@南馆潇湘
2年前 提问
1个回答

实施防火墙访问控制和DDoS攻击防护的云化过程有哪些特点

帅末
2年前

在实施防火墙访问控制和DDoS攻击防护这两种业务的云化过程中主要有以下特点:

  • 为了实现对全网用户的业务要求,防火墙访问控制和DDoS攻击防护这两种业务均需建立分布式的安全云服务中心。所不同的是对于防火墙访问控制业务来说,各分中心主要为就近接入的客户提供业务,一般情况并不需要提供为远端客户的服务能力,各分中心属于松耦合关系,因此其安全资源池的调度一般仅限于分中心。

  • 在各安全云分中心的构建上,由于DDoS攻击防护设备一般不需要进行网络状态检测,因而一般情况下只需要通过等价路径的方式来实现资源的池化。在防火墙访问控制业务中,除非在采用包过滤的非状态检测防火墙的情况下可以采用以上类似DDoS攻击防护业务所采用的负载均衡的池化方案,一般情况下以上方案并不适用。当防火墙访问控制业务采用状态检测防火墙时,为了保证同一会话的连接分配到同一台防火墙来处理,一般情况下可以采用四层交换机的负载均衡方案。

  • 对于防火墙访问控制业务,只需实现调度分中心的系统即可;而对于DDoS攻击防护业务,则需要建立全网的资源调度中心。

  • 在防火墙访问控制和DDoS攻击防护这两种业务云化的过程中,由于业务复用的主要是设备的带宽和处理能力,其业务复用由调度系统来完成。为了实现完善的业务复用,对于安全设备状态智能感知也是重要的基础。为了达到智能感知的要求,要求网络安全设备均需提供调度中心所需的相关信息,如CPU的状态信息等。