優(yōu)質(zhì)的、專(zhuān)業(yè)的高防服務(wù)器，可以并且應(yīng)該同時(shí)同時(shí)抵御網(wǎng)絡(luò)層以及應(yīng)用層的攻擊。

網(wǎng)絡(luò)安全是一個(gè)分層的概念，不同攻擊發(fā)生在不同“層級(jí)”。只防護(hù)一層，就像只有一扇門(mén)鎖，橫容易被攻擊者繞過(guò)。

1.為什么需要同時(shí)防護(hù)

攻擊者一般不會(huì)只用單一攻擊方式，一般會(huì)實(shí)施組合攻擊，其用意是尋找你防御系統(tǒng)的薄弱之處。

網(wǎng)絡(luò)層的攻擊，有流量大且簡(jiǎn)單直接的特點(diǎn)，其目的是讓網(wǎng)絡(luò)癱瘓，把帶寬用光。典型的就是DDoS攻擊。

應(yīng)用層的攻擊，流量雖然不大，可卻會(huì)消耗資源，其目的是使程序出現(xiàn)卡頓，讓業(yè)務(wù)邏輯中斷。典型的就是CC攻擊。

要是你的防護(hù)只針對(duì)L3L4，那攻擊者就輕易能發(fā)動(dòng)L7攻擊，繞過(guò)帶寬防御，直接把你的服務(wù)器CPU耗盡。反過(guò)來(lái)也是一個(gè)道理。

2.高防服務(wù)器的分層防護(hù)機(jī)制

目前的高防服務(wù)器解決辦法，像恒訊科技所提供的服務(wù)，一般用以下兩種不同的系統(tǒng)來(lái)應(yīng)對(duì)分層攻擊：

A.網(wǎng)絡(luò)層級(jí)的防護(hù)——大流量清洗中心

主要工具是專(zhuān)業(yè)的抗DDoS硬件設(shè)施以及大規(guī)模的清洗集群。

工作模式：部署在整個(gè)網(wǎng)絡(luò)的前端，具備極大的帶寬容量。負(fù)責(zé)高效地過(guò)濾掉巨量的DDoS流量，像是SYNFlood、UDPFlood之類(lèi)的。

防護(hù)關(guān)鍵：要保證網(wǎng)絡(luò)鏈路能夠順暢通行，避免帶寬被全部占用。

B.應(yīng)用層面的防護(hù)——網(wǎng)絡(luò)應(yīng)用防火墻或行為分析模塊

主要的工具，有WAF系統(tǒng)，還有專(zhuān)業(yè)的流量分析以及行為識(shí)別引擎。

工作模式：在L3L4清洗過(guò)后，接著對(duì)正常的HTTP以及HTTPS請(qǐng)求進(jìn)行深入分析。它會(huì)識(shí)別CC攻擊也會(huì)識(shí)別Web漏洞攻擊。

防護(hù)關(guān)鍵：要保證應(yīng)用程序能夠正常運(yùn)行，避免系統(tǒng)資源被惡意請(qǐng)求耗盡。

3.如何甄別服務(wù)商的防護(hù)能力

當(dāng)您租用高防服務(wù)器時(shí)，一定要詢問(wèn)服務(wù)商

DDoS防護(hù)的峰值是多少？

是否提供CC攻擊防護(hù)？

CC防護(hù)策略是否支持自定義？

恒訊科技在提供高防服務(wù)時(shí)，強(qiáng)調(diào)全棧安全。我們清楚，只有L3L4與L7的防護(hù)能力都很強(qiáng)且配合默契，才能給客戶打造出真正安全靠譜的業(yè)務(wù)環(huán)境。

常見(jiàn)問(wèn)題解答

Q1：L3L4防護(hù)以及L7防護(hù)是同時(shí)工作的嗎？

A：沒(méi)錯(cuò)，它們是串聯(lián)工作的。L3L4防護(hù)先在網(wǎng)絡(luò)最前端開(kāi)展初級(jí)、快速的流量清洗，主要是抵御超大規(guī)模的洪水攻擊。清洗完后，L7防護(hù)便緊接著對(duì)通過(guò)的HTTPHTTPS請(qǐng)求做精細(xì)化分析，處理CC攻擊以及Web漏洞攻擊。

Q2：如果我的業(yè)務(wù)是游戲，需不需要L7防護(hù)？

A：游戲業(yè)務(wù)主要面臨L3L4的UDPTCPFlood攻擊。L7防護(hù)需求相對(duì)不多，不過(guò)還是建議配置。畢竟有些攻擊者或許會(huì)沖著游戲的登錄接口或者API接口搞CC攻擊，把您的應(yīng)用資源給耗光。

Q3：L7防護(hù)為什么容易誤傷正常用戶

A：L7防護(hù)是根據(jù)用戶訪問(wèn)行為來(lái)判別是否為攻擊。要是策略設(shè)定過(guò)嚴(yán)，很可能把正常用戶的高頻操作像快速刷新、頻繁查詢錯(cuò)當(dāng)成惡意攻擊腳本。而且，L7防護(hù)策略得根據(jù)業(yè)務(wù)特性去做精細(xì)化配置與調(diào)整，恒訊科技一般會(huì)提供策略定制服務(wù)來(lái)應(yīng)對(duì)此狀況。