【IT168 评论】近年来， 随着云和互联网的快速发展，越来越多的用户把业务放到云上。然而，以 DDoS(分布式拒绝服务)为代表的网络攻击， 直接危及 ISP 链路和在线业务的可用性。DDoS攻击作为安全业界关注度最高的恶意攻击方式，不仅让许多大型互联网企业头痛不已，更让无数的初创企业或中小型企业深受其害。

　　据悉2015年1-6月，1Gbps以上DDoS攻击次，日均1558起，面对DDoS攻击大流量和高频率攻击，抗D成为了安全领域一致的目标，这也得到了很多重量级公司参与进来，包括电信、阿里、腾讯、百度、360等，后来，华为也加入抗D队列，瞬间上演了一场抗D百家争鸣场景，那么华为作为后进者能否脱颖而出呢?

　　百家争鸣抗D 各显神通

　　中国电信云堤，来自中国电信集团公司的产品，云堤“的主要功能包括攻击检测、攻击防护和分析溯源三大功能，具有全网覆盖(含电信海外网络)、对大攻击流量的全面客观测度、近源防护，并可区分攻击来向的流量压制，防护能力上不封顶、全网1T的清洗容量、基于BGP anycast技术的近源攻击流量牵引，秒级防护生效;覆盖全网的准确攻击溯源，用户零操作，零设备部署。

　　阿里巴巴集团云盾，在引流技术上支持BGP与CDN两种方案，防护的方式采用被动清洗方式为主，主动压制为辅的方式，具有防护海量DDoS攻击、精准攻击防护、隐藏用户服务资源，可对用户站点进行更换并隐藏，使攻击者无法找到受害者网络资源、弹性防护，用户可在控制台自助升级防护级别，无需中断业务，秒级生效、高可靠、高可用的服务，全自动检测和攻击策略匹配，实时防护，清洗服务可用性99.99%.

　　腾讯云大禹，主要包括：移动加速系统、攻击防护点、源站、腾讯宙斯盾系统。在腾讯云机房外侧部署了密集的防护节点，每个节点机房入口均部署了宙斯盾系统，能够过滤攻击流量，并将正常流量转发到源站，单点提供超过500G的网络防护能力，为使用分布式防御的用户，更可提供高达两个T的防御带宽。

　　360云安全，拥有全球DDoS攻击实时追踪系统，通过CDN加速体系来提供抗D服务，并引入独有的恶意地址库、漏洞平台和样本库等，符合其”数据驱动安全“的总体思路。

　　但随着DDoS攻击呈现出全球化(不仅仅是电信网络)、手段多、流量大(单次高达500Gbps)、物联终端也可能成为僵尸网络的宿主载体、本地清洗方案无法解决上游管道拥塞等特点，单靠某一两个 MSSP( 安全服务提供商)， 对客户业务在云端的DDoS防御捉襟见肘，多厂商联合调度共同抵御迫在眉睫。华为提出了”云清联盟“ 的概念，旨在将全球运营商、MSSP(安全服务提供商)、IDC 的资源进行整合，构成一个云端的”DDoS 防御生态系统“ , 统一的管理和调度， 在上游更加彻底解决大流量 DDoS 攻击问题。

　　云清联盟设计之妙

　　对于DDoS这种分布式网络攻击，或许只有用分布式的防御方法才是最有效的手段，而华为云清联盟正是通过将分布部署在全球的清洗设备做联动，当攻击超过单台设备处理能力时，与云清洗中心取得联系，实现各地的联盟成员协助抗D，实现近源云清洗，确保链路可用性。

▲云清联盟设计初衷

　　云端清洗，逐级过滤，对于Tier2/Tier3 级电信运营商以及其他合作伙伴， 尽管他们部署了本地清洗系统，但仍然无法解决上游互联网流量到 IPOP 链路的攻击，导致上层拥塞，并且这种攻击复杂多变， 吞吐量往往达到几十 Gbps 到上百 Gbps 的流量。

　　云清联盟构建的清洗方案，可以在云端对上游带宽进行保护，当在攻击发生时， 通过全球 SOC系统， 触发云信令调度清洗中心，因为不依赖于某个厂商的硬件清洗设备，可以更有效抵御最新攻击类型， 并且可以结合所有合作伙伴的清洗能力完成过去单一厂商无法抵御的流量。最后， 再辅之部署本地的清洗设备，进行更细粒度的深度过滤。从而真正确保清洗掉攻击流量的同时， 满足业务的持续稳定运行。

　　全球调度，快速响应。DDoS攻击最新呈现出了全球分布，攻击源分散的特点，传统方案或者单一的安全运营提供商，无法封堵所有的攻击发起源， 在引流到清洗中心时，往往需要长途迁徙，造成流经管道沿途受害。云清联盟的全球调度机制， 可以实现距离攻击源较近的清洗中心进行清洗，避免了传统方案的弊端。因为引流路径缩短和调度算法优化，确保可以在攻击发生数分钟内完成迅速响应，提升防御效率， 在攻击发生伊始即实现阻断，避免危害扩大。

　　分工协作 共同抗D，云清联盟核心组件主要包括了云 SOC( 安全运营中心)、清洗中心(Scrubbing Center)、应急响应中心( Emergency Response Center)，相互协同工作。

　　云SOC(安全运营中心) : 当发现 DDoS 攻击后，通过云SOC与盟员间的云信令通信，调度成员中距离 DDoS 攻击源最近的 Scrubbing Center(清洗中心)进行清洗服务。

　　清洗中心(Scrubbing Center) : DDoS 攻击检测和清洗设备及管理平台， 由云清联盟成员部署在全球运营商各主要互联网交换中心节点的数据中心中。这些清洗中心通常与Tier1 运营商直接互联，确保发现攻击时可以最快速度引流到清洗中心进行清洗。

　　应急响应中心( Emergency Response Center) :云清联盟成员在全球各主要区域部署的 7x24 应急响应专家团队，可以提供客户遭受攻击后的应急处理指导，通过云SOC系统协调清洗中心进行快速响应，以及攻击报告解读等安全咨询服务。

　　云清联盟创新的商业新模式

　　云清联盟以公开邀请的方式邀请成员参加，被邀请的成员需要进入云调度中心做对接，确认其清洗能力的可靠性，最终成为联盟正式成员。随后华为提供SOC平台及第三方接口，与盟员间的管理平台进行对接，统一调度全球合作伙伴清洗中心资源，并提供专业应急响应服务。

　　目前云清联盟成员包括了全球 TOP50 为主的运营商、数据中心服务提供商、 安全服务提供商，联盟成员可以通过给自己客户提供全球抗D防护服务获得更多的收益，于此同时成员通过为其他成员贡献抗D防护能力，获取分成收益，于此同时各个清洗中心之间可以复用已有清洗中心防护自身业务，进而获得了全球全球4大洲抗D防护能力，最终通过云SOC平台联合协调运作，实现了防范任何地域出现的DDoS攻击。

　　云清联盟通过开放的API 接口可以与常见SOC平台进行对接，清洗设备没有品牌限制， 具有极强的对接能力，帮助联盟成员最大程度节约投资成本，并且可以复用已有的防御系统，同时所有联盟成员可以通过协作共同抵御，获得过去单一厂商无法触及的市场。由于清洗效果更彻底，最终用户的业务得到了更有效的保护。

　　云清联盟成员短期内可以获得为自己的客户提供面向全球的DDoS云清洗服务能力，并且通过为其他成员提供清洗服务获得新的收益，提升自己在全球DDoS防护领域的品牌价值和影响力。长期来看，可以及时获得全球DDoS攻击态势的网络攻击数据和趋势分析，大家借助云清联盟平台将自身安全服务能力推向更多最终客户，联盟成员安全服务能力实现的持续提升。

　　总之，云清联盟平台的全球调度、进源清洗、分钟级溯源等特点，让华为从抗D队列中脱颖而出，同时，华为构筑了DDoS攻击防御基于云端联合清洗的创新模式， 从骨干网络有效净化了互联网流量， 社会效益和经济效益并重， 真正实现了云清联盟成员与最终用户的多方共赢。