|
 |
|
 |
 首页 >> 解决方案 >> 技术解决方案 |
|
|
| 中联绿盟:网络游戏抵抗拒绝攻击解决方案 [技术解决方案] |
| 计算机报 |
| 2005-10-24 9:43:00 文/ |
|
结合网络游戏行业的业务特点,从用户实际需求和购买力出发,量身定制专门针对拒绝服务攻击的解决方案。
DoS(Denial of Service,拒绝服务)攻击由于攻击简单、容易达到目的、难于防止和追查,越来越成为常见的攻击方式。而A公司所属服务器群组在IDC(互联网数据中心)机房中是一个主要节点,通过IDC中心接入线路实现相关资源信息的共享。现有计划托管在IDC机房的服务器设备约10余台,其中提供聊天、网关、Web相关业务服务各一台,均允许提供外部访问权限。和其他提供后台运行需要的服务器一样,对系统及业务数据的实时性、完整性、安全性有高标准的要求。
而相应的IDC由于在最初设计时对网络安全方面需求考虑不足,防范DoS攻击的功能和性能上均无法满足A公司现有需求,如果受到大规模攻击,将会造成服务中断,甚至系统瘫痪。为了增强服务质量和自身维护的需要,须要对IDC现有安全系统进行升级改造。为了提高A公司在IDC托管的服务器群的抗拒绝服务能力,需要在IDC网络内部署抗拒绝服务产品,用于实时保护这些服务器群。
需求分析
本次项目中,对DDoS(分布式拒绝服务) 防护功能需求如下:
要求能够防护SYN-FLooD、UDP-FLooD、ICMP-FLooD等大规模分布式拒绝服务攻击; 对旨在通过耗尽服务器连接数、利用各种畸形数据包进行的网络攻击的要求能够进行安全防护。
要求在网络中透明接入,不影响网络原先配置。可以进行Web方式管理,并对网络攻击行为具有记录、统计和报表图形化输出的功能,可以自动报警,进行升级。
● DDOS 防护性能要求:对于SynFlood、ICMP Flood、UDPFlood 等DDoS攻击报文大小在64字节~256字节之间,流量不超过80M时,要求平均响应时间不超过5毫秒,平均连接成功率不低于99%。
● 能够在网络层具有全面的入侵防护能力,能提供广泛的监视入侵和攻击监测、阻塞、报警、记录及实时响应等各种功能。
方案实现
绿盟科技的“黑洞”抗拒绝服务产品是国内应用比较广泛、效果也比较显著的产品。整个系统为网桥模式设计,能够透明地部署在网络中。支持10M、100M或1000M以太网的多种光/电接口。内置了常见网络环境下的最优参数设置,部署非常方便。而B/S结构的管理界面能直观地监控当前攻击和网络流量,记录攻击来源和类型。在应急情况下可以在数分钟内部署完毕并恢复网络运行。
绿盟科技的“黑洞”抗拒绝服务系统有四个规格的产品:Collapsar-200、Collapsar-600、Collapsar-1200、Collapsar-1600。由于Collapsar-200的硬件配置定位为小型网站和企业,只能处理50M左右的小包攻击流量,无法满足IDC用户实际的情况和其他指标要求。因此,我们选择Collapsar-600型号产品无限IP一台。随着A公司业务量的不断扩大,服务器个数也会不断地增加,选择不限制IP的Collapsar-600是用于实时保护重要服务器网段的安全性,也为服务器群的扩展性提供了空间。
从部署示意图中我们可以看到,一台无限IP的Collapsar-600用于放置在服务器群网段的交换机上行端口,用于保护整个重要网段的全部服务器,这种部署方式是一种相对经济有效的选择。未来根据实际网络情况,或者考虑开展抗拒绝服务攻击增值业务,可以考虑使用Collapsar-1200型号或Collapsar-600型号放置在各个VIP网段。
专家点评
优点 中联绿盟信息技术(北京)有限公司结合网络游戏行业的业务特点,提供了在百兆和千兆网络环境下抵御拒绝服务攻击的技术方案。方案简要介绍了托管IDC的安全基础设施,并且对IDC的风险进行了列举。方案以某公司服务器群为例介绍了拒绝服务攻击的特点及其所带来的危害。方案具有较好的扩展性,也可为其他开展网络业务的用户提供参考。与其他方案相比,该公司提供了较多的用户名单,让人感觉该方案可行性较强。
不足 也许是出于保护技术秘密的原因,对该公司的两款产品介绍较多,而对如何抵御拒绝服务攻击的相关技术介绍偏少。
·IT产品报价大全 |
|
|
|
|
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
