼心服務，讓客戶不斷增加安全防護意識。

華為雲清洗方案的三大(dà)亮點

對于為何選擇華為的雲清洗解決方案，上(shàng)海聯通(tōng)産品管理(lǐ)中心總經理(lǐ)魏尚俊表示，在構建雲清洗的時(shí)候，我們看中了華為解決方案的三大(dà)亮點：第一，高(gāo)容量，業界其他企業的方案設計(jì)上(shàng)，普通(tōng)的雲清洗設備流量在幾十G左右，而華為是可(kě)以擴展到T級别，現在DDoS攻擊手段越來(lái)越複雜、攻擊流量越來(lái)越大(dà)，我們當初建設時(shí)就需要考慮到以後的兼容性和(hé)擴展性；第二，華為的方案采用了最新的大(dà)數(shù)據分析技(jì)術(shù)，華為專業的安全團隊時(shí)刻分析全球最新的攻擊工具，并對僵屍網絡活動進行(xíng)追蹤，然後将研究結果以僵屍網絡IP信譽、攻擊特征庫的形式更新到現網設備，讓防護更加高(gāo)效和(hé)精确；第三，華為的方案采用了SDN技(jì)術(shù)，可(kě)基于源頭過濾攻擊流量，亦可(kě)實現智能引流清洗，在發生(shēng)大(dà)流量DDoS攻擊時(shí)，最大(dà)限度地保護聯通(tōng)的網絡帶寬。

據了解，後期上(shàng)海聯通(tōng)會(huì)對不同企業客戶采用差異化的防護策略，不僅僅在城域網采用DPI檢測加清洗的防護方案。對一些(xiē)重要的VIP客戶，還(hái)會(huì)考慮在客戶網絡接入處增加一個(gè)小(xiǎo)型硬件設備，實現檢測及客戶網絡帶寬範圍內(nèi)攻擊清洗，以真正實現雲清洗。

實現軟件定義網絡在安全領域的成功應用

華為企業網絡産品線安全産品領域總監易建超表示，基于SDN的Anti-DDoS方案是軟件定義網絡在安全領域的成功應用。舉例來(lái)說，有(yǒu)超大(dà)的來(lái)自DDoS攻擊流量來(lái)攻擊位于上(shàng)海某DC的應用。傳統的沒有(yǒu)SDN的情況下，這個(gè)流量會(huì)在上(shàng)海的DC邊界實現清洗，那(nà)麽攻擊流量會(huì)從上(shàng)海城域網穿行(xíng)，給鏈路帶來(lái)流量壓力。如果采用SDN對網絡的可(kě)視(shì)化和(hé)控制(zhì)能力，可(kě)以快速發現攻擊流量來(lái)源并在源頭路由器(qì)對攻擊流量實現阻斷。

另外，基于SDN可(kě)以實現智能引流清洗，避免傳統引流隻基于路由最短(duǎn)路徑而不管引流路徑是否具備足夠的可(kě)容納攻擊流量的可(kě)用帶寬，導緻引流路徑涉及的鏈路都出現擁塞，相當于攻擊效果被無形放大(dà)。基于SDN可(kě)以實現智能引流的原理(lǐ)是，引流路徑計(jì)算(suàn)不僅僅考慮最短(duǎn)路徑，還(hái)看引流路徑的最大(dà)可(kě)用帶寬，清洗中心最大(dà)可(kě)用帶寬，從攻擊源頭實現多(duō)路徑引流。

華為企業網絡産品線副總裁劉立柱表示，華為安全産品團隊一直緻力于為客戶提供最優的Anti-DDoS安全解決方案，未來(lái)，華為同上(shàng)海聯通(tōng)将進行(xíng)更深入的合作(zuò)，包括提供安全業務規劃咨詢、應急響應服務等，為聯通(tōng)的企業客戶提供更加貼身和(hé)快速響應的安全防護方案。

來(lái)源：通(tōng)信世界網