安全產(chǎn)品老大不是防火墻,竟然是它:APS

責(zé)任編輯:editor006

作者:宋家雨

2017-09-25 15:20:06

摘自:doit網(wǎng)絡(luò)

對(duì)于安全產(chǎn)品類型,從防火墻、IPS、防病毒、漏洞掃描,到上網(wǎng)行為管理、WAF、負(fù)載均衡很多人能夠脫口而出,這些安全設(shè)備順序串接在路由器之后,企業(yè)網(wǎng)入口,對(duì)用戶信息系統(tǒng)提供安全防護(hù),是必不可少的安全設(shè)備。

對(duì)于安全產(chǎn)品類型,從防火墻、IPS、防病毒、漏洞掃描,到上網(wǎng)行為管理、WAF、負(fù)載均衡很多人能夠脫口而出,這些安全設(shè)備順序串接在路由器之后,企業(yè)網(wǎng)入口,對(duì)用戶信息系統(tǒng)提供安全防護(hù),是必不可少的安全設(shè)備。其中,尤以防火墻設(shè)備最為重要,是企業(yè)安全防護(hù)首選的設(shè)備。如果安全也有12生肖,防火墻毫無(wú)疑問應(yīng)該就是鼠老大。

隨著APS設(shè)備日益受到關(guān)注,防火墻“鼠老大”的地位不保。那么APS是什么?為什么APS成為首要的選擇?

這就要從DDoS(Distributed Denial of Service,分布式拒絕服務(wù))攻擊說起。

說到DDoS,可以用談虎色變來形容。DDoS攻擊是指借助于Client/Server技術(shù),多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。攻擊者可以在幾秒鐘內(nèi)激活成百上千次代理程序?qū)δ繕?biāo)進(jìn)行攻擊。

DDoS攻擊流量近5年來飆升到1TB

有數(shù)據(jù)顯示,近5年來 DDoS攻擊的流量已經(jīng)從數(shù)十Gb飆升到1TB,設(shè)想一下,這樣的一個(gè)攻擊流量,對(duì)于企業(yè)用戶來說,無(wú)論如何難以抵擋。但是幸運(yùn)的是,這種被稱為暴力洪水式的DDoS攻擊已經(jīng)并不多見。原因在于,這種洪水式的攻擊通常會(huì)暴露受感染客戶端,導(dǎo)致資源被封,會(huì)損失攻擊者所掌控的寶貴資源。所以,有人將這種暴力洪水DDoS攻擊稱為“核武器”,不到萬(wàn)不得已時(shí)候,是不會(huì)輕易使用的。

DDoS攻擊形態(tài)

如今,攻擊者更傾向于采用更加具有針對(duì)性DDoS攻擊手段。目前,主要有兩種方式:狀態(tài)耗盡攻擊和應(yīng)用層攻擊。前者針對(duì)前面說過的防火墻等安全設(shè)備,因?yàn)檫@些設(shè)備有一個(gè)共同特征就是存在著“狀態(tài)特征”,狀態(tài)耗盡式DDoS就針對(duì)這些“狀態(tài)”實(shí)施攻擊,耗盡狀態(tài)資源。與暴力洪水相比,狀態(tài)耗盡DDos攻擊需要消耗的資源更,同樣可以達(dá)到攻擊、勒索的目的。應(yīng)用層DDos攻擊就是針對(duì)應(yīng)用軟件發(fā)動(dòng)的攻擊。

有數(shù)據(jù)顯示,如今狀態(tài)耗盡、應(yīng)用層DDoS攻擊逐漸遞增,已經(jīng)可以占據(jù)DDoS 總攻擊流量的50%。對(duì)于這種新型的攻擊,無(wú)論是運(yùn)營(yíng)商,還是傳統(tǒng)安全設(shè)備基本上是束手無(wú)策。原因在于運(yùn)營(yíng)商實(shí)施的檢測(cè)主要集中在網(wǎng)絡(luò)2層、3層;沒有辦法對(duì)于4~7層內(nèi)容實(shí)施檢測(cè),提供安全防護(hù);對(duì)于傳統(tǒng)安全設(shè)備來說,本身就是DDoS的攻擊對(duì)象。

階層式DDoS防護(hù)策略

針對(duì)DDoS攻擊新的特征。目前推薦的應(yīng)對(duì)方法就是階層式DDoS防護(hù)策略,在客戶端添加APS(Availability Protection System)設(shè)備。據(jù)Arbor Networks大中華區(qū)總經(jīng)理金大剛介紹,APS掛接在路由器之后,防火墻之前,是企業(yè)級(jí)安全防護(hù)的第一關(guān)口,較之防火墻等安全設(shè)備,APS是一種無(wú)狀態(tài)的設(shè)備,可以有效應(yīng)對(duì)狀態(tài)耗盡攻擊,同時(shí)借助多年的經(jīng)驗(yàn)積累,以及400多家ISP運(yùn)營(yíng)商的數(shù)據(jù)合作,可以有效應(yīng)對(duì)包括應(yīng)用層在內(nèi)的DDoS攻擊。

APS掛接在路由器之后,防火墻之前

很多時(shí)候,企業(yè)級(jí)用戶會(huì)感覺到系統(tǒng)響應(yīng)緩慢,更多會(huì)把原因歸咎于網(wǎng)絡(luò)接入穩(wěn)定性等客觀條件,從而忽視了來自網(wǎng)絡(luò)的DDoS攻擊,這些攻擊不僅占用企業(yè)寶貴網(wǎng)絡(luò)資源,與此同時(shí),也會(huì)時(shí)刻威脅企業(yè)信息系統(tǒng)的安全。

亡羊補(bǔ)牢,是時(shí)候關(guān)注APS網(wǎng)絡(luò)安全設(shè)備了!

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)