運營商網(wǎng)吧及專線接入流量凈化方案

解決方案概述

業(yè)務挑戰(zhàn)

城域網(wǎng)末端的普通商業(yè)客戶（中小型企業(yè)、網(wǎng)吧等）及VIP客戶（如大型企業(yè)、金融、網(wǎng)絡服務提供商等）的專線接入需求，近年來一直保持持續(xù)高速增長。伴隨著幾大電信運營商競爭的加劇，接入用戶對SLA（服務等級）的要求也越來越高。由于各類DDoS工具的不斷發(fā)展，使得實施DDoS攻擊變得非常簡單，從而導致以不正當?shù)纳虡I(yè)行為為目的的攻擊也不斷出現(xiàn)，而城域網(wǎng)的商業(yè)接入客戶往往成為主要的攻擊目標，其危害表現(xiàn)如下：

電子商務類網(wǎng)站等核心業(yè)務服務器極易遭到DDoS攻擊

接入客戶的鏈路帶寬資源被DDoS等垃圾流量嚴重占用

接入設備受攻擊后負載過高導致其他接入用戶服務不可用

解決之道

綠盟科技長期專注于如何在城域網(wǎng)環(huán)境中抵御DDoS流量，利用業(yè)界知名的“黑洞”抗拒絕服務系統(tǒng)，制定了綠盟科技“黑洞”流量凈化矩陣的解決方案——NC2M（NSFOCUSCollapsarCleanMatrix）。該方案采用多層的攻擊流量檢測、防護、過濾機制，及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量，以基于流量牽引技術(shù)的旁路方式，在城域網(wǎng)中迅速對攻擊流量進行過濾，保證網(wǎng)吧及專線接入業(yè)務的正常運行。

城域網(wǎng)中針對網(wǎng)吧和專線接入業(yè)務的保護，方案首先確定了需要被保護目標的大致區(qū)域，在各個匯聚節(jié)點上旁路部署千兆“黑洞”設備，對各個匯聚節(jié)點下屬區(qū)域分別進行DoS防護。由于城域網(wǎng)中不同節(jié)點的網(wǎng)絡情況不盡相同，所以需要根據(jù)客戶具體情況決定部署方案。“黑洞”抗拒絕服務系統(tǒng)為了適應不同的網(wǎng)絡拓撲狀況，Defender與Probe都能夠采用很靈活的部署方式。只要遵循在匯聚點交換機、核心交換機或路由器上部署的原則即可。

圖：綠盟科技“黑洞”流量凈化矩陣——運營商網(wǎng)吧接入流量凈化

方案優(yōu)勢

綠盟科技“黑洞”流量凈化矩陣的解決方案——NC2M（NSFOCUSCollapsarCleanMatrix）在針對專線和網(wǎng)吧用戶的流量凈化中具有如下優(yōu)勢：

采用專用抗DDoS設備防護由于城域網(wǎng)接入用戶的客戶面廣，業(yè)務具有多樣、復雜的特點，加之參雜商業(yè)競爭等因素，所以很容易受到多種類、大流量的DDoS攻擊。針對DDoS攻擊，流量凈化矩陣的方案采用了綠盟科技專門的抗拒絕服務系統(tǒng)——“黑洞”進行全方位的保護。

從運營商角度提供保護機制單純在城域網(wǎng)接入客戶的接入設備前部署抗拒絕服務系統(tǒng)并不能從根本上解決鏈路被DDoS流量占用的問題，只有在城域網(wǎng)運營商的接入層之上部署抗拒絕服務系統(tǒng)才能從真正意義上保護接入客戶的帶寬安全，提高帶寬的利用率。

共享和租用的形式降低成本對于中小型企業(yè)及網(wǎng)吧來說，單個客戶配備專用抗拒絕服務設備的成本相對過高，客戶一般不會投入資金購買此類設備。針對商業(yè)樓宇中中小企業(yè)較為集中，或網(wǎng)吧較為集中的情況，流量凈化矩陣的方案采用多家接入用戶共享運營商Anti－DDoS服務的方式，其服務形式完全可以采用租用抗DDoS服務的方式來降低單個接入客戶的抗DDoS成本。

為什么選擇綠盟科技

綠盟科技信息技術(shù)有限公司(NSFOCUSInformation Technology Co.,Ltd. ) ，公司成立于2000年4月，是國內(nèi)最早從事網(wǎng)絡安全的高科技企業(yè)之一。

綠盟科技基于多年的安全漏洞研究與安全產(chǎn)品開發(fā)能力，為Microsoft、Sun、NetScreen、Cisco等國際知名廠商提供安全漏洞研究報告，為政府、電信、金融、能源等行業(yè)客戶提供高端安全產(chǎn)品與全面的網(wǎng)絡安全解決方案，協(xié)助客戶建立安全可靠的綠色網(wǎng)絡環(huán)境。

綠盟科技早在2000年就提出了NSPS安全服務體系，并于2004年在網(wǎng)絡安全行業(yè)中率先通過ISO9001雙認證，具備很強的安全服務能力，擁有多年長期為之服務的客戶。

綠盟科技的安全產(chǎn)品與解決方案涵蓋：網(wǎng)絡入侵檢測/保護系統(tǒng)、遠程安全評估系統(tǒng)、抗拒絕服務攻擊系統(tǒng)、安全審計系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)和網(wǎng)絡異常流量監(jiān)測系統(tǒng)，以及政府、軍隊、企業(yè)網(wǎng)應用安全、城域網(wǎng)安全和電信城域網(wǎng)安全等多種針對各行業(yè)的解決方案。