流量清洗系统解决方案

概述

　　随着各种业务对Internet依赖程度的日益加强，DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都遭受着DDoS攻击的威胁，如何有效的应对DDoS攻击成为网络安全面临严峻挑战。

　　中兴通讯流量清洗系统解决方案可以智能识别针对政企客户局域网、互联网站、IDC、城域网、骨干网等网络中进行的DDoS攻击，并通过流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别、带宽控制等多种技术手段，准确、迅速地阻断攻击流量，从而保证正常流量的通过。中兴通讯流量清洗设备(ZXSEC US Protector)可独立串联部署进行DDoS攻击防护，也可旁路部署并和流量检测(ZXSEC US Detector)、安全管理中心（ZXSEC iManager）组成流量清洗解决方案，完全可以满足电信运营商、大型IDC等对Anti-DDoS要求更复杂的防护和管理需求。

中兴通讯流量清洗系统解决方案

　　中兴通讯流量清洗系统由统一安全检测和统一安全防御以及统一安全集成管理中心三个模块组成。流量检测模块负责对不同网络节点的流量进行实时关联分析，在定位异常流量发源地后通知流量清洗模块对异常流量完成牵引和过滤，系统通过两个模块的协同工作，完成全网的流量分析、异常流量牵引、DDoS攻击过滤、异常流量带宽限制等处理，帮助用户实时了解网络运行状况，及时发现网络中出现的问题并自动对异常行为做出响应，从而快速消除异常流量造成的危害，而统一安全管理中心，完成设备监控、日志分析和审计、报表等功能。

　　中兴通讯流量清洗解决方案提供的服务包括：网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量清洗、安全事件处理报告等。流量清洗解决方案的实施，减轻了来自于DDoS攻击流量对城域网造成的压力，提升带宽利用的有效性；保护企业网络免受来自互联网的攻击，提高网络性能，实现其核心业务的永续，保障其核心竞争力。

　　中兴通讯流量清洗解决方案清洗设备提供串行部署方式，通过清洗设备透明地“串联”在网络入口端，对DDoS攻击进行检测、分析和阻断，部署拓扑图如下所示：

　　串行部署

　　中兴通讯流量清洗解决方案提供了基于流量牵引技术的旁路部署方式。流量监测设备部署在网络任意位置，流量清洗设备“旁路”部署在网络入口。当发生海量DDoS攻击时，流量清洗产品还能够提供集群部署的方式。在旁路集群部署中，若干台流量清洗设备并联在网络中，在某台流量清洗设备接收到流量监测设备的攻击告警后，会启动流量牵引机制，将可疑流量均衡分配到若干台流量清洗设备上进行流量清洗。

　　旁路部署

方案亮点

• 精准的攻击流量识别

　　中兴通讯流量清洗解决方案应用了自主研发的抗拒绝服务攻击算法，在对网络数据报文进行概率统计的基础上，针对不同种类的DDoS攻击采用不同的算法进行识别，从而准确地区分出恶意的DDoS报文和正常访问的网络数据报文。

• 全面的攻击防护能力

　　基于中兴通讯自主研发的独特的防护算法，中兴通讯抗流量清洗解决方案可高效防护各类基于网络层、混合型、连接耗尽型等的拒绝服务攻击进行有效防护。

• 强大的攻击防护性能

　　电信级设备，单台设备最高可具有20G线速分析和DDoS攻击防护能力。多台ZXSEC US Protector集群后，最高可达640G流量的线速分析和防护能力，使整体防护性能大大提升。

• 灵活的应用部署

　　由于客户网络环境和规模不同，中兴通讯流量清洗解决方案也包含了多种产品形态和部署方式，包括串联、串联集群、旁路以及旁路集群等不同方式，不同的部署方式和对各类网络协议的支持使得系统能够适应各种复杂的网络环境。

• 丰富的报表

　　通过运营管理平台实现了设备和业务的集中管理，并可以为用户提供专用的业务状况、攻击状况和清洗状况报表输出。为用户提供多维度的流量清洗业务状况报表和提供安全事件处理报告，从而让最终用户实时直观的了解当前的业务状况和历时状况回溯。