业务挑战

　　伴随着几大运营商竞争的加剧，接入用户对SLA(服务等级)的要求也越来越高。电信运营商有责任也必须保证城域网客户网络的可用性、安全性以及带宽的利用率，这样才能在日益激烈的竞争中占得先机。在城域网骨干的抗拒绝服务需求中，对流量净化的要求要高于对攻击完全防护的要求。应该说，在城域网骨干碰到的抗拒绝服务攻击主要以抵御流量型攻击为主，大流量的攻击会拥塞网络带宽，抢占网络设备的处理能力，使得网络带宽的整体利用率降低，从而对多种业务构成威胁。大规模DDoS攻击对城域网核心网络的影响主要表现在如下方面：

　　* 核心网络的通信链路被DDoS攻击流量占用
　　* DDoS攻击造成链路中网络设备的负载过高
　　* 大客户业务受DDoS影响服务质量急剧下降

　　解决之道

　　绿盟科技长期专注于如何在城域网环境中抵御DDoS流量，利用业界知名的绿盟抗拒绝服务系统，制定了绿盟科技ADS流量净化矩阵的解决方案——NC²M(NSFOCUS Collapsar CleanMatrix)。该方案采用多层的攻击流量检测、防护、过滤机制，及时发现背景流量中各种类型的攻击流量，以基于流量牵引技术的旁路方式，在城域网中迅速对攻击流量进行过滤，保证核心网络的正常运行。

　　1) 部署专用高性能抗DDoS设备进行防护，并采用特定的旁路工作方式。由于城域网骨干中的业务流量具有复杂多样的特点，而且流量很大，对链路带宽的依赖性强，因此很容易受到DDoS攻击的影响。要想做到全面的防护，推荐使用绿盟科技基于专用NP硬件架构的抗拒绝服务系统，并采用旁路或旁路集群部署的方式，以做到在应对海量DDoS攻击时，保证城域骨干网的高可靠性。

　　2) 运营商城域网的全网环境中分层次全面部署，满足不同力度的防护需求。在整个城域网甚至未来从骨干层开始的DDoS攻击防护工作，不能寄希望于在一点能够解决所有的问题，而应建立多层次的梯度防护，不同的防护层次完成不同的任务。在核心网络首先要做到的是对海量DDoS攻击的净化，以保证核心链路的畅通与带宽利用率，而针对IDC、大客户接入等的保护更加重视对于重点客户及应用层的攻击防护。

　　3) 通过DataCenter对净化设备进行集中管理，针对DDoS事件统一分析。