阿里巴巴打造安全可用互联网云平台

阿里巴巴集团是全球领先的电子商务公司，旗下有25个事业部9个子公司，业务涉及第三方支付、网络交易、云计算平台等众多领域。据阿里巴巴统计数据显示，2012年，其电子商务与支付平台平均每天处理2400万笔交易，年处理交易额超过10000亿元，是eBay和亚马逊全年交易额之和。特别是2013年11月11日（“双11”网络购物节），阿里巴巴网上交易额超过350亿元，交易超过1.88亿笔，其中1/4来自移动终端，该交易额是美国“黑色星期五”线上交易的4倍多，创造了阿里巴巴网络交易新纪录。除了阿里巴巴集团传统的淘宝、天猫、支付宝等关键在线业务交易系统外，阿里巴巴也对外提供云计算业务。截至2013年11月，阿里云计算平台已为超过10万个业务系统提供服务，覆盖互联网上常见的所有业务类型。如此巨大的业务量，对阿里巴巴平台的性能和可靠性提出了巨大挑战，平台的稳定性和安全性变得尤为突出。

责任重大，选择条件苛刻

阿里巴巴每天遭受上亿次的恶意入侵与网络攻击，其中DDoS攻击往往会造成网络中断、服务器瘫痪等严重后果，直接影响经济收益和品牌影响力，是对阿里巴巴业务危害最为严重的攻击之一。一次精心策划的黑客攻击，往往都是由DDoS攻击开始，然后再伴随着入侵、挂马、数据窃取等深层次动作；而一些疯狂的黑客，甚至会采用大流量DDoS攻击拥塞网络与系统资源来达到攻击目的。因此对于阿里巴巴来说，选择一个合适的DDoS防护方案非常重要，要求也是非常高的：

快速发现DDoS，并精准防护

阿里巴巴客户以中小企业、电商、游戏运营开发者为主，全部业务是在线业务，对业务的连续性要求很高。因此，适合阿里巴巴的DDoS防护方案必须能在众多的访问中快速定位DDoS攻击，并精准防护，而且能够根据不同的业务，提供差异化的防护策略。只有这样，该系统才能为更多的客户提供更安全的土壤，为阿里巴巴带来更多的客户资源。

高性能和弹性扩展

在DDoS攻击来临时，阿里巴巴云计算服务面临僵尸网络的海量恶意请求，服务器疲于响应，无法为正常用户提供服务，甚至存在数据中心客户业务中断、云计算平台瘫痪等风险。DDoS防护方案作为阿里云数据中心的大门守护神，必须将DDoS洪水阻挡在门外，同时更不能出现在DDoS防护时自身性能不足，成为阿里整个平台的性能瓶颈，造成用户访问时延增大，影响正常用户使用的情况。此外，该方案还要能够随着阿里云计算平台的扩展弹性扩展，满足未来3～5年的业务发展需求。

快速部署，方便运营

阿里云计算平台客户业务已经超过10万个，后续还会快速增长，这些客户的业务以社区网站、企业官网、电子商务网站、游戏等为主，业务流量规模相差悬殊，业务运营模式差异较大，因此，灵活的业务自助方式以及简单方便的使用维护，对DDoS的安全服务起着决定性作用。同时，能够将DDoS安全防护无缝地适配到阿里云服务平台，并对外提供，也是阿里巴巴对DDoS方案挑选的重要依据。

严格测试，表现不负所望

经过苦苦寻觅和多轮筛选，最终华为的Anti-DDoS防护方案引起了阿里巴巴的浓厚兴趣，并开启了漫长的POC测试工作。阿里巴巴的DDoS安全防护团队将在现网上收集到的所有攻击报文，在POC测试中，进行了一一回放，华为Anti-DDoS方案均能成功防护。随着测试的深入，基于租户的防护策略、流量模型学习、详细的报表功能，使得华为Anti-DDoS方案使用非常方便，阿里巴巴的安全专家完全不用华为工程师的帮忙就可以完成测试。
在测试过程中，阿里巴巴安全专家结合自身业务特点，模拟现网业务流量模型，在几十G正常流量背景下，测试50Mbps的小流量攻击，华为Anti-DDoS均能够实现2秒精准识别；同时针对特定HTTP业务，采用应用型慢速、慢链接的DDoS攻击，华为Anti-DDoS方案能够快速地自动学习攻击特征，进行精准防护；当前通过移动智能终端访问业务的流量越来越大，阿里在测试过程中，特意加强了对智能终端影响的测试用例，华为方案均能一一成功处理攻击，并不影响终端用户访问。

在功能测试完成之后，阿里巴巴安全专家还进行了性能压力测试，华为Anti-DDoS在配置2块业务板卡的情况下成功防御了20Gbps的64字节的SYNFlood攻击，应用层攻击防护性能更达到40Gbps，是业界同类厂商防护水平的2倍以上，而且随着业务板卡的增加，这一性能可线性提升到200Gbps，令阿里巴巴参与测试的安全专家非常满意。

“真金不怕火炼”。测试中恰逢阿里巴巴现网业务遭受一轮DDoS攻击，阿里巴巴紧急将华为Anti-DDoS方案部署线上，对现网被攻击服务器进行防护，华为Anti-DDoS在2秒内实现攻击流量全部清洗，并且对正常用户访问没有丝毫影响，效果非常理想。阿里巴巴的安全专家都为此感到振奋，Anti-DDoS解决方案选型也至此画上了圆满的句号。自此以后，华为Anti-DDoS方案在阿里巴巴网络上安全运行。

历经考验，华为Anti-DDoS值得信赖

阿里巴巴现网多个数据中心出口都部署了华为的Anti-DDoS解决方案，平均每天防护的DDoS攻击次数超过100次，每年达数万次，峰值防护的DDoS攻击流量超过100Gbps。如今，DDoS攻击在阿里巴巴安全工程师眼里已经习以为常，由华为Anti-DDoS方案自动调度进行清洗防护即可。

哪怕是在2013年11月11日“双11”网络购物节当天，阿里巴巴安全团队成员仍然能够镇静、从容。第二天报告显示阿里巴巴当天经历了多轮DDoS攻击事件，峰值攻击流量超过19Gbps，最小攻击流量500Mbps，华为Anti-DDoS方案一如既往地成功防护了多轮DDoS攻击事件，有力保障了阿里巴巴网络交易的顺畅平稳，事实证明，华为Anti-DDoS是值得用户信赖的DDoS防护方案。