城域网大型数据中心流量净化方案

解决方案概述

　　业务挑战

　　DoS/DDoS攻击从种类和形式上多种多样，从最初的针对系统漏洞型的DoS攻击（如Ping of Death），发展到现在的流量型DDoS攻击（如SYN Flood、UDP Flood、ACK Flood等），以及越来越频繁出现的针对应用层的DoS攻击（如Http Get Flood、连接耗尽、CC等）。从以往国内外的攻击实例来看，DoS/DDoS攻击会对IDC的业务产生重大的影响，造成巨大的损失：

　　重要的用户服务器遭受攻击——造成核心客户的流失

　　IDC线路带宽资源被占用——造成整体服务质量下降

　　日益繁多且复杂的应用层攻击——造成利润客户流失

　　解决之道

　　苏州乐拓数据中心长期专注于如何在城域网环境中抵御DDoS流量，利用业界知名的ADS抗拒绝服务系统，制定了乐拓数据ADS流量净化矩阵的解决方案——NC2M（NSFOCUS Collapsar CleanMatrix）。该方案采用多层的攻击流量检测、防护、过滤机制，及时发现背景流量中各种类型的攻击流量，以基于流量牵引技术的旁路方式，在城域网中迅速对攻击流量进行过滤，保证网吧及专线接入业务的正常运行。

　　由于近几年网络设施建设的不断发展，以及新的IDC业务的出现，使得IDC又开始了新的发展期。电信运营商参与IDC市场使得一级IDC的网络设施建设不断提升，从以前的单链路上联，发展到现在的双千兆链路，甚至2.5G POS链路也越来越常见。此种IDC一般以两台核心交换机为核心层，上联接入路由器，下联接入层交换机到用户服务器层，同时由运维管理网络对整个IDC的网络与业务进行管理。上端的接入路由器多数情况属于电信运营商城域网组成，作为边界路由器上联城域网骨干。

　　针对典型的 IDC 双链路方式，我们推荐抗拒绝服务系统采用ADS旁路部署方式：

　　图：苏州乐拓ADS流量净化矩阵——大型数据中心流量净化

　　方案优势

　　苏州乐拓数据ADS流量净化矩阵的解决方案——NC2M（NSFOCUS Collapsar CleanMatrix）在针对专线和网吧用户的流量净化中具有如下优势：

　　采用专用抗DDoS设备进行防护 由于城域网接入用户的客户面广，业务具有多样、复杂的特点，加之参杂商业竞争等因素，所以很容易受到多种类、大流量的DDoS攻击。针对DDoS攻击，流量净化矩阵的方案采用了乐拓数据专门的抗拒绝服务系统——ADS进行全方位的保护。

　　利用集中防护、IDC客户租用抗DDoS服务的方式为IDC运营商创造新的增值服务业务 乐拓数据的流量净化矩阵在保证IDC网络流量净化的同时，可以帮助运营商提供增值服务的形式，向重要客户提供抗DDoS服务，收取一定的费用。这样既能够为多数客户集中解决DoS攻击的问题，提升IDC整体的服务质量与竞争能力，又可为IDC增加一定收益。

　　有完备的事件处理步骤及紧急响应机制，在用户遭受DDoS攻击时能够提供及时有效的应对策略 一套好的抗拒绝服务解决方案，不仅仅是提供设备，而且需要完整的运行维护、服务支持与应急响应方案。绿盟科技不仅具备完善的产品方案，同时具有强大的技术支持服务能力、快速应急响应能力以及对网络安全深入的研究能力，真正为城域网运营商提供完备易用的抗拒绝服务系统。