近年来由于DDoS攻击变得越来越频繁、强大,复杂,许多单位比如行政,企业,事业等都开始求助于DDoS缓解服务提供商来保护自己免受攻击。我们在评估DDoS防护解决方案之前,应该先了解自身的网络以及应用的需求、目标和限制。这些因素将定义选择最佳解决方案的标准。中新金盾专业抗DDoS攻击(含CC攻击)系列防火墙总结了需求客户在考虑DDoS防护措施时应该思考以下几个问题:
1. 该行政企事业单位(以下简称单位)的数据中心规划是什么? 许多单位正在将数据中心工作负载迁移到云端部署。而是否投资新设备或是否采用云服务在很大程度上都取决于这一考虑因素。计划缩减数据中心规模(或完全取消数据中心)的单位可以考虑使用云服务。如果单位要在可预见的未来需要维护物理数据中心,那么投资于DDoS防护缓解设备可能就很值得。
2. 单位目前的DDoS攻击威胁概况是什么? 哪种防护模式最适合单位很大程度上取决于单位的威胁概况。如果单位经常遭受到一系列非大流量DDoS攻击的侵扰,那么本地解决方案可能就是有效的解决方案。如果他们面临大规模的大流量攻击,那么云端或混合防护解决方案会更好。 本地的解决方案分为网络边界和服务器本地的DDoS防护,网络边界通过串联或者旁路部署中新金盾抗拒绝服务系统(金盾硬件防火墙)对互联网的流量进行清洗,服务器本地安装中新金盾DDoS防护系统(金盾软件防火墙)对到达本地的攻击进行过滤,该双层防护方案基本可以完全防御和缓解各类DDoS攻击包括CC攻击(点击了解DDoS的攻击类型)。云端防护解决方案一般是将业务转移至云计算平台的云服务,通过购买DDoS防护增值服务来抵御攻击,另一种是单位自建云平台,内置集成中新金盾VDDoS防护系统(金盾虚拟防火墙)来实现全局防护和针对每个云主机开放独立权限的自定义防护。
3. 单位应用是否是关键业务应用? 与其他防护模式相比,某些DDoS防护模式提供了更快的响应(和防护)时间。许多单位可以在不引起重大损害的情况下化解短时中断。然而,如果服务承担不起哪怕片刻的宕机代价,那么这将在决策过程中发挥重要作用。
4. 单位应用对延迟有多敏感? 另一个重要考虑因素就是单位及其应用对延迟的敏感性。云端服务往往会增加应用流量的延迟,因此,如果延迟是一个大问题,那么本地解决方案——无论是串联或旁路部署——都可能是相关的。
5. 单位是否处在受监管行业? 一些单位处在需要处理敏感用户数据的受监管行业。因此,他们不被允许——或不喜欢——将服务迁移至云端。
6. 控制能力对单位而言有多重要? 一些单位非常重视控制能力,而另一些单位则希望由其他人来处理这一负担。物理抗DDoS设备(比如中新金盾抗拒绝服务系统)可以为单位提供更多控制能力,但也需要更多的开销。然而,其它单位可能更喜欢云服务的低开销。
7. CAPEX 与OPEX? 包括物理硬件设备(如本地DDoS设备)的解决方案通常会作为资本支出(CAPEX),而持续的订阅服务(如云端DDoS防护服务)则会被视为运营支出(OPEX)。根据会计和采购流程的不同,一些单位对一种类型的偏爱可能更胜对另一种。
8. 单位预算是多少? 最后,在选择DDoS防护解决方案时,决策在很多时候都取决于成本和可用资金。这也是了解总体拥有成本(TCO)很重要的原因,包括额外的开销、基础架构、支持、员工和培训。
根据以上问题的答案,单位就可以定义在DDoS解决方案中哪些内容对他们而言是更重要的标准,并以此为基础进行选择。通常,对寻求数据中心防护或需要保护关键业务应用与对延迟敏感的应用的单位而言,混合防护解决方案将提供最佳的防护。 混合DDoS防护措施整合了本地和云端组件。该防护措施提供了低延迟和不间断防护,以及缓解大规模的大流量DDoS攻击所需的高容量。 对希望保护托管在公有云提供商(如AWS或Azure)中的应用的单位,或频繁遭受攻击的客户而言,永远在线的云端解决方案通常是最佳选择。 永远在线的云服务提供了不间断的持续云端DDoS防护。然而,由于所有流量都要通过提供商的清洗网络进行发送,因此可能会增加请求的延迟。
最后,对于不经常遭受攻击或预算有限的客户而言,按需云端解决方案通常就可以满足需求。按需云服务只有在单位遭受到DDoS攻击时才会启动。然而,与其他模式相比,检测和转发通常需要更长的时间,这就意味着客户可能会暴露更长时间。不同单位的最佳DDoS解决方案参数肯定大不相同,考虑以上八个问题可以帮助单位找到最适合DDoS防护解决方案。 不管是云服务还是物理数据中心,在期网络边界都需要部署物理硬件抗DDoS设备,因云数据中心是由各地的物理数据中心组成的 ,所以选择中新金盾专业抗DDoS攻击(含CC攻击)系列防火墙做好物理数据中心的DDoS防护是重中之重。