前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >私有云边界四种抗攻击方案

私有云边界四种抗攻击方案

作者头像
希望的田野
发布2020-06-02 17:00:43
2.2K0
发布2020-06-02 17:00:43
举报
文章被收录于专栏:信息化漫谈

云计算与外网的边界是重点防护的区域,病毒、异常扫描、DDOS攻击等一般会通过互联网出口进入私有云内网,因此做好边界的防护显得尤为重要。

今天我们讲解四种简单的边界防护方案,抛砖引玉。

方案一,防火墙方式

通过在云边缘部署防火墙,主要通过IP+Port的方式进行防御,部份UTM防火墙也能够实现病毒、攻击检测、攻击防御功能。

在图例中,通过两台防火墙配置相关的数据,平常主用设备1台,另一台设备处于备用状态。

该方式的优点是环境搭建和配置简单、功能较强;但缺点是因防火墙性能有限,随着业务的增长,在公有云环境中会成为瓶颈。

方案二,IDS攻击检测

为避免防火墙性能的影响,分支出了只检测攻击的方案,通过在核心出口将流量镜像至IDS检测设备,以便在紧急时刻能够了解攻击源头、攻击类型,组织其它力量对攻击进行处理。

方案三,IPS检测+防御

为解决IDS无法对攻击流量阻断的问题,出现了IPS设备,该设备串入骨干网络中,一般以透明模式工作。

相较于防火墙设备,IPS工作可以工作在TCP/IP模型的应用层,检测内容更加丰富。

方案四,用抗D设备防DDOS攻击

目前的攻击,主流采用DDOS攻击方式,采用防火墙等方式已经力不从心。因此新的抗攻击方式产生。

如下图所示,在出口路由器上通过netflow方式将部分流量进入流量分析系统进行分析,一旦发现攻击现象,将阻断指令发给流量清洗系统;流量清洗系统通过bgp、ospf等动态路由协议引导出口路由器将攻击流量牵引至流量清洗系统,流量清洗系统进行数据过滤后再通过路由方式将流量回注给出口路由器。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-05-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 信息化漫谈 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
网络入侵防护系统
网络入侵防护系统(Network Intrusion Prevention System,NIPS),是基于腾讯安全服务内部数百条业务线的运维经验积累和大数据处理能力的结合,通过旁路部署的方式,提供了网络层 ACL (访问控制)和日志审计功能,解决云平台监管、ACL 控制、安全治理等问题,并辅助客户满足网安法,合规性要求。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档