e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

安全产品老大不是防火墙,竟然是APS

2017/10/8    来源:DOIT    作者:佚名      
关键字:安全产品  APS  
对于安全产品类型,从防火墙、IPS、防病毒、漏洞扫描,到上网行为管理、WAF、负载均衡很多人能够脱口而出,这些安全设备顺序串接在路由器之后,企业网入口,对用户信息系统提供安全防护,是必不可少的安全设备。
    对于安全产品类型,从防火墙、IPS、防病毒、漏洞扫描,到上网行为管理、WAF、负载均衡很多人能够脱口而出,这些安全设备顺序串接在路由器之后,企业网入口,对用户信息系统提供安全防护,是必不可少的安全设备。其中,尤以防火墙设备最为重要,是企业安全防护首选的设备。如果安全也有12生肖,防火墙毫无疑问应该就是鼠老大。
 
    但随着APS设备日益受到关注,防火墙“鼠老大”的地位不保。那么APS是什么?为什么APS成为首要的选择?
 
    这就要从DDoS(Distributed Denial of Service,分布式拒绝服务)攻击说起。
 
    说到DDoS,可以用谈虎色变来形容。DDoS攻击是指借助于Client/Server技术,多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。攻击者可以在几秒钟内激活成百上千次代理程序对目标进行攻击。
 
  DDoS攻击流量近5年来飙升到1TB
 
    DDoS攻击流量近5年来飙升到1TB
 
    有数据显示,近5年来 DDoS攻击的流量已经从数十Gb飙升到1TB,设想一下,这样的一个攻击流量,对于企业用户来说,无论如何难以抵挡。但是幸运的是,这种被称为暴力洪水式的DDoS攻击已经并不多见。原因在于,这种洪水式的攻击通常会暴露受感染客户端,导致资源被封,会损失攻击者所掌控的宝贵资源。所以,有人将这种暴力洪水DDoS攻击称为“核武器”,不到万不得已时候,是不会轻易使用的。
 
DDoS攻击形态
 
    DDoS攻击形态
 
    如今,攻击者更倾向于采用更加具有针对性DDoS攻击手段。目前,主要有两种方式:状态耗尽攻击和应用层攻击。前者针对前面说过的防火墙等安全设备,因为这些设备有一个共同特征就是存在着“状态特征”,状态耗尽式DDoS就针对这些“状态”实施攻击,耗尽状态资源。与暴力洪水相比,状态耗尽DDos攻击需要消耗的资源更,同样可以达到攻击、勒索的目的。应用层DDos攻击就是针对应用软件发动的攻击。
 
    有数据显示,如今状态耗尽、应用层DDoS攻击逐渐递增,已经可以占据DDoS 总攻击流量的50%。对于这种新型的攻击,无论是运营商,还是传统安全设备基本上是束手无策。原因在于运营商实施的检测主要集中在网络2层、3层;没有办法对于4~7层内容实施检测,提供安全防护;对于传统安全设备来说,本身就是DDoS的攻击对象。
 
阶层式DDoS防护策略
 
    阶层式DDoS防护策略
 
    针对DDoS攻击新的特征。目前推荐的应对方法就是阶层式DDoS防护策略,在客户端添加APS(Availability Protection System)设备。据Arbor Networks大中华区总经理金大刚介绍,APS挂接在路由器之后,防火墙之前,是企业级安全防护的第一关口,较之防火墙等安全设备,APS是一种无状态的设备,可以有效应对状态耗尽攻击,同时借助多年的经验积累,以及400多家ISP运营商的数据合作,可以有效应对包括应用层在内的DDoS攻击。
 
 APS挂接在路由器之后,防火墙之前
 
    APS挂接在路由器之后,防火墙之前
 
    很多时候,企业级用户会感觉到系统响应缓慢,更多会把原因归咎于网络接入稳定性等客观条件,从而忽视了来自网络的DDoS攻击,这些攻击不仅占用企业宝贵网络资源,与此同时,也会时刻威胁企业信息系统的安全。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐