华为下一代Anti-DDoS构筑安全业务环境

对于今天的安全厂商来说，技术在不断进步，但安全威胁也不断演进，因此网络信息安全攻防是一场持久战。由于网络攻防的不对称性，安全厂商需要持续提升自己的能力，才能为客户带来真正有效的安全服务。用2014 RSA美国安全大会主题演讲中的一句话来说就是：“我们必须一直都是成功的，而黑客只需要成功一次就可以了。”

最近两年，DDoS攻击的规模变化让人瞠目结舌：在2012年之前最大规模只有几十G，而到了2013年3月，欧洲的反垃圾邮件公司Spamhaus网站遭遇史上最大流量DDoS攻击，攻击流量峰值高达300Gbps。此事件重新点燃了安全市场对Anti-DDoS的关注，而且在Spamhuaus被攻击之后，大规模的DDoS攻击并没有止息，因此DDoS成为2013安全领域的一大关键词。在不久前结束的2014 RSA美国安全大会上，有关DDoS的声音相比往届明显增长，华为也在这届大会上重点展示了下一代Anti-DDoS解决方案。

据华为企业网络产品线高级营销经理金席介绍，目前DDoS攻击呈现出几个新的特点：攻击流量越来越大，攻击源从PC服务器扩展到移动终端，应用型攻击呈多发趋势，来自数据中心内部的攻击出现。DNS的脆弱性让攻击流量可以成倍放大；在移动端尤其是安卓平台下，僵尸网络的规模已经达到百万级；应用型攻击更为精准，只需要很小的流量就可以让业务中断；数据中心发出的攻击“杀伤力”巨大……华为的下一代Anti-DDos防护正是基于这些改变而来：防护大规模大流量的DDoS，防护移动终端的DDoS，防护应用层的DDoS，以及数据中心由内向外的DDoS。

华为下一代Anti-DDoS为阿里、腾讯业务护航

在RSA2014大会上华为重点介绍了Anti-DDoS在阿里巴巴的案例。众所周知，阿里巴巴最近一次“双十一”活动的订单数达到了1.67亿，销售记录350亿人民币。美国类似的网购节日“黑色星期五”（美国人在感恩节后的第一个星期五进行促销）销售收入只有阿里“双十一”的五分之一。金席表示，阿里在如此庞大的业务量面前部署华为的Anti-DDoS防护，这是一种对能力的信任。他说，在“双十一”活动当天，这套系统防御了上百次的攻击，最大流量达到20G。

同样作为国内互联网巨头，腾讯在国内外的多个数据中心也都部署了华为的Anti-DDoS解决方案。截至目前，华为Anti-DDoS解决方案已经部署在全球的有20多个数据中心，最高的防护能力达到了160G。

超高性能满足客户需求

倡导并实施了“去IOE”的阿里拥有强大的技术实力，华为如何满足这类客户的需求呢？面对这个问题，金席表示，华为向阿里提供的是一个平台，阿里将自身业务与华为Anti-DDoS平台相结合，在技术上定制化开发。阿里通过这些技术与华为的Anti-DDoS平台一起共同防护自己的业务。

金席认为，除了平台的能力，阿里更看重华为Anti-DDoS平台的性能，足以匹配阿里的业务体量。实际上，华为的Anti-DDoS解决方案在很多电信级的案例当中，可靠性获得客户信赖。

华为下一代Anti-DDoS方案简介

DDoS攻击新的变化趋势，华为下一代Anti-DDoS解决方案通过软硬件协同设计（大数据思想+传统优势硬件平台）的方式，能够抵御100G以上的攻击流量，能够识别移动终端发起的DDoS攻击，能够检测针对云数据中心的应用层小流量和慢速DDoS攻击。

传统Netflow机制通过流量采样方式来进行分析，而华为下一代Anti-DDoS解决方案则是基于大数据思想的进行全流量采样。除了全流量的捕获，华为还针对这些流量从多种维度进行分析，例如：每秒的查询率、每秒的包转发率、每秒的比特流和统计比例等等。通过这些分析，进而针对DDoS攻击的八大协议族的38种协议状态，建立60多种流量模型。每一个报文、每一个流都会从60这种模型进行检测，一旦出现异常，便会触发清洗机制。

据金席介绍，上述分析结果还会利用信誉技术来在一定时间内标记，这样能够提高下一次判断的效率，提升用户的使用体验。华为建立了全球僵尸网络IP信誉库（500万IP地址库，每日动态更新），过滤僵尸网络流量。逐包检测能够帮助用户过滤绝大多数的网络层的和应用层的DDoS攻击。

硬件方面一直是华为的优势。华为下一代Anti-DDoS平台每个业务板上有四颗高性能的处理器，最大的整机设备能够达到960G的DDoS防护水平。

总结起来，华为下一代Anti-DDoS解决方案具有以下特性：100+ DDoS攻击（包括HTTP/HTTPS/DNS/SIP攻击等应用层DDoS攻击）检测与防护；精准的移动DDoS攻击检测机制与防护机制；防护数据中心的由内向外的DDoS攻击。华为下一代Anti-DDoS解决方案还支持指纹学习、行为分析、信誉体系和大数据分析等先进特性，能够为客户构筑一个安全的业务环境。