由四川省互聯網信息辦公室指導，成都市互聯網信息辦公室，成都高新技術產業開發管理委員會聯合主辦，成都無糖信息技術有限公司承辦的CCS" target="_blank">2022CCS成都網絡安全大會暨數據治理峰會在線上正式拉開序幕。

　　在大會首日的云安全實戰分論壇上，字節跳動火山引擎云安全工程師歐陽鵬分享了云上業務DDoS與應用層CC攻擊防護實踐。

　　該演講以火山引擎的具體云防護案例實踐展開，分享了案例的背景、解決方案，以及對應的案例延伸總結。從企業業務上云，云上業務及SaaS化服務廣泛的抗D需求，該實踐案例對于企業用戶而言，特別是復雜業務場景下抗D實踐具有一定的借鑒價值。

　　案例背景

　　DDoS攻擊來勢洶洶，云上業務面臨威脅

　　某網絡科技有限公司，SaaS化創業公司，業務基于云上開展。其業務主要為各大網站提供安全驗證服務，且市場占有率較高，服務客戶遍布金融、直播、教育、電商等多個領域。案例分享指出，該公司面臨的主要外在威脅是隨著其市場占有率的不斷提升，以及客戶群體的擴大，針對平臺的DDoS和應用層CC攻擊顯著增多。

　　難點：分享指出該案例實踐的難點在于要防御手法多樣的DDoS、CC攻擊，頻繁和超大流量攻擊，其重點在于防護算法需足夠精細，且要兼容到該企業業務各類特殊場景當中，對網絡質量、防護性能要求極高，同時要求防護方案具備豐富的攻防能力。

　　解決方案

　　魔高一尺，道高一丈，構建縱深防御體系

　　在案例的解決方案介紹中，我們看到？？火山引擎云防護構建了梯級的防護能力，包含網絡層攻擊防護引擎、網絡層轉發引擎、應用層攻擊防護引擎、應用層轉發引擎，以及安全可視化&告警在內的能力，為客戶搭建了縱深防御體系。

　　“業務流量牽引至火山引擎提供的高防IP，流量將通過火山引擎網絡安全系統分析清洗，最終實現攻擊流量攔截。該系統內部采用自主研發的DDoS、WAF等防護產品組成的多層防御系統，對3~7層攻擊流量進行分層而治，并提供完備的可視化數據和安全事件告警能力。”

　　據介紹，該解決方案亮點在于以下三點：

　　1、海量帶寬，T級防護：核心的基礎能力，從而讓業務免遭大規模攻擊的同時享受優質網絡質量，同時支持實時彈性擴容以及自定義策略，滿足不同業務場景應用需求；

　　2、多層防御，分層而治：自于自主研發的防護引擎搭建多層防御體系，對不同場景攻擊流量分層而治，從而提高系統防護性能和可靠性；

　　3、算法創新，精準清洗：通過新型防護算法，例如TCP四層CC防護模型、TCP反向算法、應用層CC多維策略等，并結合其他傳統防護策略有效覆蓋各類攻擊，提供優質防護體驗。

　　案例應用效果：據介紹，該案例企業SaaS服務接入該火山引擎云防護系統之后，累計防護網絡攻擊近百次，其中包括10次以上100G以上大規模攻擊，也包含峰值突破300G攻擊，均被有效防護。相比接入系統之前，該企業的在線業務穩定運行得到了充分保障。

　　反思總結

　　優勢復制，為云上業務保駕護航

　　案例具有優勢復制的延伸應用，在總結防護經驗時演講者指出優勢在于：

　　1、立足業務場景：基于攻擊頻次與攻擊規模給出最佳防護方案，方案適配業務底層協議，節約業務防護成本；

　　2、貼身策略制定：支持貼身策略定制能力，系統支持定制4層DDoS防護策略和定制7層CC防護策略，防護策略靈活，能更加適配企業苛刻的業務場景化能力需求；

　　3、實現攻擊溯源：？？系統提供整體防護數據可視化能力，最大程度協助業務實現攻擊溯源。包括正常流量和異常流量，通過人工+智能的方式實現多樣化的數據分析。

　　總體點評：案例對象我們完全可以猜測是哪家科技企業，針對類似的在線科技服務型企業，保障其SaaS服務安全穩定，構筑符合自身發展定位的抗D解決方案幾乎是企業健康發展的硬性標準。

　　從火山引擎提供的整體抗D防護方案來看，方案除了自身系統的強大的抗D、抗CC攻擊資源及技術能力之余，重點強調了自身防護架構的靈活性，這種靈活性在于對復雜業務場景的優化支持，以及通過持續防護的經驗數據積累所取得的策略調整能力和可視化能力。

更多信息可以來這里獲取==>>電子技術應用-AET<<