华安解密之DDoS攻防 23 实战篇之城域网防护 _DDoS攻防

城域网防护是Anti-DDoS解决方案一个非常典型的应用场景，今天华安就带着大家实战演练一下，看看城域网要怎么防护。
城域网是指在地域上覆盖一个城市范围，为城域多业务提供综合传送平台的网络，主要应用于大中型城市地区。提供通用和公共的网络构架，以高速有效地传输数据、声音、图像和视频等信息，满足用户日新月异的互连网应用需求。

文章插图

城域网中流量很大，种类复杂，通常充斥着各式各样的攻击。针对城域网流量特点，在规划时从以下几个方面考虑：
1. 部署方式
在城域网场景中，通常采用AntiDDoS设备与Netflow设备联动，旁路部署的组网。其中，AntiDDoS设备作为清洗设备，Netflow作为检测设备。Netflow设备只支持威睿公司的Netflow设备。
Netflow设备在现网中部署的比较多，如果清洗设备与Netflow设备联动，通常无需单独购买检测设备，使用现网已存在的Netflow设备进行联动即可，成本较低。另外，Netflow设备属于抽样检测设备，可以应对城域网中的超大流量攻击，对性能要求不高。
检测设备除了Netflow设备以外，也可以是AntiDDoS检测设备。AntiDDoS检测设备采用逐包检测技术，检测更精细化，成本也更高。
2. 性能选择
依据客户链路带宽，规划匹配的接口规格；DDoS防御比较耗性能，注意预留部分清洗检测性能空间。
3. 防御策略
城域网中流量目的IP地址众多，一般以保证带宽，解决链路拥塞为防御目的。部署时，需要先甄别出需要重点保护的目的IP地址，加入到自定义防护对象中，并基于自定义防护对象配置相应的防御策略；对于不确定的要保护的目的IP地址，则用默认防护对象防御策略进行保护。针对不同的防护对象配置不同的防御策略。
如果运营商有运营需求，则可以创建自定义防护对象，将不同租户加入不同防护对象，配置差异化防御策略。
4. 流量引导方式
回注方式主要依赖于客户的现网组网环境，通常使用MPLS LSP回注方式，运营商下行链路比较多，使用策略路由需要依据不同的目的IP指定不同的下一跳，目的IP比较分散时，配置复杂。使用MPLS LSP回注方式，在直连口开启MPLS LSP隧道。
5. ATIC管理中心
ATIC由管理中心服务器和采集器两部分组成，有两种部署方式。
− 集中式部署：ATIC管理中心服务器和采集器同时安装在同一台物理服务器上。
− 分布式部署：ATIC管理中心服务器和采集器分别安装不同的物理服务器上，多台采集器可以共用一台ATIC管理中心服务器，一台ATIC管理中心服务器最多可管理20台采集器。
一台Anti-DDoS采集器大约可以处理20万个IP地址的Anti-DDoS业务日志，可以参考防护对象的IP地址个数来选择ATIC部署方式。
0x01典型组网如图所示，清洗设备旁路部署在核心路由器Router1上，对到达防护对象的流量进行清洗，洗完成后，再将正常流量通过MPLS LSP方式回注到原链路Router2，由Router2继续转发，最终将流量送到防护对象。
清洗设备仅有一个接口与Router直连，主接口引流，子接口回注；接口充足的情况也可以其他接口回注。

文章插图

0x02 数据规划下面以AntiDDoS8000 V5R1C50版本为例看下清洗设备和管理中心的IP地址规划。

文章插图

文章插图

【华安解密之DDoS攻防 23 实战篇之城域网防护】
l Netflow设备必须为威睿公司2014年1月1日以后的版本。
l Router1的接口GE1/0/1与清洗设备的接口GE2/0/1之间的通道为引流通道。
l Router1的接口GE1/0/1.100与清洗设备的接口GE2/0/1.100之间的通道为回注通道。
l 清洗设备名称为AntiDDoS 。
l 管理中心采用集中式部署，即Anti-DDoS采集器与管理服务器部署在同一台服务器上。
配置思路
清洗设备上需要完成以下主要功能的配置。
1. 加载License 。
2. 指定业务子卡的类型。
3. 配置接口IP地址，接口加入安全区域，并打开域间缺省包过滤。
4. 更改缺省用户名和密码，并配置Telnet功能。
5. 配置SNMP功能，使管理中心可以获取清洗设备的状态。
6. 配置清洗口，并在清洗口开启流量统计功能。