徐开勇

甲骨文的“红科技”早已不再局限于概念层面，我们已经把夺人眼球的各种先进的“黑科技”落实运用到企业级产品上，赋予其企业级的稳定性和可靠性。

在DDoS攻击期间，时间是无情的，成功防护和高成本网络停机之间的区别只不过是几秒钟的时间。任何能缩短平均检测攻击时间（MTTD）和平均响应攻击时间（MTTR）的举措都将成为您的优势所在。

在当今的云和企业环境中尤其如此，在这些环境中，越来越依赖于互联网连接和分布式应用程序，再加上不断变化的各种威胁，这些相互交织在一起的各种因素让网络和安全运营部门难以招架。安全部门正面临越来越大的压力，必须在时间非常紧迫的情况下，对哪些威胁是真实的，应部署哪些防护措施及时做出严谨的判断。

這使得自动化成为选择DDoS防御解决方案时最优先考虑的因素。合适的解决方案能够及早发现攻击，并在攻击影响网络服务之前自动部署相应的对抗措施，从而为您赢得宝贵的时间。

自动化措施必须能从根本上阻止攻击，而不会阻断合法的数据流，必须告知管理人员阻断了什么以及为什么阻断。换句话说，自动化措施要想有效，必须引导用户找到正确答案，提供语境和支持分析，最重要的是整个过程是由人指导的，而不是“黑盒子”。

Arbor Networks DDoS解决方案有三种形式利用自动化

内置对抗措施—Arbor Networks APS，这是为企业和数据中心应用提供的内置不间断DDoS缓和解决方案，集成了30多种内置的自动对抗措施，每一种都基于我们对攻击场景的深刻体验和知识，检测某种类型的攻击并自动进行处理。

如果刚部署APS便出现了攻击，仍然能立即激活对抗措施，因为它不需要学习时间或者基本前提条件。虽然这些内置的对抗措施被设计为能够立即有效地工作，但也可以根据用户的特殊安全策略和风险阈值，对触发条件进行定制配置。

动态威胁情报—Arbor的主动威胁级别分析系统（ATLAS-Active Threat Level Analysis System），这一世界上覆盖范围最广的威胁情报收集平台能够近乎实时地查看全球互联网威胁活动。不仅仅是收集和分析数据，Arbor安全工程和响应团队（ASERT-Arbors Security Engineering & Response Team）整理这些威胁情报，通过ATLAS情报传送（AIF -ATLAS Intelligence Feed）系统直接发送到Arbor APS和Arbor SP/TMS情报DDoS攻击防护系统中，将其应用于威胁策略和对抗措施模板中。

AIF包含与不同类型威胁相关联的规则表，每种类型都有相关的风险级别（高、中和低），并随着新的威胁策略和规则的发展而不断更新Arbor部署。

云信令—安全专家越来越多地推荐分层或者混合DDoS保护策略，这种策略结合了本地和基于云的攻击防护能力，最大度地提高效能。这给企业提供了可扩展的防御解决方案，能够应对不同类型和规模的攻击。Arbor提供了支持这种混合方法的全线产品。

本地保护能够立即检测到大部分通常针对防火墙、IPS系统和网络周边设备的小规模“低层、慢速”攻击，而在云端服务提供商级别上能很好地抵御规模较大的攻击。要想有效地挫败这些多层攻击需要两种防御组件同步工作。

云信令是Arbor的一种机制，通过它，本地组件（Arbor APS）实时与服务提供商的云组件（Arbor SP/TMS、Arbor云）进行通信，使攻击数据和防护措施同步。如果本地的攻击流量增大到用户设定的临界值，云信令（Cloud Signaling）会自动触发基于云的DDoS攻击防护对抗措施，共享被阻断的IP和滥用类型等攻击数据。当安全运营商看到威胁越来越严重时，也可以人工启动云信令。Arbor的混合解决方案使网络和安全部门能够非常灵活的配置和调整他们的云信令策略。

市场上的很多DDoS解决方案在很大程度上依赖于所谓“一劳永逸”的自动化措施，这需要大量的基本前提条件和知识学习，但在很多情况下仍然无法区分真正的攻击和激增的合法流量，而且几乎没有攻击分析能力。这种方法有三方面的缺点：误触发，阻断有效的客户会话，以及缺少可见性。

因此，重要的一点是选择一种智能DDoS攻击防护解决方案，能够迅速、自动地区分实际攻击和流量激增，当出现攻击时，动态的启用或者禁用相应的对抗措施。

随着DDoS攻击越来越老练，攻击方法层出不穷，而企业也越来越了解针对他们发起的攻击的特性，因此，能够灵活地更新、重新配置和完善自动响应功能也同样重要。