关于DDoS云防护，你需要知道这些事

近些年，分布式拒绝分布（DDoS）攻击流量屡获新高，不仅规模空前，攻击手段也更加多样。面对DDoS云防护这场网络攻防战，不少安全人员在部署 DDoS防御解决方案时，往往会以牺牲网络性能或限制流量为代价，这对于受攻击的一方来说，这并非是最优解。企业如何选择可靠“盟友”，突破“战或逃”反应模式，规避 DDoS攻击带来的风险，本文将为你解读。

与访问控制一样， DDoS防护过去都是通过速率限制等技术在网络层进行观察和应用的。但对于如今的超大规模公有云提供商，网络层攻击需要更大的规模，并且应用通常与网络层相分离。因此，攻击者将在堆栈中“上移”；现代 DDoS攻击（例如Slowloris）针对的是HTTP层或应用本身的逻辑。如，攻击者可能会利用公共图书馆提供的图书搜索API，反复请求图书馆中所有图书的完整列表，从而占用大量的数据库资源和网络带宽。

如果没有基本的情景感知和审计跟踪可视化，这些DDoS云防护都是不完整的。至少，这意味着流统计和警报。运营团队需要流统计数据来了解当前的状态和威胁，而取证团队则使用这些统计数据来拼凑疑似入侵的执行链。应针对异常事件（例如企图入侵的漏洞或需要审计治理的任何事件）触发警报。警报应以日志消息（定向到持久日志存储）或简单网络管理协议 (SNMP) 陷阱事件的形式提供。流统计数据和警报必须可通过可视化仪表盘和长期数据存储供人类使用。

对企业来说，在攻击越来越复杂的当下做好DDoS云防护难度很大，因此往往需要安全厂商部署专业的防御平台，为自身应用提供安全保障。那些希望同时利用本地硬件和云端服务的优势的组织，采取混合防护策略是一个不错的选择。这种策略结合了以上两者的优点，形成了一个多层的防护体系。无论是面对大规模的流量攻击，还是针对应用层的精细化攻击，这种策略都能确保在各种攻击场景下提供有效的防护。F5刚好能匹配这一需求，并对DDoS攻击有着优异的防御性能。

云端交付的防护，可在攻击入侵用户的网络基础设施前便予以阻止。为保护客户免遭DDoS攻击，F5分布式云WAAP提供DDoS缓解和高级安全服务，以抵御企业和托管/服务提供商的L3-L7+攻击。基于SaaS的服务提供跨连接、网络和安全服务的单一管理平台，以简化运营。客户可以使用基于BGP的流量重定向到F5的分布式云全球网络，以增加他们对本地DDoS和安全设备的现有投资。

数字业务的发展带来了更多的数字资产，同时也带来了各种资产价值和潜在威胁。在F5运营中心专家的支持下，企业能及时对DDoS攻击的态势、类型与手法进行分析，完善 DDoS云防护措施，并采用基于风险的人工智能增强型支持机制来捕捉任何逃脱事件。