在互聯(lián)網(wǎng)寬帶、移動(dòng)技術(shù)的高速發(fā)展和普及給企業(yè)帶來巨大便利的同時(shí)，企業(yè)也正面臨日趨嚴(yán)重的網(wǎng)絡(luò)信息安全威脅和隱患。其中，DDoS(分布式拒絕服務(wù))攻擊規(guī)模和攻擊次數(shù)呈現(xiàn)顯著增長(zhǎng)，并且攻擊的手段越來越復(fù)雜、攻擊流量劇增，使企業(yè)信息安全面臨嚴(yán)峻挑戰(zhàn)。

2014年9月，在華為HCC2014上，華為與中國聯(lián)通上海公司聯(lián)合進(jìn)行了DDoS云清洗服務(wù)的發(fā)布儀式，該產(chǎn)品采用華為基于SDN技術(shù)的Anti-DDoS云清洗方案，不同于傳統(tǒng)的“引流回注”清洗方案，它無需帶著攻擊流量在整個(gè)網(wǎng)絡(luò)中穿行，而是利用SDN感知方式進(jìn)行最優(yōu)資源調(diào)度，從攻擊源頭上實(shí)現(xiàn)DDoS防御。

云清洗助上海聯(lián)通杜絕DDoS攻擊

DDoS(分布式拒絕服務(wù))攻擊并不是一個(gè)新話題，從上世紀(jì)90年代就已經(jīng)開始出現(xiàn)了。但是近年來，越來越頻繁的DDoS攻擊，給海內(nèi)外的運(yùn)營(yíng)商和企業(yè)業(yè)務(wù)帶來了巨大的安全挑戰(zhàn)。最嚴(yán)重的一次在2013年3月，歐洲遭遇了史上最大的DDoS攻擊達(dá)300Gbps，傳統(tǒng)的“引流回注”清洗方案,帶著300G的攻擊流量在整個(gè)歐洲網(wǎng)絡(luò)中穿行尋找清洗點(diǎn), 最后導(dǎo)致整個(gè)歐洲的運(yùn)營(yíng)商網(wǎng)絡(luò)的擁塞。

上海是中國的金融、貿(mào)易、航運(yùn)的中心，數(shù)據(jù)顯示上海聯(lián)通服務(wù)的企業(yè)客戶已經(jīng)超過47000家，如果出現(xiàn)類似攻擊，造成的業(yè)務(wù)中斷將給企業(yè)帶來巨大的經(jīng)濟(jì)損失。為了杜絕類似攻擊事件的發(fā)生，上海聯(lián)通選擇與華為合作，尋求有效解決方案。

對(duì)此，華為為上海聯(lián)通提供的基于SDN技術(shù)的Anti-DDoS云清洗方案，利用大數(shù)據(jù)分析技術(shù)從60多種維度對(duì)全網(wǎng)絡(luò)流量進(jìn)行精細(xì)化分析，一旦流量出現(xiàn)異常將在2秒級(jí)內(nèi)實(shí)現(xiàn)快速響應(yīng)。該方案支持SDN感知方式，通過優(yōu)化資源調(diào)度實(shí)現(xiàn)云端清洗，從源頭上防御DDoS攻擊。

上海聯(lián)通產(chǎn)品管理中心總經(jīng)理魏尚俊表示，DDoS防御是目前很多聯(lián)通企業(yè)客戶的迫切需求，我們依靠互聯(lián)網(wǎng)提供業(yè)務(wù)的企業(yè)越來越多，這些客戶對(duì)于網(wǎng)絡(luò)安全性以及網(wǎng)絡(luò)服務(wù)可持續(xù)性要求非常高，上海聯(lián)通希望為客戶提供最安全的服務(wù)。因此，在選擇云清洗業(yè)務(wù)的時(shí)候，我們從大容量高精度方面，將全球各個(gè)領(lǐng)先供應(yīng)商的方案進(jìn)行了對(duì)比，發(fā)現(xiàn)華為最符合我們的要求，服務(wù)也是最好。

據(jù)了解，自云清洗業(yè)務(wù)上線以來，上海聯(lián)通每年防護(hù)DDoS數(shù)萬次，且服務(wù)模式不斷創(chuàng)新，在運(yùn)營(yíng)過程中，上海聯(lián)通對(duì)華為的Anti-DDoS解決方案積累了一套熟練的運(yùn)營(yíng)經(jīng)驗(yàn)，如：提供大客戶安全攻防報(bào)表推送、大客戶攻防演練等更貼心服務(wù)，讓客戶不斷增加安全防護(hù)意識(shí)。

華為云清洗方案的三大亮點(diǎn)

對(duì)于為何選擇華為的云清洗解決方案，上海聯(lián)通產(chǎn)品管理中心總經(jīng)理魏尚俊表示，在構(gòu)建云清洗的時(shí)候，我們看中了華為解決方案的三大亮點(diǎn)：第一，高容量，業(yè)界其他企業(yè)的方案設(shè)計(jì)上，普通的云清洗設(shè)備流量在幾十G左右，而華為是可以擴(kuò)展到T級(jí)別，現(xiàn)在DDoS攻擊手段越來越復(fù)雜、攻擊流量越來越大，我們當(dāng)初建設(shè)時(shí)就需要考慮到以后的兼容性和擴(kuò)展性；第二，華為的方案采用了最新的大數(shù)據(jù)分析技術(shù)，華為專業(yè)的安全團(tuán)隊(duì)時(shí)刻分析全球最新的攻擊工具，并對(duì)僵尸網(wǎng)絡(luò)活動(dòng)進(jìn)行追蹤，然后將研究結(jié)果以僵尸網(wǎng)絡(luò)IP信譽(yù)、攻擊特征庫的形式更新到現(xiàn)網(wǎng)設(shè)備，讓防護(hù)更加高效和精確；第三，華為的方案采用了SDN技術(shù)，可基于源頭過濾攻擊流量，亦可實(shí)現(xiàn)智能引流清洗，在發(fā)生大流量DDoS攻擊時(shí)，最大限度地保護(hù)聯(lián)通的網(wǎng)絡(luò)帶寬。

據(jù)了解，后期上海聯(lián)通會(huì)對(duì)不同企業(yè)客戶采用差異化的防護(hù)策略，不僅僅在城域網(wǎng)采用DPI檢測(cè)加清洗的防護(hù)方案。對(duì)一些重要的VIP客戶，還會(huì)考慮在客戶網(wǎng)絡(luò)接入處增加一個(gè)小型硬件設(shè)備，實(shí)現(xiàn)檢測(cè)及客戶網(wǎng)絡(luò)帶寬范圍內(nèi)攻擊清洗，以真正實(shí)現(xiàn)云清洗。

實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)在安全領(lǐng)域的成功應(yīng)用

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全產(chǎn)品領(lǐng)域總監(jiān)易建超表示，基于SDN的Anti-DDoS方案是軟件定義網(wǎng)絡(luò)在安全領(lǐng)域的成功應(yīng)用。舉例來說，有超大的來自DDoS攻擊流量來攻擊位于上海某DC的應(yīng)用。傳統(tǒng)的沒有SDN的情況下，這個(gè)流量會(huì)在上海的DC邊界實(shí)現(xiàn)清洗，那么攻擊流量會(huì)從上海城域網(wǎng)穿行，給鏈路帶來流量壓力。如果采用SDN對(duì)網(wǎng)絡(luò)的可視化和控制能力，可以快速發(fā)現(xiàn)攻擊流量來源并在源頭路由器對(duì)攻擊流量實(shí)現(xiàn)阻斷。

另外，基于SDN可以實(shí)現(xiàn)智能引流清洗，避免傳統(tǒng)引流只基于路由最短路徑而不管引流路徑是否具備足夠的可容納攻擊流量的可用帶寬，導(dǎo)致引流路徑涉及的鏈路都出現(xiàn)擁塞，相當(dāng)于攻擊效果被無形放大�；�于SDN可以實(shí)現(xiàn)智能引流的原理是，引流路徑計(jì)算不僅僅考慮最短路徑，還看引流路徑的最大可用帶寬，清洗中心最大可用帶寬，從攻擊源頭實(shí)現(xiàn)多路徑引流。

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線副總裁劉立柱表示，華為安全產(chǎn)品團(tuán)隊(duì)一直致力于為客戶提供最優(yōu)的Anti-DDoS安全解決方案，未來，華為同上海聯(lián)通將進(jìn)行更深入的合作，包括提供安全業(yè)務(wù)規(guī)劃咨詢、應(yīng)急響應(yīng)服務(wù)等，為聯(lián)通的企業(yè)客戶提供更加貼身和快速響應(yīng)的安全防護(hù)方案。

來源：通信世界網(wǎng)