首页 > 新闻 > 专家观点 >

华为为荷兰NBIP打造专职“消防员”

2015-01-22 14:35:24   作者:华为交换机与企业通信产品线营销经理 任平   来源:CTI论坛   评论:0  点击:


  近年来,越来越频繁的DDoS攻击,给运营商和企业业务带来了巨大的安全挑战。最严重的一次在2013年3月,欧洲遭遇了史上最大的DDoS攻击,攻击流量峰值高达300Gbps,超大的攻击流量汇聚到欧洲几个一级运营商网络内部,造成整个欧洲地区的网络拥塞。在荷兰,DDoS攻击也已经影响到了大量数据中心的正常运营,如果没有必要的防护方案,不但会对一家公司的业务造成影响,甚至会拥塞整个国家网络的带宽,影响所有ISP的业务连续性。

  NBIP是荷兰上百家ISP企业成立的链路与运营服务联盟企业,帮助ISP提供统一的链路与运营管理服务。该联盟成立于2002年,是荷兰唯一一家国家级的ISP联盟企业。由于NBIP的服务对象均是ISP,所有的业务都是互联网在线服务业务,业务的连续性要求高,但也是黑客最常攻击的目标。一旦业务遭受攻击,就会带来巨大的经济损失,据NBIP主席Ludo介绍:“DDoS攻击带来的损失每小时达数万欧元,甚至更高。”此外,由于DDoS攻击导致业务不在线,还会对企业的信誉和形象造成巨大损失,影响更是不可估量。

  疯狂的DDoS攻击过后,ISP均在寻求有效的DDoS防护解决方案。但一个个独立的ISP单独部署专业的DDoS防护方案,不但会带来巨大的部署和维护成本,而且根本无法有效防护链路拥塞型DDoS攻击。

  “临渊羡鱼”不如“退而结网”

  作为ISP联盟的NBIP,面对日益猖獗的DDoS攻击,在接到ISP客户屡次求助后,从2013年6月起,便开始寻求有效的DDoS防护与安全运营解决方案,并计划部署DDoS安全增值服务,以应对DDoS攻击,提升业务运营的连续性,改善客户业务安全服务水平。

  除此之外,通过研究业界知名安全服务提供商的业务范围和市场空间,NBIP也发现安全服务市场是未来的趋势,可以帮助NBIP提升自身的竞争力并增加业务范围。在ICT不断融合、云安全如火如荼的今天,运营商正面临严重的运营成本上升与收益下滑的压力,进军安全增值服务领域已经成为包括AT&T、BT等国际运营商的最新选择,其中DDoS安全服务是运营商必选业务之一。因为运营商有先天的带宽资源优势,能够实现上层防护,在单个ISP链路拥塞前做清洗防护。而NBIP相对于ISP联盟中独立的ISP企业来说,具有同运营商一样的天然优势。意识到DDoS防护市场需求巨大,NBIP从2013年年中开始计划和设计“国家级DDoS流量清洗中心”项目,并于年底邀请了业界知名的DDoS防护解决方案厂商进行方案和设备测试。

  “消防员”式的防护方案

  NBIP要建造的是整个荷兰国家级的清洗中心,服务对象超过100家ISP,且未来业务和客户仍将持续扩展,因此对DDoS防护解决方案的防护性能和扩展性均有严苛的要求,比如至少100G的扩展防护性能。而且NBIP的主要客户是ISP企业的在线业务系统,不但对DDoS攻击防护的精准度有要求,而且对攻击响应的实时性要求也比较高。这就要求NBIP的DDoS防护方案要具备旁路实时监控能力,实现快速攻击响应,就像“消防员”一样,处于随时待命状态,一旦发生“DDoS火情”,要能快速进行处理。

  在测试阶段,NBIP对其重点关注的特性做了详尽的测试,综合比较起来,华为的Anti-DDoS方案采用逐包深度检测技术和旁路部署模式,能够实现秒级的攻击响应和单台设备200Gbps的防护性能,在方案上完全契合NBIP的需求。此外,在测试过程中,华为Anti-DDoS方案所表现出来的简单便捷的GUI管理方式和详尽的报表功能,也深深吸引了NBIP,使其最终选择了华为方案。

  NBIP主席Ludo在测试结束后这样评价华为的方案:“华为的Anti-DDoS解决方案对攻击的响应速度非常快,而且具有管理能力的非常优秀的界面,事实证明华为的解决方案正是我们所需要的。”

  NBIP的数据中心出口带宽为80Gbps,采用全流量分光逐包做攻击检测,一旦发现攻击,管理中心下发攻击流量清洗策略,并由清洗板发送BGP引流清洗策略,将受攻击对象的流量引入清洗中心做清洗。方案中的检测中心和清洗中心有Anti-DDoS 8160的检测板卡和清洗板卡分别完成,集中混插在一台Anti-DDoS 8160设备机框上,可大大节约客户空间和部署成本,还可通过板卡扩展线性提升性能,满足NBIP运营性能持续扩展的需求。

  客户的声音

  “华为的Anti-DDoS解决方案对DDoS攻击的响应速度非常快,而且具有管理能力非常优秀的界面,事实证明华为的解决方案正是我们所需要的。”

  ——NBIP主席 Ludo

分享到: 收藏

专题