上海電信DDOS防護部署.pdf

1、隨著計算機網絡的迅速發(fā)展,網絡攻擊形式也變得越來越復雜、難于防御,尤其是DDOS攻擊的出現(xiàn),更是對網絡安全造成巨大的威脅。如何構建一個高效的、完善的安全系統(tǒng)已成為安全管理領域的研究熱點。本文在分析一種新型防護DDOS方法和主動監(jiān)控方法的基礎上,結合作者公司的網絡對部署做了全面的考慮。
　　具體說來,本課題的研究內容主要包括以下幾個方面:
　　1、較全面介紹了DDOS攻擊背景、分類、工具和國內外應用研究的現(xiàn)狀以及在分析現(xiàn)有的安

2、全機制的基礎上,有針對性地指出現(xiàn)在廣泛流行的防護DDoS攻擊方法所體現(xiàn)的不足;
　　2、深入分析了Guard的清洗、轉移、回注原理和Detector的主動監(jiān)控原理,同時對比Netflow和Detector檢測的優(yōu)缺點,在業(yè)務層面劃分出不同的客戶市場;
　　3、提出了基于電信運營商網絡的Guard+Detector的旁路和主動監(jiān)控的部署方案;
　　4、在位置設計、防護能力、集中管理、冗余設置、負載均衡方面對作者公司的這次

3、防護部署做了全面的規(guī)劃;
　　5、通過實驗數(shù)據(jù)和真實案例表明這種部署在防護DDOS攻擊上具有很好的效果。
　　通過對本課題的研究與設計,將達到以下目的:
　　1、結合作者公司的網絡現(xiàn)狀,部署Cisco的流量清洗設備Guard和主動監(jiān)控設備Detector;
　　2、基本上能夠識別網絡上所有的DDOS攻擊類型,對到用戶的所有流量進行清洗,區(qū)分正常流量和惡意流量;
　　3、能夠在DDOS攻擊發(fā)生但還沒有影響用戶