如何做好DDoS防御?F5给出四点建议!
DDoS攻击是黑客手中的利器,是所有运维者的心头痛,也是任何公司听闻后都将心惊胆战的强大对手。DDoS全称Distributed Denial of Service,中文意思为“分布式拒绝服务”。是利用大量合法的分布式服务器对目标发送请求,从而导致服务器拥塞而无法对外提供正常服务,只能宣布game over。
从企业客户角度来看,DDoS防御是一个漫长的过程,攻击手段和工具会不断刷新,那么如何如何做好DDoS防御?F5给出四点建议!
第一点建议,用户需要意识到网络攻防和合规是两回事,安全部署不应该以合规为目标,而要重点考虑攻防,将攻防放置于首位。
第二点建议,用户需要改变统一安全策略,对于关键应用而言,需要对应用做完流量精分之后,再根据不同灰度的流量进行安全策略配置。F5产品+服务的攻防模型已经被众多用户证明是有效的,可供参考。
第三点建议,不要将安全防御能力全部寄希望于全自动安全模式,从另一个角度而言,全自动也意味着安全风险,最好的处理办法是要做可控的风险管理。
第四点建议,谨慎选择透明模式和Bypass模式!很多客户被攻击就是因为这两个模式,如今的DDoS攻击终极目标其实并不是让业务瘫痪,而是为了在彻底打穿透明模式和Bypass模式之后,掩盖不法分子如入无人之境般窃取核心数据。对此F5给出的解决之道是构建一个超高弹性的全代理架构,做现代攻防的处理。
在F5的Advanced WAF(API 安全——新一代 WAF)+服务的框架下,经过大数据采集、机器学习、智能基线判断,最后进行预案全部工作都由F5完成,客户自己来判断是否通过“一键切换”进入防御状态。“F5通过机器学习的方法来去判断正常流量、异常流量和用户行为,然后通过AIOps的方式去做处理,最后给客户一键选择权。
攻防是第一目标,流量精分是实现方法。F5希望实现的效果是通过机器学习之后的一键操作,而不是简单的全自动,最终构建出完整的DDoS防御体系。