玄幻小说完本,君子以泽

教育網(wǎng)絡DDoS攻擊防御解決方案

教育網(wǎng)絡在DDoS防御方面的需求背景

近年來教育網(wǎng)絡（高校）面臨著DDoS攻擊的現(xiàn)象越來越多，根據(jù)客戶反映近年來接連受到DDoS安全的威脅，特別是在學校有大型活動，如招生、迎新、相關領導視查工作的時候DDoS攻擊比較明顯，并有數(shù)次在招生、報考的時候由于DDoS攻擊引起的網(wǎng)絡中斷或部份業(yè)務系統(tǒng)中斷，導致工作進展不順利。目前學院網(wǎng)絡安全主要有防火墻、應用層防火墻、IPS（入侵檢測系統(tǒng)）等安全設備，以上所有安全設備都并非為防御DDoS攻擊而設計，所以無法全面防范來自互聯(lián)網(wǎng)的各種DDoS攻擊，且在DDoS大流量攻擊面前防火墻等安全設備會面臨癱瘓的風險。

教育網(wǎng)絡在DDoS防御方面的安全需求

常見的在學校中的DDoS攻擊會導致用于輸入、輸出和內(nèi)網(wǎng)通信的帶寬達到飽和，導致整個網(wǎng)絡環(huán)境擁堵或癱瘓；特別是在高校招生考試的時候，一此不正當?shù)娜藛T或機構會針對特定的一些高校的門戶或一些特殊的系統(tǒng)進行大量的DDoS攻擊。

超出路由器、服務器甚至防火墻的承受能力，導致它們無法提供正常服務；如起過路由器的NAT表的性能值，超過防火墻的連接數(shù)量性能值，利用服務器的一些漏洞，如緩沖區(qū)溢出使服務器的CPU或內(nèi)存處于滿跑狀態(tài)等。

阻止正常用戶對特定應用或者主機的訪問，攻擊其他網(wǎng)絡資源，例如軟交換機、核心路由器和應用服務器而對網(wǎng)絡中沒有直接遭受攻擊的部分造成間接破壞。黑客通過DDoS攻擊掩蓋其真正的目的，如滲透或數(shù)據(jù)竊取等，讓管理員誤以為是DDoS攻擊而并不是滲透攻擊。

雖然目前網(wǎng)絡安全產(chǎn)品的種類非常多，但是對于DDoS攻擊卻一籌莫展。常見的防火墻、入侵檢測、路由器等，由于設計之初就沒有考慮相應的DDoS防護，所以無法針對復雜的DDoS攻擊進行有效的檢測和防護。而至于退讓策略或是系統(tǒng)調(diào)優(yōu)等方法只能應付小規(guī)模DDoS攻擊，對大規(guī)模DDoS攻擊還是無法提供有效的防護。

中新教育網(wǎng)絡DDoS攻擊防御解決方案特點

高校用戶盡管申請運營商DDoS清洗服務，但DDoS攻擊種類繁多，變化多端，運營商端DDoS清洗防護技術主要針對的是網(wǎng)絡層消耗帶寬大流量DDoS攻擊，在針對一些應用層DDoS攻擊且流量不大的情況下難以有效抵御，所以急需在網(wǎng)絡中中部署能有效防止各種DDoS攻擊技術的產(chǎn)品進行防御，兩方面結合徹底攔截DDoS攻擊。

針對當前的DoS/DDoS攻擊現(xiàn)狀，中新網(wǎng)安從可用性、可靠性、可行性等多方面出發(fā)，為用戶規(guī)劃整個網(wǎng)絡中的抗拒絕服務防護，通過中新網(wǎng)安自主研發(fā)的抗拒絕服務產(chǎn)品—中新金盾抗拒絕服務系統(tǒng)，具有很強的DoS/DDoS攻擊的防護能力，可在多種網(wǎng)絡環(huán)境下輕松部署，保證教育系統(tǒng)用戶網(wǎng)絡的整體性能和可靠性。

中新金盾抗拒絕服務系統(tǒng)能夠以串聯(lián)、串聯(lián)集群、二層旁路、二層旁路集群、三層旁路、三層旁路集群等方式部署在網(wǎng)絡中，并且在旁路模式下都支持注入和回流兩種方式，在旁路模式下還能夠選擇流量分析器進行集群部署，能夠全自動的進行流量牽引防護。在根據(jù)校方的網(wǎng)絡結構，建議如果需要采用旁路部署的方式的話，可以采用以下部署方式。

拓撲介紹

當前網(wǎng)絡中部署一臺中新金盾抗拒絕服務系統(tǒng)，部署模式為三層注入部署模式，在當前拓撲中，當管理員發(fā)現(xiàn)網(wǎng)絡中存在DDoS攻擊的時候，通過手動的方式在抗拒絕服務系統(tǒng)上將被攻擊的主機設置為牽引模式，該主機則會被抗拒絕服務系統(tǒng)進行牽引，路由器收到抗拒絕服務系統(tǒng)的牽引指令后會將主機的流量交給抗拒絕服務系統(tǒng)（通過BGP的形式實現(xiàn)）?？咕芙^服務系統(tǒng)在進行流量過濾后會將清洗后的流量注入給核心交換機，完成清洗任務。

數(shù)據(jù)走向分析：當混合著攻擊的混合流量到達路由器后,會采用NETFLOW的技術方式將數(shù)據(jù)的采樣發(fā)送給中新金盾流量分析器, ,當發(fā)現(xiàn)某主機有攻擊的時候,流量分析器會自動向路由器發(fā)送一條32位的主機路由.路由器則會把發(fā)送往該主機的數(shù)據(jù)都傳送到抗拒絕服務系統(tǒng),抗拒絕服務系統(tǒng)收到后會進行清洗,清洗完成后再將數(shù)據(jù)回流給路由器,路由器再根據(jù)預先設定的策略路由將數(shù)據(jù)轉(zhuǎn)發(fā)給核心交換機.完成數(shù)據(jù)的清洗工作。

當前方案的優(yōu)點是完全不會影響網(wǎng)絡及在沒有攻擊或牽引的情況下對數(shù)據(jù)不會進行任何的操作,并且完全能夠做到在有攻擊的時候才自動牽引流量,沒攻擊的時候不會自動牽引,也可以手工選擇是否牽引流量。

安全服務

通用網(wǎng)絡安全產(chǎn)品

專業(yè)網(wǎng)絡攻擊防護安全產(chǎn)品

重要關鍵基礎設施

重要信息系統(tǒng)

重要公共服務

安全報告

研究機構

服務中心

關于我們

關于我們

拓撲介紹

行業(yè)視角

研究機構

安全報告