我们都知道,服务器的防火墙,但是一般防火墙都是防外不防内;网络服务商非常注重防御来自外部的DDOS流量,包括购置防火墙,提高网络带宽等,投入了巨大的成本。这种属于“被动安全”,即防止被他人从外部攻击。但在防御的过程中,有一个地方却一直被大多数服务商所忽略,那就是从IDC机房内部发起的DDOS攻击。如何主动抑制从内部发起的攻击,是“主动安全”所关注的问题。但是现在很多的通过虚拟化虚拟出来的虚拟机,如何做好虚拟机间的防DDOS攻击?
从IDC机房内部发起的DDOS攻击,常规的硬件防火墙和入侵检测设备并无法进行防御,因为这些攻击的流量并不是从外部进行IDC机房,而是在防火墙内发起。
虚拟机间DDOS攻击如何有效防护?有效的做法是通过在虚拟化层OVS组件增加自研的DDOS防御模块,有效识别进出虚拟化层的DDOS攻击流量并进行拦截,对主流的DDOS攻击手段如SYN Flood攻击、TCP全连接攻击等有较好的防御效果。只有把“被动安全”和“主动安全”结合在一起,才能够在系统上有效地防范DDOS攻击。
所以最好的方法是直接从虚拟化软件上入手,在做资源分配的底层,就使用安全可以靠的技术。推荐一款靠谱国产软件CNware虚拟化软件。
CNware做为领先的国产虚拟化软件,在安全特性上进行了许多技术创新,除了业界首创的虚拟化层防DDOS攻击,还在国内首发基于虚拟化的无代理防病毒接口等。通过对虚拟化层的安全加固,使得CNware成为要求高安全生产环境的首选虚拟化产品。