此系列文章深入介绍了不同的DDoS防护模型,以便帮助客户为特定用例选择最佳的防护措施。此系列文章的第一部分介绍了本地设备和按需云服务。本文将介绍永远在线的云端DDoS防护措施部署、优缺点以及最适合的用例。本系列的最后一篇文章将重点关注集成了本地和云端防护措施的混合部署。
永远在线:不间断的云端防护措施
采用‘永远在线’模式的DDoS防护解决方案的运作是通过不间断地转发所有通过DDoS缓解服务提供商网络发送的客户流量。客户将他们的路由通告(通常为BGP或DNS)变更为其DDoS缓解服务提供商的网络,随后,提供商将所有流量发送到清洗中心,携带恶意流量的通信就会被清除,只有洁净流量才会转发给客户。
按需模式和永远在线模式之间的区别就是,检测到攻击时,在按需模式中,流量只会在有限的时间内通过提供商网络转发,而在永远在线模式中,流量在任何时候都是通过提供商网络进行转发的。
优缺点:
使用永远在线的DDoS防护提供有很多重要优势:
- 不间断的防护:永远在线模式的最大优势之一就是,企业在任何时候都可以防御DDoS攻击。不同于仅在检测到攻击时才在有限的时间内启动转发和防护措施的按需模式,在永远在线模式下,客户一直处于受保护状态。
- 没有防护缺口:与按需模式相比,永远在线模式的另一个优势就是在检测和转发阶段没有防护缺口。多数的按需模式都根据大容量的流量阈值检测攻击。只有达到了一定的阈值,才会启动转发。检测和转发步骤可能需要几分钟时间,在此期间,应用仍暴露在危险之中。在永远在线模式下,流量会一直通过DDoS缓解服务提供商进行发送,因此不存在这一缺口。
- 管理开销低:永远在线部署的管理费用通常都很低。一旦完成了服务的初始配置,由于流量会不间断地转发,因此不会产生额外的开销。
然而,这种方法也有一定的缺点:
- 延迟:永远在线模式很大的一个缺点就是带来了额外延迟。由于所有流量都要通过DDoS缓解服务提供商的网络进行发送,这将不可避免地带来更多的流量延迟。延迟的数量取决于提供商清洗中心的位置、与客户主机的距离和连接。
- 成本:由于流量总是持续通过清洗中心发送,永远在线部署要占用比按需服务更多的带宽。因此,永远在线服务的费用要明显高于按需服务。
注意事项:
评估永远在线的DDoS防护服务时,需要考虑到以下几个关键因素:
- 延迟:应用对延迟的容忍度如何?使用永远在线的服务通常会给连接增加一定的延迟。延迟的数量通常是次要的,但这取决于应用及其特定用例如何确定这个程度是否可以接受。
- 攻击频率:应用遭受攻击的频率如何?如果应用会遭受持续攻击,那么永远在线的服务将会起到作用。然而,如果客户只是偶尔遭受到攻击(或根本不会遭受到攻击),那么按需服务可能会更划算。
- 预算:分配的预算有多少?与按需服务相比,永远在线的服务通常要更贵。
最适合的企业是哪些?
考虑到永远在线云DDoS防护服务各自的优缺点,许多用例都特别适合这一模式:
- 关键应用:承担不起任何宕机时间,哪怕只有几分钟也不可以的关键业务应用。服务的永远在线可以确保应用始终处于受保护状态。
- 频繁遭受攻击:频繁遭受到攻击的企业。在这种情况下,由于按需服务需要不间断地启动与结束转发,因此显得非常地不合适。
- 低延迟敏感性:对由此类服务引起的些微延迟不敏感的应用。
然而,这种解决方案不太适合某些用例:
- 对延迟敏感的应用:对延迟高度敏感的实时应用。在这种情况下,本地或混合解决方案可能更合适。
- 对价格敏感的客户:由于更多的流量附加费以及服务提供商的额外开销,永远在线服务的费用往往更高。因此,预算有限的客户可以考虑按需服务。
永远在线模式为那些需要持续防御DDoS攻击并且承担不起任何宕机时间的应用提供了有效的防护措施。然而,安全性的增强却是以增加延迟为代价的。
对需要持续防护和低延迟的客户和应用而言,结合了本地设备和可扩展云服务的混合解决方案就成为了最佳选择。本系列的最后一篇文章将介绍混合DDoS防护模式以及最适合哪些企业使用。