聯想網御異常流量管理系統抵禦DDoS攻擊

隨著全球政治經濟一體化趨勢日益明顯，政府管理服務職能的電子化、自動化、無紙化趨勢日益明顯，其中，電子政務的發展尤為迅速。在世界各國積極倡導的「信息高速公路」的五個應用領域中，「電子政務」被列為第一位，可以說，政府信息化是社會信息化的先導，電子政務是信息化社會發展的必然。

    在我國，信息化建設也成為產業結構升級和工業化、現代化的關鍵環節，為了實現用信息技術改造和提升傳統產業的任務，政府部門的信息化管理水平必須有更大的飛躍，電子政務的發展成為現代化進程中不可或缺的一環。近年來，在中央政府的大力倡導和推動下，我國電子政務已逐漸進入全面實施階段。

    某市信息中心作為該市電子政務網的中心節點，連接著眾多的市級政府部門以及下屬各縣市區節點。該中心的外網邊界主要用於內部用戶的互聯網訪問、提供對外WEB服務、市內各局委辦機構或市轄各縣市區與下屬各鄉鎮相關機構的互聯，包括市級互聯網邊界以及各市局委辦/縣市區到各鄉鎮的接入邊界。由於外網邊界直接面臨社會各界用戶，使用環境複雜，面臨的安全風險極大，尤其是近年來日益嚴重的分佈式拒絕服務攻擊(DDoS)，更對網絡的穩定運行造成了嚴重的隱患。從2000年以來，幾乎每隔兩年就有影響嚴重的大規模DDoS攻擊事件發生，目前，「殭屍網絡」越來越多地被用作敲詐工具，由大量「肉雞」組成的「殭屍網絡」，很容易就能達到很高的攻擊流量，不僅使被攻擊的伺服器拒絕提供服務，並且大量佔用網絡帶寬資源，使網絡擁塞，造成網絡丟包、時延增大，嚴重時還會導致網絡不可用。因此，如何使該信息中心的外網邊界免受DDOS攻擊的危害，是一個亟需解決的重要問題。

    聯想網御根據多年對網絡攻擊和防護的深刻理解，憑借對網絡處理器（NP）應用技術的研究積累，傾力打造了異常流量管理系統Leadsec-Guard。聯想網御異常流量管理系統包括異常流量分析(Leadsec-Detector)和異常流量過濾(Leadsec-Guard)兩個模塊。Leadsec-Detector可對不同網絡節點的流量進行實時關聯分析，在定位異常流量發源地後通知Leadsec-Guard，Leadsec-Guard對異常流量完成牽引和過濾，系統通過Leadsec-Detector和Leadsec -Guard的協同工作，完成全網的流量分析、異常流量牽引、DDOS攻擊過濾、P2P識別與控制、異常流量帶寬限制等處理，幫助用戶實時瞭解網絡運行狀況，及時發現網絡中出現的問題並自動對異常行為做出響應，從而快速消除異常流量造成的危害。

    Leadsec-Guard採用國際上領先的網絡處理器，同時驅動32個硬體微引擎並行工作，通過自主創新的並行處理算法，可抵禦300萬pps的SYN flood攻擊，大流量攻擊下的新建連接成功率和原連接保持率顯著高於同類產品，是目前唯一一款單機可防禦2.5G大流量DDOS攻擊的設備。通過聯想網御獨創的智能防護算法，Leadsec-Guard還能對攻擊行為進行分析和自學習，動態形成攻擊特徵庫，有效區分攻擊流量和正常流量，可防護SYN flood、UDP flood、ICMP flood等二十多種攻擊，保證正常流量不受影響；通過微碼自主開發的協議棧，對網絡應用進行深度檢測，實現了對P2P協議的識別、阻斷和限制。Leadsec-Detector基於標準的Netflow技術，採集並分析Netflow流量信息，一旦檢測到異常資料流，就會發出警告信息。Leadsec-Detector採用分佈式採集、分散式處理和集中管理機制，通過基線檢測和異常行為檢測算法，可實時進行全網關聯的流量分析。

    該信息中心的網絡共有3個互聯網出口，分別是網通出口、電信出口和中科院網絡出口，每個網絡出口的帶寬為1Gbps。為了防禦來自互聯網的DDOS攻擊，該中心在3個出口處均旁路部署了1台聯想網御Leadsec-Guard和1台Leadsec-Detector設備。通過對出口路由器進行配置，路由器可通過Netflow協議將流量採樣資料發送給Leadsec-Detector，Leadsec-Detector在發現攻擊流量後告知Leadsec-Guard，Leadsec-Guard將攻擊流量牽引到Leadsec-Guard上並進行攻擊流量過濾，從而完全消除了DDOS攻擊。

    通過部署聯想網御異常流量管理系統，該市信息中心Web伺服器、郵件伺服器、資料庫伺服器等等重要伺服器均受到了良好保護，當受到來自外部互聯網的惡意攻擊時，伺服器仍然能正常工作，對外響應速度也不受影響。同時，該信息中心的三個網絡出口均保持了通暢，在受到大規模DDOS攻擊時，攻擊流量將被自動過濾掉，而正常的通信訪問則能夠繼續進行，沒有因DDOS攻擊而出現通信受阻的情況，從而充分保障了電子政務網絡中各種業務的順利進行。

某市信息中心聯想網御異常流量管理系統應用方案