在實(shí)際操作中,高防御服務(wù)器采取以下解決方案:
首先,擴(kuò)大機(jī)房出口帶寬。增加帶寬可以應(yīng)對更大規(guī)模的攻擊流量,需要配備高端路由器設(shè)備,并得到網(wǎng)絡(luò)運(yùn)營商的支持。通過將帶寬從100G擴(kuò)展到600G甚至更高,提供更強(qiáng)大的網(wǎng)絡(luò)傳輸能力。
其次,升級防火墻設(shè)備。在機(jī)房出口部署防火墻設(shè)備,相當(dāng)于為服務(wù)器設(shè)置了一道防護(hù)罩。防火墻能夠識別和過濾攻擊流量,提供基本的防御功能。
當(dāng)攻擊流量超過機(jī)房出口能力時(shí),例如機(jī)房出口帶寬為200G,面對高達(dá)600G的攻擊流量,需要與網(wǎng)絡(luò)運(yùn)營商合作,采用流量牽引技術(shù)。這種技術(shù)可以區(qū)分正常流量和攻擊流量,并將攻擊流量引導(dǎo)到機(jī)房內(nèi)具備防御能力的防火墻設(shè)備,而不是直接承受攻擊。這類似于在敵人必經(jīng)之路上設(shè)置路障和隱藏武器,消耗攻擊者的能量,并將一部分攻擊流量轉(zhuǎn)移到受防御的設(shè)備上。
目前,高防御服務(wù)器采用的是單節(jié)點(diǎn)防御,傳統(tǒng)的防御模式。主要依靠設(shè)置防火墻設(shè)備和擴(kuò)展帶寬輸出來清理攻擊流量,需要充足的資源支持。防御攻擊的能力主要取決于機(jī)房的條件。
高防御服務(wù)器屬于單機(jī)解決方案,服務(wù)器需要放置在高防御機(jī)房中。高防御機(jī)房通常托管易受攻擊行業(yè)的服務(wù)器,容易受到其他受攻擊服務(wù)器的影響,防御成本較高。理論上,防御成本總是高于攻擊成本,針對流量攻擊的防御有一定的限制。當(dāng)攻擊超出防御能力時(shí),只能通過黑洞路由進(jìn)行拉黑處理,這需要運(yùn)營商的配合。同時(shí),當(dāng)攻擊規(guī)模過大時(shí),可能會(huì)導(dǎo)致網(wǎng)絡(luò)出口擁塞和網(wǎng)絡(luò)不穩(wěn)定,無法實(shí)現(xiàn)靈活部署。
