我們先科普一下是什么是“網(wǎng)盾”。百度也可以搜到,顧名思義,網(wǎng)盾其實就猶如網(wǎng)絡(luò)出口上加了類似像盾牌一樣擁有很高的防御,也叫高防服務(wù)器,主要是指IDC領(lǐng)域的IDC機(jī)房或者線路有防御DDOS能力的服務(wù)器。
網(wǎng)盾高防服務(wù)器主要是比普通服務(wù)器多了防御服務(wù),一般都是在機(jī)房出口架設(shè)了專門的硬件防火墻設(shè)備以及流量清洗牽引設(shè)備等,用來防御常見的CC攻擊,DDOS,SYN攻擊。就目前的標(biāo)準(zhǔn)衡量,高防服務(wù)器是指能獨立防御100G以上的服務(wù)器。大部分IDC機(jī)房出口都沒有達(dá)到這個帶寬容量,或者沒有這個級別防御設(shè)備的,就稱之為普通IDC機(jī)房了。
網(wǎng)盾服務(wù)器屬于IDC的服務(wù)器產(chǎn)品的一種,根據(jù)各個IDC機(jī)房的環(huán)境不同,有的提供有硬防,有的使用軟防。簡單來說,就是能夠幫助網(wǎng)站拒絕服務(wù)攻擊,并且定時掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點,查找可能存在的安全漏洞的服務(wù)器類型,包括WAF(Web Application Firewall)防御,都可定義為網(wǎng)盾高防服務(wù)器。
目前常見的DDOS攻擊就是分布式拒絕服務(wù)攻擊(全稱:Distributed denial of service attack),也叫做洪水攻擊,所謂洪水,則是來勢洶涌,連綿不絕。作為主要流行的網(wǎng)絡(luò)攻擊手段,其主要思路是使攻擊者采用分布式合理服務(wù)請求使目標(biāo)資源、網(wǎng)絡(luò)帶寬耗盡,導(dǎo)致目標(biāo)無法提供正常服務(wù)請求。也就是說DDoS攻擊這段時間,增大了異常訪問量,使目標(biāo)崩潰或癱瘓。舉一個很形象的例子,比如雙十一期間,由于訪問人數(shù)過多,淘寶網(wǎng)站癱瘓的樣子。
另外CC(ChallengeCollapsar,挑戰(zhàn)黑洞)攻擊是DDoS攻擊的一種類型,其原理是使用代理服務(wù)器向受害服務(wù)器發(fā)送大量貌似合法的請求。CC攻擊是攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對方服務(wù)器,使對方服務(wù)器資源耗盡,造成服務(wù)器資源的浪費,并且CPU利用率長時間處于100%,永遠(yuǎn)都有處理不完的連接,網(wǎng)絡(luò)異常擁塞,直到宕機(jī)崩潰。
有人的地方就有江湖,互聯(lián)網(wǎng)上也是如此。
網(wǎng)絡(luò)不斷發(fā)達(dá)的今天,對于企業(yè)而言,信息是否安全可能會牽涉到企業(yè)存亡,信息安全的重要性更加凸顯。
在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境里,要保證WEB服務(wù)器全天候運行無障礙,毋庸置疑的要選擇抗DDoS攻擊的網(wǎng)盾服務(wù)器,這是企業(yè)互聯(lián)網(wǎng)安全的重要保障措施之一。
網(wǎng)盾高防服務(wù)器
網(wǎng)盾高防服務(wù)器主要就是靠資源硬扛的防御,就像有人要打你,你去買幾把刀再穿個盔甲舉個盾牌去防身。在實際操作中我們需要做的就是:一是在IDC機(jī)房出口擴(kuò)容帶寬,比如由100G擴(kuò)容到600G甚至更高,當(dāng)然這些需要配置高端的路由器設(shè)備,還有網(wǎng)絡(luò)運營商的線路資源作為支撐。二是機(jī)房出口部署的防火墻設(shè)備需要逐步升級,就猶如在服務(wù)器前面加了個盾牌。“網(wǎng)盾服務(wù)器”就是滿足這些硬性要求的基礎(chǔ)上應(yīng)運而生。
如果一旦攻擊超過機(jī)房的出口,比如機(jī)房出口就200G,迎來一個高達(dá)600G流量的攻擊該怎么處理呢?這個時候就需要運營商在機(jī)房出口的上層配合流量牽引技術(shù),把正常流量和攻擊流量區(qū)分開,并把帶有攻擊的流量牽引到機(jī)房有防御能力的防火墻設(shè)備上去,而不是選擇自身去硬扛。就好比你自身防護(hù)裝備齊全后,在敵人必經(jīng)之路設(shè)置了很多路障或者暗器,先消耗他一部分精力,就好比作為虛偽目標(biāo)牽扯住了部分攻擊流量過來。
網(wǎng)盾服務(wù)器目前使用的是單節(jié)點的高防,算是比較傳統(tǒng)的防御模式。主要是通過架設(shè)防火墻設(shè)備和擴(kuò)大帶寬出口去抵抗清洗攻擊流量,需要有充裕的資源作為支撐,說白了防御攻擊的能力主要取決于機(jī)房的條件。
網(wǎng)盾高防IP
網(wǎng)盾高防御IP是利用各種區(qū)域內(nèi)具有大帶寬和保護(hù)能力的DDoS多個保護(hù)節(jié)點對源服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā)實現(xiàn)DDoS保護(hù)。單節(jié)點DDoS保護(hù)能力一般在300-1000Gbps之間。
網(wǎng)盾高防IP其實也像網(wǎng)盾高防服務(wù)器一樣,理論上一個客戶的網(wǎng)站或者應(yīng)用遭受攻擊的時候,將網(wǎng)站遷移到高防服務(wù)器不就可以了嗎?但是很多時候,幸福(攻擊)來的太突然,就像有人急著叫囂要打你,你以為他只是聲音大,結(jié)果馬上就動手了。如果你的網(wǎng)站之前在普通機(jī)房,又或者遭受的攻擊超過了你當(dāng)前機(jī)房的防御閾值,根本沒有機(jī)會和條件及時遷移到高防服務(wù)器上,那一瞬間不就很尷尬,眼睜睜的挨打并且毫無反擊之力。連給你去買武器買盔甲的機(jī)會都沒有,這種情況下怎么辦呢?這時候高防IP就可以來救場了。立即購買使用高防IP,通過高防IP加端口轉(zhuǎn)發(fā)并且是輪詢的的方式,將攻擊流量都引流到高防IP,讓攻擊者一直都去打舉著“盾牌”的高防IP,而找不到源站在哪兒。此時,源站服務(wù)器依然可以穩(wěn)定可靠的響應(yīng)服務(wù)請求。就像有人打你,你找個大哥到前面擋著,他去應(yīng)戰(zhàn),你去后面躲著偷著樂(聽起來挺不厚道...反正是這個理兒)。
使用高防IP的好處就在于,用戶不需要重新部署環(huán)境,轉(zhuǎn)移數(shù)據(jù),只需要快速做下轉(zhuǎn)發(fā)設(shè)置。理論上任何服務(wù)器都可以使用高防IP來防護(hù)DDOS攻擊,就好比買了一個盾牌可以拿來馬上防身,既方便有快捷。
網(wǎng)盾高防CDN
高防CDN就是帶防御的內(nèi)容分流網(wǎng)絡(luò)(Content Delivery Network),原理就是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò),依靠部署在各地的邊緣服務(wù)器,通過中心平臺的負(fù)載均衡、內(nèi)容分發(fā)、調(diào)度等功能模塊。使用戶就近獲取所需內(nèi)容,而不用直接訪問網(wǎng)站源服務(wù)器。使用高防CDN,不僅能解決不同地區(qū)的網(wǎng)絡(luò)訪問速度,還能有效減少因并發(fā)量太大給服務(wù)器帶來的壓力,可以隱藏網(wǎng)站源IP。其原理簡單的說就是架設(shè)多個高防分發(fā)節(jié)點,任意一個CDN節(jié)點被攻擊的時候各個節(jié)點共同承受。不會因為一個節(jié)點被攻擊或者被打死而導(dǎo)致網(wǎng)站無法訪問。依然可以比喻為有人要打你,你去喊一大幫強壯的兄弟部署等待在對手過來的路上去招架他們,打倒一個后面還有若干個候著。
高防CDN防御方式是通過使用足夠的CDN節(jié)點來實現(xiàn)DDoS保護(hù),一般需要至少超過10以上的CDN節(jié)點,而單個CDN節(jié)點具有20到100 Gbps之間的DDoS保護(hù)能力才能足夠有效的抵御攻擊。
一般CDN都是采取域名CNAME解析多點的方式進(jìn)行處理的。
三類網(wǎng)盾高防產(chǎn)品的差別和總結(jié)
網(wǎng)盾高防IP使用最方便,即買即用,WEB和游戲都合適。高防IP是無法像普通服務(wù)器那樣有便捷的桌面操作或者遠(yuǎn)程登陸,只有一個控制面板作為設(shè)置界面。當(dāng)你的源服務(wù)器遭到攻擊,而又不愿轉(zhuǎn)移數(shù)據(jù)信息或者更換服務(wù)器的時候,高防IP的牽引帶系統(tǒng)會對總流量開展智能化分辨過慮,確保正常的流量可以對服務(wù)器發(fā)出請求并獲得正常的解決。高防IP適用于應(yīng)用方面的防護(hù),如游戲業(yè)務(wù),各種應(yīng)用業(yè)務(wù)系統(tǒng)等。
高防CDN是多點防御,還有加速功能,適合WEB方面。相比而言,高防CDN 防御DDoS能力是要弱于高防IP的,但高防CDN 網(wǎng)站加速能力優(yōu)越,適用于對網(wǎng)站加速和DDoS防御要求不太高的用戶,如大型門戶網(wǎng)站(比如商城,首頁圖片過多)和其他業(yè)務(wù)。
網(wǎng)盾高防服務(wù)器屬于單機(jī)防御,拿機(jī)房服務(wù)器硬扛,屬于單打獨斗的解決方案。需要將服務(wù)器放置在高防機(jī)房中。"物以類聚,人以群分",高防機(jī)房中的服務(wù)器,大部分來自于易受攻擊的行業(yè),容易受其他被攻擊的服務(wù)器的影響,防御成本較高。理論上來說,防御成本永遠(yuǎn)比攻擊成本高,對流量攻擊的防御比較有限,受到超過防御的攻擊時只能做黑洞牽引,需要運營商上層調(diào)度配合,而且攻擊過大時影響網(wǎng)絡(luò)出口擁塞,和網(wǎng)絡(luò)穩(wěn)定性,不能靈活部署。
如何選擇適合自己的網(wǎng)盾高防產(chǎn)品
企業(yè)和個人在選擇高防網(wǎng)盾服務(wù)器產(chǎn)品的時候,一定要考慮防御是否合適、服務(wù)器的穩(wěn)定性、服務(wù)器配置好不好,最重要的是是否是正規(guī)的IDC公司,要考慮到資質(zhì)齊全,經(jīng)營的年限,以及服務(wù)保障水平口碑上。我們對于高防服務(wù)器產(chǎn)品的最大期望就是它的安全性和穩(wěn)定性,高防服務(wù)器本身就對安全防御的要求很嚴(yán)格,所以它有一些硬性條件,比如需要正規(guī)機(jī)房作為最基礎(chǔ)的環(huán)境,而且機(jī)房的軟件和硬件都要求非常的先進(jìn)。
一,選擇合適的防御
選擇服務(wù)器要根據(jù)自己的成本和日常被攻擊的情況,還有機(jī)型配置,結(jié)合起來考慮,最好是選擇以后可以彈性升級防御的機(jī)房,這樣如果最初選擇的防御不夠用,后期可以申請升級防御,節(jié)省了不少的麻煩。
二,服務(wù)器的穩(wěn)定性
要保證7*24小時不停的運作,保證所有網(wǎng)站正常運行,安全問題、硬件防御、軟件防御、抵制惡意黑客攻擊。
網(wǎng)盾科技(wangdun.cn)提供多個國家地區(qū)的高防服務(wù)器,服務(wù)水平和防御能力都屬于優(yōu)秀水準(zhǔn)。網(wǎng)盾全網(wǎng)總防御能力8T+,單節(jié)點高達(dá)2T+防護(hù),節(jié)點遍布全國主要城市,覆蓋電信、聯(lián)通、移動和BGP等優(yōu)質(zhì)運營商線路。
游戲類業(yè)務(wù)尤其是棋牌類的是DDoS最容易攻擊的地方,攻擊流量可達(dá)數(shù)百G,一旦遭受攻擊,可導(dǎo)致大批量用戶掉線、訪問延遲大等問題,極大影響游戲體驗。并且像這類游戲同行競爭激烈,攻擊會非常的多而且每次攻擊都不弱。這類DDoS的攻擊都可以用網(wǎng)盾服務(wù)器進(jìn)行有效的防御。
還有就是電商也特別需要網(wǎng)盾服務(wù)器??梢杂行У谋苊馔懈偲穼κ值拇驌?讓自己的網(wǎng)站更加的穩(wěn)固。一些重大的場合或者是活動,如電商行業(yè)舉辦促銷活動,或政企網(wǎng)站在大型會議期間,都是黑客活躍的時候。所以,選擇網(wǎng)盾服務(wù)器進(jìn)行防御,讓一切更順利平穩(wěn)。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!