DDoS 防護的選擇:雲端或本地端
分散式阻斷服務攻擊(DDoS)已經從大型企業和遊戲巨頭的專利,演變為所有規模的企業都可能面臨的挑戰。這迫使安全團隊決定將 DDoS 過濾設置在雲端、本地的路由器,或是兩者兼具。本文將詳細分析這些模式的實際權衡,並解釋如何通過 FastNetMon 來結合這些選項。
雲端 DDoS 保護的意義
雲端 DDoS 服務位於您網路的上游。流量會通過供應商的清洗中心,惡意封包在返回至私有隧道或 GRE 連接前被過濾掉。
典型功能:
- 具備每秒兆兆位元級別的頻寬,能吸收大型流量攻擊
- 全天候的安全運營中心(SOC)團隊調整過濾器
- API 接口或網頁入口進行手動觸發
- 永久在線或按需路由選擇
雲端防護的最佳時機
當流量攻擊遠大於本地連接容量時,雲端清洗是理想選擇;例如,一條 10 Gbps 的線路無法承受 200 Gbps 的攻擊,但具備兆兆位元容量的雲端服務能夠輕鬆應對。此外,供應商提供的全天候安全運營中心也方便無法隨時待命的團隊使用。
雲端防護的局限性
然而,這種保護方法可能對即時服務造成影響——例如語音、流媒體和遊戲用戶可能會注意到流量繞經偏遠清洗中心的額外延遲。另外,成本可能會隨著清洗後的“乾淨”流量量增加而上升,尤其是在流量繁忙的零售活動期間。最終,金融、醫療或政府的數據駐留規則可能限制流量離開某些司法管轄區,限制雲端清洗的可行性。
本地端防護的意義
本地端(或“內聯”)系統運行在您自己的 ASN(自治系統號碼)內——實體設備、虛擬機或容器化檢測器直接與您的路由器通信。
典型功能:
- NetFlow、sFlow 或封包捕獲,用於亞秒級檢測
- BGP 遠程觸發黑洞(RTBH)或流量規範進行快速封鎖
- 完全控制檢測閾值和緩解邏輯
本地端防護的合適時機
將清洗設備置於您自己的機架中,意味著封包不會離開網路路徑,因此延遲保持在低水平。因為控制在您自己的硬件上,您可以實施細緻的政策——僅丟棄、限速或重定向您選擇的前綴和端口。在流量保持在同一合規範圍內時,數據隱私更容易保證,一次性資本購置(或固定年費)也帶來了可預測的支出,而不是無限增加的乾淨流量費用。
本地端防護的挑戰
一旦攻擊超過可用的傳輸量,這種模式就會失效:一旦連接飽和,無論什麼設備都無法恢復容量,除非添加額外的頻寬或上游過濾。它還要求隨時待命的監控;較小的團隊必須準備隨時監控警報、調整閾值並推送緊急路由更改。
混合模式的興起
混合設置將本地檢測與雲端卸載相結合。內聯系統從第一個封包開始監控流量,清洗小到中型的流量攻擊,並在達到某一閾值(例如 80% 的鏈路容量)時啟用雲端清洗。這種“自動擴展”限制了雲端費用,同時保護系統免受重大攻擊影響。因為封包會在網內保持,除非出現突發流量,日常流量的延遲也得到了控制。