对于企业来说,对于DDos的防范要远远难于对网络病毒、垃圾邮件的防范。对付这种防不胜防的攻击形式,借助专业的安全设备才是硬道理。
根据公安部一份信息网络安全状况调查显示,在近万家接受调查的金融证券、教育科研、电信、广电、能源交通等企业中,发生网络安全事件的比例为58%。 其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,而拒绝服务、端口扫描和篡改网页等网络攻击事件占43%。
对于企业来说,对于DDos的防范要远远难于对网络病毒、垃圾邮件的防范。在许多企业当中,尽管防火墙、入侵检测、防病毒等常见安全产品基本都已部署却依然不断受到DDos这种攻击,这种攻击让传统的安全设备难以发挥作用。
心有余而力不足
DDos的攻击目标非常明确:阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。DDos的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。
DDos带来的危害是巨大的,很多门户网站遭受DDos的攻击后,网页无法显示,网站全面瘫痪,最终被迫关闭。在恶意攻击越来越多的今天,更为复杂和难以预防。
不幸的是,传统的安全设备都无法应对层出不穷的攻击手段:攻击特征码只有在攻击发生以后才能被分析出来,因此这种防御手段虽然有效,但是缺少足够的主动性;通过阀值的限制误判的可能性极大,会在防范攻击的同时严重损害正常的应用和服务;新型的攻击层出不穷,基于特征和基于阀值的防范方式都只能从网络的行为的局部来降低攻击带来的负面影响。因此,在网络安全形势日益严峻的今天,我们需要多层次的、真正了解网络行为并行之有效的主动防范机制。
防DDos需要专业设备
在当前的众多网络应用安全前沿产品当中,Radware DefensePro是一种综合了IPS和防DDos攻击的专用解决方案,它采用了多层安全架构,分别检测和抵抗不同类型的攻击,确保只有“清洁”流量进入受保护的区域,在业内首先提供了高达6千兆位的速度防范入侵和拒绝服务攻击功能,可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。
DefensePro是市场上唯一同时具备IPS、防DDos、基于网络行为模式安全产品,并具备带宽管理功能,有效地在出口限制P2P应用带宽及垃圾流量。
DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度的Dos防范。Behavioral DoS基于网络行为模式实现自动攻击防范。借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术,Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒,避免危害的发生。
所有上述流程都由DefensePro自动完成,其主要优势在于Zero-day Dos/DDos的未知攻击防范,无需人为手工干涉;对Dos攻击的完全防范、较低的CPU资源消耗;自适应的行为判别模式,将误判率降至最低;完全自适应功能、无需策略配置、无需维护成本。除了基于特征的入侵识别,能够准确地识别和抑制攻击;专用的硬件加速器,确保了告诉的检测和防范以及网络吞吐量三个模块外,DefensePro还提供黑白名单-访问控制列表的功能。Syn Flood防范是为了提供全面的SynFlood攻击防范能力,除了Dosshield和Behavioral Dos之外,DefensePro采用SynCookie技术基于源地址监视来发现恶意攻击源,并提供多重级别的防范措施。
此外,DefensePro还具备带宽管理的功能。能够根据网络数据包的源/目的地址、应用端口和内容(IP header或IP Data)区分流量,还可以限制相同用户的并发会话和每个会话的带宽,从而阻止和控制各种流量的带宽应用。
此外,作为网络应用安全的完整解决方案,DefensePro能够对所有外来数据流进行监测和检验以确认是否为系统许可的访问和应用,基于一流的数据库和不断更新的检测识别能力、始终保持增长的全面攻击防范能力保证了DefensePro能够提供多重级别的防护措施。在实际运用中良好的性能和硬件维护也使得DefensePro能向企业持续提供最为安全可靠的系统保障。
