绿盟运营商网吧及专线接入流量净化方案

发布日期:2012-10-31

解决方案概述
业务挑战
城域网末端的普通商业客户(中小型企业、网吧等)及VIP客户(如大型企业、金融、网络服务提供商等)的专线接入需求,近年来一直保持持续高速增长。伴随着几大电信运营商竞争的加剧,接入用户对SLA(服务等级)的要求也越来越高。由于各类DDoS工具的不断发展,使得实施DDoS攻击变得非常简单,从而导致以不正当的商业行为为目的的攻击也不断出现,而城域网的商业接入客户往往成为主要的攻击目标,其危害表现如下:
  • 电子商务类网站等核心业务服务器极易遭到DDoS攻击
  • 接入客户的链路带宽资源被DDoS等垃圾流量严重占用
  • 接入设备受攻击后负载过高导致其他接入用户服务不可用

解决之道
绿盟长期专注于如何在城域网环境中抵御DDoS流量,利用业界知名的ADS抗拒绝服务系统,制定了绿盟ADS流量净化矩阵的解决方案——NC2M(NSFOCUS Collapsar CleanMatrix)。该方案采用多层的攻击流量检测、防护、过滤机制,及时发现背景流量中各种类型的攻击流量,以基于流量牵引技术的旁路方式,在城域网中迅速对攻击流量进行过滤,保证网吧及专线接入业务的正常运行。

城域网中针对网吧和专线接入业务的保护,方案首先确定了需要被保护目标的大致区域,在各个汇聚节点上旁路部署千兆ADS设备,对各个汇聚节点下属区域分别进行DoS防护。由于城域网中不同节点的网络情况不尽相同,所以需要根据客户具体情况决定部署方案。ADS抗拒绝服务系统为了适应不同的网络拓扑状况,Defender与Probe都能够采用很灵活的部署方式。只要遵循在汇聚点交换机、核心交换机或路由器上部署的原则即可。


图:绿盟ADS流量净化矩阵——运营商网吧接入流量净化


方案优势
绿盟ADS流量净化矩阵的解决方案——NC2M(NSFOCUS Collapsar CleanMatrix)在针对专线和网吧用户的流量净化中具有如下优势:

  • 采用专用抗DDoS设备防护 由于城域网接入用户的客户面广,业务具有多样、复杂的特点,加之参杂商业竞争等因素,所以很容易受到多种类、大流量的DDoS攻击。针对DDoS攻击,流量净化矩阵的方案采用了绿盟专门的抗拒绝服务系统——ADS进行全方位的保护。
  • 从运营商角度提供保护机制 单纯在城域网接入客户的接入设备前部署抗拒绝服务系统并不能从根本上解决链路被DDoS流量占用的问题,只有在城域网运营商的接入层之上部署抗拒绝服务系统才能从真正意义上保护接入客户的带宽安全,提高带宽的利用率。
  • 共享和租用的形式降低成本 对于中小型企业及网吧来说,单个客户配备专用抗拒绝服务设备的成本相对过高,客户一般不会投入资金购买此类设备。针对商业楼宇中中小企业较为集中,或网吧较为集中的情况,流量净化矩阵的方案采用多家接入用户共享运营商Anti-DDoS服务的方式,其服务形式完全可以采用租用抗DDoS服务的方式来降低单个接入客户的抗DDoS成本。