3.3.1 高防DDoS建设

1．介绍

以国内某云平台为例。该云平台为用户提供了DDoS基础防护能力，能够从网络流量中精确区分出攻击流量，并通过集成的检测和阻断机制对DDoS攻击实时响应。DDoS基础防护可完美地防御SYN泛洪、ACK泛洪、ICMP泛洪、UDP泛洪、NTP泛洪、SSDP泛洪、DNS泛洪、HTTP泛洪、CC攻击等常见的DDoS攻击。

2．功能描述

DDoS攻击流量检测功能

云平台采用硬件抗D设备，部署在IDC流量出口的核心路由器上，采用分光方式，将所有网络流量旁路到抗D设备的DDoS攻击流量检测板卡上，为数据中心提供DDoS攻击流量检测能力。

DDoS攻击流量清洗功能

云平台的DDoS基础防护流量清洗服务是针对公网IP地址被DDoS攻击而进行防护的一种网络安全服务。此服务实时监控访问公网IP地址的网络流量数据，并在网络出口对网络访问流量进行检测，能快速地发现收到的DDoS攻击的异常流量。DDoS攻击流量清洗功能可在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉异常网络攻击流量。

DDoS防护控制台功能

云平台的DDoS基础防护系统通过用户控制台管理查看自己名下公网IP的防护信息。用户控制台支持用户公网IP流量实时查询、报文实时查询、攻击事件查询、防护状态展示、防护阈值设置。

3．系统架构与部署

系统逻辑架构图

该云平台的系统逻辑框架包括POU、ATIC、远程管理、KVM管理等功能模块，如图3.11所示。

图3.11 云平台系统逻辑框架

系统部署架构图

云平台设有多地部署系统，图3.12以华东A机房和华南B机房为例演示了云平台的多地部署架构。

图3.12 云平台系统部署架构图