对于安全产品类型,从防火墙、IPS、防病毒、漏洞扫描,到上网行为管理、WAF、负载均衡很多人能够脱口而出,这些安全设备顺序串接在路由器之后,企业网入口,对用户信息系统提供安全防护,是必不可少的安全设备。其中,尤以防火墙设备最为重要,是企业安全防护首选的设备。如果安全也有12生肖,防火墙毫无疑问应该就是鼠老大。
但随着APS设备日益受到关注,防火墙“鼠老大”的地位不保。那么APS是什么?为什么APS成为首要的选择?
这就要从DDoS(Distributed Denial of Service,分布式拒绝服务)攻击说起。
说到DDoS,可以用谈虎色变来形容。DDoS攻击是指借助于Client/Server技术,多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。攻击者可以在几秒钟内激活成百上千次代理程序对目标进行攻击。
有数据显示,近5年来 DDoS攻击的流量已经从数十Gb飙升到1TB,设想一下,这样的一个攻击流量,对于企业用户来说,无论如何难以抵挡。但是幸运的是,这种被称为暴力洪水式的DDoS攻击已经并不多见。原因在于,这种洪水式的攻击通常会暴露受感染客户端,导致资源被封,会损失攻击者所掌控的宝贵资源。所以,有人将这种暴力洪水DDoS攻击称为“核武器”,不到万不得已时候,是不会轻易使用的。
DDoS攻击形态
如今,攻击者更倾向于采用更加具有针对性DDoS攻击手段。目前,主要有两种方式:状态耗尽攻击和应用层攻击。前者针对前面说过的防火墙等安全设备,因为这些设备有一个共同特征就是存在着“状态特征”,状态耗尽式DDoS就针对这些“状态”实施攻击,耗尽状态资源。与暴力洪水相比,状态耗尽DDos攻击需要消耗的资源更,同样可以达到攻击、勒索的目的。应用层DDos攻击就是针对应用软件发动的攻击。
有数据显示,如今状态耗尽、应用层DDoS攻击逐渐递增,已经可以占据DDoS 总攻击流量的50%。对于这种新型的攻击,无论是运营商,还是传统安全设备基本上是束手无策。原因在于运营商实施的检测主要集中在网络2层、3层;没有办法对于4~7层内容实施检测,提供安全防护;对于传统安全设备来说,本身就是DDoS的攻击对象。
阶层式DDoS防护策略
针对DDoS攻击新的特征。目前推荐的应对方法就是阶层式DDoS防护策略,在客户端添加APS(Availability Protection System)设备。据Arbor Networks大中华区总经理金大刚介绍,APS挂接在路由器之后,防火墙之前,是企业级安全防护的第一关口,较之防火墙等安全设备,APS是一种无状态的设备,可以有效应对状态耗尽攻击,同时借助多年的经验积累,以及400多家ISP运营商的数据合作,可以有效应对包括应用层在内的DDoS攻击。
APS挂接在路由器之后,防火墙之前
很多时候,企业级用户会感觉到系统响应缓慢,更多会把原因归咎于网络接入稳定性等客观条件,从而忽视了来自网络的DDoS攻击,这些攻击不仅占用企业宝贵网络资源,与此同时,也会时刻威胁企业信息系统的安全。
亡羊补牢,是时候关注APS网络安全设备了!