由四川省互聯(lián)網(wǎng)信息辦公室指導(dǎo),，成都市互聯(lián)網(wǎng)信息辦公室,，成都高新技術(shù)產(chǎn)業(yè)開發(fā)管理委員會聯(lián)合主辦，成都無糖信息技術(shù)有限公司承辦的CCS" target="_blank">2022CCS成都網(wǎng)絡(luò)安全大會暨數(shù)據(jù)治理峰會在線上正式拉開序幕,。

　　在大會首日的云安全實戰(zhàn)分論壇上，字節(jié)跳動火山引擎云安全工程師歐陽鵬分享了云上業(yè)務(wù)DDoS與應(yīng)用層CC攻擊防護實踐,。

　　該演講以火山引擎的具體云防護案例實踐展開,，分享了案例的背景、解決方案,，以及對應(yīng)的案例延伸總結(jié),。從企業(yè)業(yè)務(wù)上云，云上業(yè)務(wù)及SaaS化服務(wù)廣泛的抗D需求,，該實踐案例對于企業(yè)用戶而言,，特別是復(fù)雜業(yè)務(wù)場景下抗D實踐具有一定的借鑒價值。

　　案例背景

　　DDoS攻擊來勢洶洶,，云上業(yè)務(wù)面臨威脅

　　某網(wǎng)絡(luò)科技有限公司,，SaaS化創(chuàng)業(yè)公司,，業(yè)務(wù)基于云上開展。其業(yè)務(wù)主要為各大網(wǎng)站提供安全驗證服務(wù),，且市場占有率較高,，服務(wù)客戶遍布金融、直播,、教育,、電商等多個領(lǐng)域。案例分享指出,，該公司面臨的主要外在威脅是隨著其市場占有率的不斷提升,，以及客戶群體的擴大，針對平臺的DDoS和應(yīng)用層CC攻擊顯著增多,。

　　難點：分享指出該案例實踐的難點在于要防御手法多樣的DDoS,、CC攻擊，頻繁和超大流量攻擊,，其重點在于防護算法需足夠精細,，且要兼容到該企業(yè)業(yè)務(wù)各類特殊場景當(dāng)中，對網(wǎng)絡(luò)質(zhì)量,、防護性能要求極高,，同時要求防護方案具備豐富的攻防能力。

　　解決方案

　　魔高一尺,，道高一丈,，構(gòu)建縱深防御體系

　　在案例的解決方案介紹中，我們看到,？,？火山引擎云防護構(gòu)建了梯級的防護能力，包含網(wǎng)絡(luò)層攻擊防護引擎,、網(wǎng)絡(luò)層轉(zhuǎn)發(fā)引擎,、應(yīng)用層攻擊防護引擎、應(yīng)用層轉(zhuǎn)發(fā)引擎,，以及安全可視化&告警在內(nèi)的能力,，為客戶搭建了縱深防御體系。

　　“業(yè)務(wù)流量牽引至火山引擎提供的高防IP,，流量將通過火山引擎網(wǎng)絡(luò)安全系統(tǒng)分析清洗,，最終實現(xiàn)攻擊流量攔截。該系統(tǒng)內(nèi)部采用自主研發(fā)的DDoS,、WAF等防護產(chǎn)品組成的多層防御系統(tǒng),，對3~7層攻擊流量進行分層而治，并提供完備的可視化數(shù)據(jù)和安全事件告警能力,?！?/p>

　　據(jù)介紹,，該解決方案亮點在于以下三點：

　　1、海量帶寬,，T級防護：核心的基礎(chǔ)能力,，從而讓業(yè)務(wù)免遭大規(guī)模攻擊的同時享受優(yōu)質(zhì)網(wǎng)絡(luò)質(zhì)量，同時支持實時彈性擴容以及自定義策略,，滿足不同業(yè)務(wù)場景應(yīng)用需求,；

　　2、多層防御,，分層而治：自于自主研發(fā)的防護引擎搭建多層防御體系,，對不同場景攻擊流量分層而治，從而提高系統(tǒng)防護性能和可靠性,；

　　3,、算法創(chuàng)新，精準(zhǔn)清洗：通過新型防護算法,，例如TCP四層CC防護模型,、TCP反向算法、應(yīng)用層CC多維策略等,，并結(jié)合其他傳統(tǒng)防護策略有效覆蓋各類攻擊,，提供優(yōu)質(zhì)防護體驗。

　　案例應(yīng)用效果：據(jù)介紹,，該案例企業(yè)SaaS服務(wù)接入該火山引擎云防護系統(tǒng)之后，累計防護網(wǎng)絡(luò)攻擊近百次,，其中包括10次以上100G以上大規(guī)模攻擊,，也包含峰值突破300G攻擊，均被有效防護,。相比接入系統(tǒng)之前,，該企業(yè)的在線業(yè)務(wù)穩(wěn)定運行得到了充分保障。

　　反思總結(jié)

　　優(yōu)勢復(fù)制,，為云上業(yè)務(wù)保駕護航

　　案例具有優(yōu)勢復(fù)制的延伸應(yīng)用,，在總結(jié)防護經(jīng)驗時演講者指出優(yōu)勢在于：

　　1、立足業(yè)務(wù)場景：基于攻擊頻次與攻擊規(guī)模給出最佳防護方案,，方案適配業(yè)務(wù)底層協(xié)議,，節(jié)約業(yè)務(wù)防護成本；

　　2,、貼身策略制定：支持貼身策略定制能力,，系統(tǒng)支持定制4層DDoS防護策略和定制7層CC防護策略，防護策略靈活,，能更加適配企業(yè)苛刻的業(yè)務(wù)場景化能力需求,；

　　3,、實現(xiàn)攻擊溯源：？,？系統(tǒng)提供整體防護數(shù)據(jù)可視化能力,，最大程度協(xié)助業(yè)務(wù)實現(xiàn)攻擊溯源。包括正常流量和異常流量,，通過人工+智能的方式實現(xiàn)多樣化的數(shù)據(jù)分析,。

　　總體點評：案例對象我們完全可以猜測是哪家科技企業(yè)，針對類似的在線科技服務(wù)型企業(yè),，保障其SaaS服務(wù)安全穩(wěn)定,，構(gòu)筑符合自身發(fā)展定位的抗D解決方案幾乎是企業(yè)健康發(fā)展的硬性標(biāo)準(zhǔn)。

　　從火山引擎提供的整體抗D防護方案來看,，方案除了自身系統(tǒng)的強大的抗D,、抗CC攻擊資源及技術(shù)能力之余，重點強調(diào)了自身防護架構(gòu)的靈活性,，這種靈活性在于對復(fù)雜業(yè)務(wù)場景的優(yōu)化支持,，以及通過持續(xù)防護的經(jīng)驗數(shù)據(jù)積累所取得的策略調(diào)整能力和可視化能力。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<