随着DDoS攻击的多样化,传统的防护系统面临挑战。云端卫士SDN解决方案由大数据运维平台、SDN智能中心和安全能力云组成,实现流量智能调度、设备管理和安全策略快速部署。SDN智能中心提供南北向和东西向接口,支持安全能力组件的按需扩展,与大数据联动实现秒级检测和清洗。这一解决方案提升了安全防护的灵活性和准确性。
当下DDoS事件频发,但市场上的主流防护系统并不完善,存在着诸多问题,比如漏洞如何智能发现、安全策略如何快速部署等。黑客的攻击方式和手段不断变化,从原来的大量报文攻击模式,转变为耗尽服务内存的攻击模式;攻击方式也从传统的面向传输网络层流量攻击,转向面向对象应用层的攻击,无疑客户网络服务器将承受巨大风险。
市场上主流的DDOS安全防护系统主要为分为硬件设备部署和云端部署;硬件设备可扩展性差,因此发展缓慢;而云端部署则已经成为主流趋势。但是对于安全防护服务提供商而言,如何从错综复杂的网络流量中区分攻击流量和正常业务流量也愈加复杂。
在这种复杂的网络环境,支持多种协议和接口并且易扩展的网络控制中心显得尤为重要,该中心起到流量调度,安全设备监控和策略下发的作用。SDN控制器则能快速和有效的支撑网络的拓展、业务下发、策略更新、安全补丁升级等。
云端卫士SDN解决方案
云端卫士安全防护系统由大数据运维平台、SDN智能中心、安全能力云三部分组成,能够实现清洗模块和检测模块的灵活扩展,性能可以根据硬件配置进行线性扩容。
图一:云端卫士SDN解决方案示意图
大数据运维中心通过与云端卫士流量检测、流量清洗及溯源分析平台进行接口对接,实现了流量攻击告警数据的、流量溯源数据、清洗防护详情数据的收集及检测配置、溯源配置、清洗防护配置及控制数据的下发。
SDN智能中心则提供流量智能调度,设备全面管理和维护功能,标准的南北向接口,并提供东西向接口协议,兼容纵向和横向扩展。
安全能力云主要提供DDOS清洗服务,也可根据客户需求增加WAF、vFW、DNS服务,压测等功能,采用分布式部署,可以按需增加防护组件,即插即用,不用即删,集中控制节约资源。
云端卫士SDN智能中心优势
1、SDN智能中心让云端卫士更安全与更敏捷。
SDN智能控制中心系统采用分布式布局,控制与转发分离,能更好的支撑网络融合演进。同时,统一安全的南向北向接口,东西向接口;实现了虚拟网络和物理网络的解耦 ,可以支持安全能力组件安装业务需求来定义业务链;分布式架构,使得业务与地理服务器的位置无关,可以支持跨越地域的,不同数据中心间的业务调度。
图二:按需定义业务链
同时,提供了强大对接能力,可以支持与安全能力设备、网络设备、网络运维管理系统等对接。通过集中统一控制管理,对于复杂的网络有简化网络建设,降低成本,简化运维,端到端可视化管理的优点。
2、精准智能流量调度控制。
SDN控制器对流量牵引和流量回注采用更精细的粒度,可以支持对报文的七元组进行定义操作;系统可以提供强大的路径计算、流量标记、重定向、调度、负载均衡等功能;同时兼备传统路由功能。依靠SDN智能流量控制中心,对流量可以进行灵活的定义以及重定向。目前SDN控制器的流表规格是依托于OF交换机的流表。大容量的流表规格将能支撑不同种类的业务类型。
对客户流量按照不同业务可以区分,同一IP的业务进行区分,在传统设备中这种精确的流量分类和软件自定义流量分类模型是难以实现的,必须借助于SDN控制中心的强大能力来提供给客户定制化的、可以编程的流量服务。譬如游戏、视频、语音等。对不同业务流可以进行相应的业务操作,如标记共有协议字段,定义私有协议字段处理。通过更好的业务分类,从而针对不同用户提供个性化的服务,同时保证业务的安全可靠。
3、与大数据联动,快速构建防护网络,迅速部署安全策略。
SDN 控制器与云端卫士的网络流量态势感知系统(NFAS)结合,通过大数据感知网络状况,迅速开启防护;NFAS通过引入了基于流量模型的Spark MLlib机器学习算法库;依靠大数据挖掘和学习功能,能快速感知DDOS攻击,进而迅速引流进入安全防护,进行清洗防护。通过SDN智能系统快速有效的对流量进行牵引回注。从而实现了真正意义上的秒级检测与秒级近源清洗功能。
结束语
通过SDN智能中心,实现了虚拟网络控制和物理网络转发的解耦,特别是网络位置的解耦。由此支持安全能力组件可以按需添加,自由定义业务链,甚至可以跨越不同地理位置的IDC机房的迁移。
云端卫士SDN智能中心分布式布局有效的解决了业务虚拟化后的网络扩展问题,使得安全业务组件可以随时随地的接入、迁移、组合;SDN方案是网络资源化的最佳解决方案。可以有力的支持云业务、大数据、综合运维的迅速发展。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
