DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

香港ddos防御_国内高防vps_如何解决

05-03 CC防护

香港ddos防御_国内高防vps_如何解决

这很有趣,虽然有时候我们做事情的第一个方法可能是正确的,但我们试图改进它,使它看起来更亮。最终我们意识到最明显的答案其实是正确的答案,我们最初的策略。对于那些在90年代中期从事防火墙业务的人来说,您应该记得防火墙供应商使用外部设备来提供高可用性(HA)功能的时候。以Checkpoint为例,与Stonesoft的关系堪称典范;他们作为一个团队销售,一起非常成功。他们的联合解决方案提供了一流的、快速、高效、易于管理的防火墙,以及出色的HA体验。在这个短暂的时间点上,安全设备的高可用性设计和功能比网络设备领先了15年。防火墙可以在主动/主动配置中设置,免费ddos防御vps,N+X冗余是可能的(如果当时不需要的话),水平扩展是一个不同的选择。然后,事件合谋改变了世界设计HA安全的方式,而不是朝着更好的方向发展。你问发生了什么事?Stonesoft决定犯一个巨大的商业错误,并建立一个防火墙。当你的大部分销售是通过一个战略合作伙伴来完成的,而这个战略合作伙伴恰好制造了防火墙以备将来参考时,你可能不应该做防火墙。这个错误导致Checkpoint很快脱离了负载平衡HA模型,采用了一种称为VRRP的新兴协议,断绝了他们与Stonesoft的合作关系,其他的都被称为历史。考虑到Checkpoint在防火墙领域的主导地位和市场优势,负载平衡防火墙设计在接下来的20年里几乎消失了。今天,当我们想到HA时,安全设备负载平衡应该重新回到我们的脑海中。因为今天,高可用性设计需要提供的不仅仅是正常运行时间,它们还必须在所有环境下提供灵活、稳定和可预测的使用。[你可能也会喜欢:世界在变]因此,我将列出负载平衡设计的优点,然后详细介绍。主动配置(高端防火墙可以群集,但有区别)、横向规模(价格和吞吐量)、N+X冗余、网关转换功能和智能流量控制。今天,大多数安全设备制造商(防火墙、IP、反恶意软件等)推荐基于主动-被动模型的HA设计。在大多数情况下,这些供应商都有一个活动选项,但很少建议使用它,因为异步路由可能存在问题(用户会话通过一个防火墙进入,而通过另一个防火墙离开,从而造成可见性问题)。在高端,少数供应商可以通过将最多三个设备集群在一起来提供HA。这确实解决了异步路由问题,香港高防cdn节点,但它是否解决了大型企业、电子商务或其他商业客户的可用性问题?我的意思是,如果一家公司决定需要四个带活动数据中心的主动群集核心交换机,那么对于一个在线单点故障设备来说,N+2冗余是否足够?让我们用一个理论例子来说明安全设备制造商提供的任何一种模型的局限性。变量rnd=窗口.rnd|| 数学地板(数学随机()*10e6);var pid276005=窗口.pid276005||rnd;变量plc276005=窗口.plc276005||0;无功功率=窗口.abkw|| '';var absrc='https://servedbayadbutler.com/adserve/;ID=168379;size=0x0;setID=276005;type=js;sw='+屏幕宽度+';嘘='+屏幕高度+';spr='+窗口设备像素比率+';kw='+abkw+';pid='+pid276005+';位置='+(plc276005++)+';rnd='+rnd+';click=单击"宏"占位符';文档.写入('');假设明天会出现一个新的安全漏洞,非常糟糕。所有的安全厂商都在争先恐后地进行修复。两天后,他们发布了一个新版本的beta代码(无需在现场进行测试),新功能可以应对这一巨大威胁。管理层来找你说,"我们需要这个修复,我们有风险"今天,你升级防火墙以测试这段代码在生产中的稳定性有多舒服?答案是,你不是。为什么?因为HA在安全设备世界中的工作方式是所有设备都需要运行相同的代码。我不能在一个设备上运行新代码,如果它不起作用就进行故障转移,因为HA配置要求两个设备运行相同的代码。也有例外(Forcepoint和Fortinet可以在集群或HA配置中运行多个版本的代码),但只有最低的公共特性集是活动的,因此问题仍然存在。如果不升级所有单元,我就不能在不引入不可接受的风险的情况下在生产中推出新代码进行测试。负载平衡架构解决了这个问题。您可以在任意多个活动防火墙上运行任意多个版本的代码,如果存在错误,您可以在修复代码版本的同时使用流量控制来移动流量。更进一步,您可以在提供HA架构的同时并行运行多个供应商的设备。我今天听到的一个常见的抱怨是,"我们想更换制造商,但是转换太困难了,因为我们有很多规则等等。"好吧,cc防御设,有了负载平衡架构,它可以随着时间的推移而迁移,而不是单时间点的切换。现在让我们来谈谈安全设备领域的横向扩展。当我需要升级吞吐量时,例如,如果我有更大的互联网管道,从需要10千兆的防火墙吞吐量到需要20千兆字节,我就放弃了10千兆的防火墙,并购买了20兆位的防火墙。为什么,你问?因为本机HA必须用两个类似的设备来设置。但是,如果您使用的是负载平衡架构,您可以通过在活动配置中添加另一个10Gig防火墙来进行扩展。您将拥有正确的吞吐量和更多的冗余,因为您将有一个额外的单元。此外,如果需要,您可以运行不同的单元,即:1x10gig和1x20gig。这不仅是一个更经济的解决方案,而且再次提供了更好的冗余。[您可能还喜欢:SCADA:更改动态]SSL检查是当今架构变化的主要驱动因素之一,哪里cc防御好,在许多情况下,ADC的购买完全是为了这个功能,在我看来,因为ADC供应商没有解释其他ADC功能集的价值。今天,大约50%的互联网流量是SSL加密的,然而大多数安全设备制造商只能对SSL加密流量进行检查。例如,Palo Alto在其30 gig 5060防火墙上仅提供2 gig聚合SSL检查。在新的5060上,他们提供了大约5千兆位的总容量,路由器防御ddos,这似乎令人印象深刻,但这是一个73千兆位的平台。Radware最小的ADC可以提供超过9GiG的数据,而成本只是它的一小部分。ADC SSL检测体系结构不仅有助于调整更小的安全设备,从而节省大量的资本支出,还可以减少延迟。如果每个安全设备都需要进行SSL协商以进行检查,那么会增加很多延迟(典型环境、防火墙、IPS anti-malate-in以及防火墙、IPS和DLP在退出时)。六次SSL协商,而不是使用ADC体系结构的两次一进一出)。附加的网关功能也很有用,例如让负载平衡器/ADC充当反向HTTP2网关。如果旧的安全设备无法理解HTTP2,负载平衡器就在正确的位置将HTTP2降级到HTTP1,通过安全设备传递,然后在发送之前将其重新封装到HTTP2中。HTTP2只是一个例子,但我认为您将看到这种优势在将来会被更多地使用。所有这些功能组合在一起就是负载平衡架构在以前有意义的原因,也是为什么我们应该记住它仍然有意义的原因。有时候最明显的解决方案就是最好的解决方案。阅读"保持简单;使其可扩展:防未来负载平衡器的6个特性"以了解更多信息。立即下载

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/50184.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6789150访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X