猿创征文|HCIE-Security Day53:Anti-DDoS设备简单谈

已于 2022-09-07 13:55:07 修改
阅读量2.6k 收藏 11
点赞数 3
分类专栏: HCIE-Security 文章标签: 安全 华为 网络安全 HCIE 认证
于 2022-09-07 13:54:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/126738326
版权

 

 

AntiDDoS解决方案

华为Anti-DDoS方案包括三大组件:检测中心、清洗中心和管理中心(ATIC)。我们可以将他们形象地比喻成侦察机、战斗机和指挥部。

检测中心是方案中的“侦察机”,主要负责对流量进行检测,发现流量异常后上报管理中心,由管理中心下发引流策略至清洗中心,指挥清洗中心进行引流清洗。

清洗中心是方案中的“战斗机”,主要负责根据管理中心下发的策略进行引流、并对流量进行清洗(过滤),并把清洗后的正常流量回注,同时将这些动作记录在日志中上报管理中心。

管理中心(ATIC)是方案中的“指挥部”,负责检测中心和清洗中心的统一管理和调度,以及日志记录和报表呈现,并提供Anti-DDoS方案的运营。

检测中心

检测中心负责对流量进行检测,发现攻击后上报管理中心,由管理中心下发引流策略至清洗中心进行引流清洗。

旁路部署,通过分光或者镜像的方式将流量引导给检测中心。

作用是对原始流量进行检测,并将检测结果送到管理中心。使用anti-ddos 8000的检测板或anti-ddos 1500D来进行检测,也支持使用netflow协议配合第三方设备如arbor、威睿等来进行检测。

清洗中心

清洗中心主要根据管理中心下发的策略进行引流、清洗,并把清洗后的正常流量回注,同时将这些动作记录在日志中上报管理中心。清洗中心提供多种DDoS流量清洗手段,可以准确识别正常流量,清洗各类异常流量,包括流量型攻击、应用层攻击、扫描窥探型攻击及畸形包攻击。清洗中心同时具备检测中心的功能,当业务对检测清洗性能要求较低时可只部署清洗中心。 

完成对异常流量的引流、检测清除、清洗后流量的回注等功能。支持多种引流方式,可以实现完全动态引流。支持多种回注方式,根据不同情况可以灵活选择。管理中心下发清洗策略给清洗中心,清洗中心根据策略与相关路由器建立连接完成引流,对相关流量完成清洗后,再将流量回注给相关路由器。

管理中心

即ATIC,负责检测中心和清洗中心的统一管理,是Anti-DDoS解决方案的管理中枢。提供设备管理、策略管理、性能管理、告警管理、报表管理等功能。

整个方案的中枢,通过管理中心将检测分析中心和清洗中心连接起来形成完整的解决方案。

管理中心分为管理服务器和数据采集器两个部分,可以安装在一台服务器上,也可以安装在不同服务器上。可以是虚拟化产品,部署在windows或者linux系统上,类似于esight网管中心。

设备型号

 

检测中心和清洗中心一般使用同一台设备,也可以使用阉割版的清洗设备作为检测设备,以AntiDDoS1800为例,AntiDDoS1800-D是单纯的检测设备,而AntiDDoS1800既可以检测又可以清洗。管理中心设备一般以服务器+软件系统组成,主要维护一个数据库,一般是windows2012R2+mysql。

工作流程

华为Anti-DDoS方案的经典部署图如下所示。

 

                                                           

1、检测中心对分光或者镜像流量进行检测。

2、检测中心发现流量异常后,会上报受攻击的IP地址到管理中心。

3、管理中心会自动向清洗中心下发引流策略。

4、清洗中心会根据引流策略将去往被攻击IP地址的流量引流到自身。

5、清洗中心通过先进的多层过滤防御技术对流量进行清洗,丢弃攻击流量。

6、清洗中心将清洗后的正常流量回注到网络中。

7、清洗中心上报攻击日志到管理中心,管理中心负责呈现流量清洗效果。

Anti-DDoS设备部署模式      

Anti-DDoS方案主要支持直路部署、旁路静态引流和旁路动态引流部署三种模式,如下图。

      

 

直路部署 

直路部署组网简单,不需要额外增加接口,由于所有流量都将经过DDoS防护设备,在个别攻击防护上要优于旁路部署。但这也是对DDoS防护设备可靠性的考验,因此,方案采取了清洗设备外置Bypass卡或直路双机部署方式,保证清洗设备故障时业务流量能够正常通过,增强链路可靠性。这时,就出现了一个问题:如果用户组网复杂,难以使用直路部署,甚至不希望破坏原有组网的情况下,该怎么办?

旁路静态引流部署

于是,旁路部署应运而生,首先介绍旁路静态引流部署。所谓静态引流,就是将所有去往防护对象的流量都引流到清洗设备进行清洗,不论流量是否存在异常。这样虽然不用部署检测中心,但对清洗设备性能要求较高。如果清洗设备性能不足,有可能会影响客户的正常业务。

于是,又出现一个问题:

在大流量场景下,如果让DDoS防护设备对所有流量进行处理将耗费大量的转发性能,导致安全投资上升,同时仍可能面临影响客户的正常业务风险。问题

如何彻底解决呢?     

旁路动态引流部署

所谓动态引流,就是将去往防护对象的流量会先复制一份到检测设备进行检测,如果发现存在异常才会被引流到清洗设备进行清洗。动态引流的优点在于只有异常流量才会被引流清洗,正常流量会被正常转发。

旁路动态引流部署在保证原有组网不被破坏的基础上,实现了上行流量无需经过DDoS防护设备,下行流量按需牵引,使防护性能及可靠性都得到了保障。

不管是哪一种方式,都是存在管理中心。只能旁路在路由器或者三层交换机上,不能旁路在防火墙上。

ATIC管理中心部署

Anti-D

最低0.47元/天 解锁文章
信封同学
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
DDoS攻击防范技术
曹世宏的博客
05-16 7355
网络攻击介绍可参考:网络攻击介绍 Anti-DDoS防御体系介绍 Anti-DDoS介绍: 华为的Anti-DDoS是主要用来防范DDoS攻击。 DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正...
我眼中的DDOS
ovowovo的博客
02-25 1626
DDoS威胁的现状 互联网和我们的工作、生活,已经结合得越来越紧密。互联网上承载了越来越多的重要业务,已经成为了关乎国计民生的关键基础设施。DDoS攻击,是对互联网基础设施的重要威胁之一,甚至可能导致一些关键业务发生长时间中断。在网上已经有很多相关的案例,在此不再阐述。 DDoS防护的现状 DDoS的攻击防护,实质上是资源的对抗。不像病毒木马、网站入侵、数据脱库等悄无声息的攻击方式,DDoS攻击受...
【异常检测论文】Anomaly Detection综述
小苏打的学习博客
10-29 5517
一、简介 异常检测一直是机器学习中一个非常重要的子分支,在各种人工智能落地应用例如计算机视觉、数据挖掘、NLP中,异常检测算法都是很热门的研究方向,特别是大数据时代,人工处理数据的速度已经远远赶不上机器了,所以更快地检测数据中的异常情况成为了我们当下非常重要的任务。在深度学习广泛的推广之前,传统的异常检测算法有很多,例如高斯拟合,半监督学习等等,而在深度学习大火之后,人们也开始研究将深度学习应用于各种异常任务中(也就是Deep Anomaly Detection,以下统称DAD),并取得了很大的成功,本文将
华为安全 HCIP722笔记
u014576453的博客
03-20 9391
华为安全722题库知识点总结。
什么是ddos攻击,怎么防御ddos攻击?
热门推荐
yuubeka的博客
03-15 1万+
因为最近要测试antiddos的功能,所以简单了解了一下antiddos是什么 什么是ddos攻击 ddos全称是Distributed Denial of Service,翻译过来就是分布式拒绝服务。拒绝服务呢,就是用某种技术手段让被攻击的服务器资源耗尽,拒绝正常请求;分布式呢,可以理解成多台计算机联合起来作为一个攻击平台。 ddos攻击方法 攻击原理 如上所述,ddos攻击的目的是为了让被攻击的服务器资源耗尽,服务器资源当然包括计算、网络、存储等, ......
关于Anti-DDoS
qq_54193543的博客
01-17 363
流量清洗是指通过一系列技术手段和算法,对网站的访问流量进行筛选和过滤,以排除无效、虚假或恶意的访问请求。流量清洗可以有效应对分布式拒绝服务攻击。3.清洗中心负责清洗(引流和回注)支持多种引流方式,可以实现完全动态引流,支持多种回注方式,根据不同情况可以灵活选择。但理解这项技术时需要明确其局限性,Anti-DDoS流量清洗应被视为一种辅助工具,虽然能够防止和减轻分布式拒绝服务攻击对网络系统的影响,但不能完全消除DDoS攻击,它不是解决DDoS的终极解决方案,还应采取其它安全措施来增强网络的抵抗能力。
HCIE-Security 网络安全专家 V3.0 培训教材及实验手册
04-09
HCIE-Security V3.0 考试大纲.pdf HCIE-Security V3.0 实验手册.pdf HCIE-Security V3.0 培训教材.pdf
HCIE-Security V1.5.rar
07-17
内涵HCIE-Security华为认证网络安全精英培训教材V1.5,HCIE-Security华为认证网络安全精英培训实验手册,资料难得,望珍惜!
HCIE-Security V2.0培训PPT.rar
06-21
11 模块二 第七章 DDoS攻击与防御 12 模块二 第八章 主机安全与加固 13 模块二 第九章 数据安全 14 模块三 第一章 典型安全组网设计 15 模块三 第二章 防火墙技术综合应用 16 模块三 第三章 用户管理技术 17 ...
HCIE-Security V2.0 培训教材.rar
04-18
HCIE-Security V2.0 培训教材》是华为认证的顶级专家级课程,专注于网络安全领域的深度学习和实践。此教材涵盖了网络安全的各个方面,旨在培养具备高级网络安全技术能力的专业人士。作为华为认证互联网专家...
HCIE-Security培训视频教程【共31集】.rar
06-25
目录: 网盘文件永久链接
Anti-ddos之BGP引流模式实验
weixin_43311721的博客
01-19 506
BGP引流是一种常用的引流方式。清洗设备通过BGP向路由器发布UNR路由,将防护对象的流量引导至清洗设备。在引流路由器、清洗设备和ATIC管理中心上均需要配置。
antiddos翻译_AntiDDoS8000 DDoS防御系统
weixin_29838911的博客
01-17 411
组网应用场景1:城域网防护城域网是指在地域上覆盖一个城市范围,为城域多业务提供综合传送平台的网络,主要应用于大中型城市地区。提供通用和公共的网络构架,以高速有效地传输数据、声音、图像和视频等信息,满足用户日新月异的互连网应用需求。如图所示,Netflow检测设备实时采集路由器Netflow日志,判定网络中的流量是否异常。发生流量异常时,通知清洗设备启动清洗。清洗设备旁路部署在核心路由器Router...
网络出口区流量清洗经典引流方案分享
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
02-23 1542
网络出口区流量清洗经典引流方案分享拓扑结构业务需求方案规划配置实现转发原理结果测试 拓扑结构 业务需求 某网络需在网络出口区部署Anti-DDoS设备,现需要将南北向业务流量(本案例使用PC1<—>PC2间流量模拟)进行静态引流至清洗设备(本案例使用Router型号模拟器模拟)。 方案规划 1.在出口路由器R1连接南北向业务流的任意一个接口上绑定一个VPN实例(本案在连接PC1的端口下绑定VPN实例),使得绑定了VPN实例的接口在接收到流量并做后续转发时,在VPN实例对应的VPF中查找目的路由
ChinaDDoS BGP 流量牵引二层VLAN回注配置
奋斗中拥有
08-15 6454
ChinaDDoS BGP 流量牵引二层VLAN回注配置业务规划为满足组网需求,相关业务规划如下: 1. 防护对象 IP 地址为 192.168.143.2/24。 2. 清洗设备的接口 XGBE0 用于引流,子接口 XGBE0.41 用于回注。 3. 在 Switch1 上建 VLAN 68 和 VLAN 41,配置 Switch1 接口 XGE0/0/4 为 hybrid 口,允许VLA
端口镜像
PacketLittle的博客
02-04 5897
华为NE80E/40E端口镜像NE80E/40E镜像特性性 支持每个接口板配置一个观测端口 支持对上送CPU报文进行单独镜像 支持同板和跨版的上、下行镜像 支持二层端口配置镜像功能 配置镜像功能注意 对帧不进行修改。输入侧,帧去掉帧头之前被镜像;输出侧,帧在修改之后被镜像 不建议在观测端口再配置其他业务 每块接口板上的镜像报文只能镜像到同一个观测端口 路由器支持不同类型接口之间的镜像,如GE与PO
征文HCIE-Security Day54:anti-ddos设备防御原理
小梁的博客
09-07 1783
相比防火墙,anti-ddos设备是专门做anti-ddos的,所以很多功能都是防火墙没有的。
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 555
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
"HCIE-Security备考指南:NAT策略精萃
HCIE-Security备考指南——NAT策略1 本文是《HCIE-Security备考指南——NAT策略1》的总结,对于备考HCIE-Security的考生来说,掌握好NAT策略是非常重要的。下面将根据HCIE-Security备考指南的内容,详细介绍NAT策略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值