私有云边界四种抗攻击方案

云计算与外网的边界是重点防护的区域，病毒、异常扫描、DDOS攻击等一般会通过互联网出口进入私有云内网，因此做好边界的防护显得尤为重要。

今天我们讲解四种简单的边界防护方案，抛砖引玉。

方案一，防火墙方式

通过在云边缘部署防火墙，主要通过IP+Port的方式进行防御，部份UTM防火墙也能够实现病毒、攻击检测、攻击防御功能。

在图例中，通过两台防火墙配置相关的数据，平常主用设备1台，另一台设备处于备用状态。

该方式的优点是环境搭建和配置简单、功能较强；但缺点是因防火墙性能有限，随着业务的增长，在公有云环境中会成为瓶颈。

方案二，IDS攻击检测

为避免防火墙性能的影响，分支出了只检测攻击的方案，通过在核心出口将流量镜像至IDS检测设备，以便在紧急时刻能够了解攻击源头、攻击类型，组织其它力量对攻击进行处理。

方案三，IPS检测+防御

为解决IDS无法对攻击流量阻断的问题，出现了IPS设备，该设备串入骨干网络中，一般以透明模式工作。

相较于防火墙设备，IPS工作可以工作在TCP/IP模型的应用层，检测内容更加丰富。

方案四，用抗D设备防DDOS攻击

目前的攻击，主流采用DDOS攻击方式，采用防火墙等方式已经力不从心。因此新的抗攻击方式产生。

如下图所示，在出口路由器上通过netflow方式将部分流量进入流量分析系统进行分析，一旦发现攻击现象，将阻断指令发给流量清洗系统；流量清洗系统通过bgp、ospf等动态路由协议引导出口路由器将攻击流量牵引至流量清洗系统，流量清洗系统进行数据过滤后再通过路由方式将流量回注给出口路由器。