安全產品老大不是防火牆，竟然是它：APS

對於安全產品類型，從防火牆、IPS、防病毒、漏洞掃描，到上網行為管理、WAF、負載均衡很多人能夠脫口而出，這些安全設備順序串接在路由器之後，企業網入口，對用戶信息系統提供安全防護，是必不可少的安全設備。其中，尤以防火牆設備最為重要，是企業安全防護首選的設備。如果安全也有12生肖，防火牆毫無疑問應該就是鼠老大。

但隨著APS設備日益受到關注，防火牆「鼠老大」的地位不保。那麼APS是什麼？為什麼APS成為首要的選擇？

這就要從DDoS（Distributed Denial of Service，分散式拒絕服務)攻擊說起。

說到DDoS，可以用談虎色變來形容。DDoS攻擊是指藉助於Client/Server技術，多個計算機聯合起來作為攻擊平台，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。攻擊者可以在幾秒鐘內激活成百上千次代理程序對目標進行攻擊。

DDoS攻擊流量近5年來飆升到1TB

有數據顯示，近5年來 DDoS攻擊的流量已經從數十Gb飆升到1TB，設想一下，這樣的一個攻擊流量，對於企業用戶來說，無論如何難以抵擋。但是幸運的是，這種被稱為暴力洪水式的DDoS攻擊已經並不多見。原因在於，這種洪水式的攻擊通常會暴露受感染客戶端，導致資源被封，會損失攻擊者所掌控的寶貴資源。所以，有人將這種暴力洪水DDoS攻擊稱為「核武器」，不到萬不得已時候，是不會輕易使用的。

DDoS攻擊形態

如今，攻擊者更傾向於採用更加具有針對性DDoS攻擊手段。目前，主要有兩種方式：狀態耗盡攻擊和應用層攻擊。前者針對前面說過的防火牆等安全設備，因為這些設備有一個共同特徵就是存在著「狀態特徵」，狀態耗盡式DDoS就針對這些「狀態」實施攻擊，耗盡狀態資源。與暴力洪水相比，狀態耗盡DDos攻擊需要消耗的資源更，同樣可以達到攻擊、勒索的目的。應用層DDos攻擊就是針對應用軟體發動的攻擊。

有數據顯示，如今狀態耗盡、應用層DDoS攻擊逐漸遞增，已經可以佔據DDoS 總攻擊流量的50%。對於這種新型的攻擊，無論是運營商，還是傳統安全設備基本上是束手無策。原因在於運營商實施的檢測主要集中在網路2層、3層；沒有辦法對於4～7層內容實施檢測，提供安全防護；對於傳統安全設備來說，本身就是DDoS的攻擊對象。

階層式DDoS防護策略

針對DDoS攻擊新的特徵。目前推薦的應對方法就是階層式DDoS防護策略，在客戶端添加APS（Availability Protection System）設備。據Arbor Networks大中華區總經理金大剛介紹，APS掛接在路由器之後，防火牆之前，是企業級安全防護的第一關口，較之防火牆等安全設備，APS是一種無狀態的設備，可以有效應對狀態耗盡攻擊，同時藉助多年的經驗積累，以及400多家ISP運營商的數據合作，可以有效應對包括應用層在內的DDoS攻擊。

APS掛接在路由器之後，防火牆之前

很多時候，企業級用戶會感覺到系統響應緩慢，更多會把原因歸咎於網路接入穩定性等客觀條件，從而忽視了來自網路的DDoS攻擊，這些攻擊不僅佔用企業寶貴網路資源，與此同時，也會時刻威脅企業信息系統的安全。

亡羊補牢，是時候關注APS網路安全設備了！

【本文版權歸存儲在線所有，未經許可不得轉載。文章僅代表作者看法，如有不同觀點，歡迎添加存儲在線微信公眾號（微信號：doitmedia）進行交流。】

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！