【51CTO.com原創(chuàng)稿件】雖然人們?cè)?019年新年鐘聲里互道平安喜樂，但仍有很多人對(duì)于20多天前的那場(chǎng)DDoS攻擊仍然心有余悸。12月13日夜間，國(guó)內(nèi)多家銀行的HTTP、HTTPS在線業(yè)務(wù)受到了來自以海外地址為主的攻擊。國(guó)內(nèi)電信運(yùn)營(yíng)商在第一時(shí)間針對(duì)80端口及443端口的CC攻擊進(jìn)行了封堵，有效地保護(hù)了被攻擊金融客戶的鏈路，但是即便是經(jīng)過了運(yùn)營(yíng)商進(jìn)一步過濾，仍有不少攻擊到達(dá)銀行的數(shù)據(jù)中心，導(dǎo)致其對(duì)外的WEB服務(wù)器CPU使用率大幅提升，響應(yīng)速度降低，影響了國(guó)內(nèi)用戶的正常訪問。

　　記者了解到，在本次DDoS攻擊過程中，F(xiàn)5 Advanced WAF(API安全-新一代WAF)的安全防護(hù)策略被證實(shí)非常有效地幫助用戶抵御了攻擊。于是記者采訪了F5首席技術(shù)官吳靜濤，請(qǐng)他從應(yīng)用的角度分享F5對(duì)于安全防護(hù)的一些創(chuàng)新思路。

[[255347]]

　　產(chǎn)品+服務(wù)抵御住這次“特殊”的DDoS攻擊

　　DDoS攻擊已經(jīng)被看作是目前最大的網(wǎng)絡(luò)安全威脅之一，2018年關(guān)于各種用戶的互聯(lián)網(wǎng)業(yè)務(wù)被攻擊癱瘓的新聞報(bào)道也不絕于耳。那么這次DDoS攻擊有何特別之處呢?

　　吳靜濤告訴記者，過去DDOS幾乎都是從國(guó)外發(fā)起，但是這次攻擊不一樣，國(guó)內(nèi)也有發(fā)起源，影響面非常廣。除了F5新一代WAF產(chǎn)品發(fā)揮作用之外，F(xiàn)5快速響應(yīng)客戶需求并提供周到的現(xiàn)場(chǎng)服務(wù)，也是幫助客戶在這場(chǎng)攻防戰(zhàn)里致勝的關(guān)鍵因素。

　　他進(jìn)一步解釋道，“在WAF市場(chǎng)F5一直是全球最領(lǐng)先的公司之一。這次攻防對(duì)抗中，F(xiàn)5的新一代WAF產(chǎn)品打開了應(yīng)用安全防護(hù)功能，抵住了瘋狂的流量攻擊。同時(shí)在F5產(chǎn)品+服務(wù)的大體系下，在產(chǎn)品功能之外又有專家在現(xiàn)場(chǎng)對(duì)攻擊事件的實(shí)時(shí)處理，所以取得了非常好的防御效果。”

　　F5的安全責(zé)任感：在其位謀其政 任其職盡其責(zé)

　　其實(shí)DDoS攻擊肆虐這么多年，市場(chǎng)上已經(jīng)形成了非常豐富的“抗D”產(chǎn)品，但是真正能抗住的產(chǎn)品鳳毛麟角，那么為什么F5的產(chǎn)品可以取得如此棒的防護(hù)效果呢?吳靜濤非常客觀地從客戶端的變化開始剖析F5 的安全優(yōu)勢(shì)。

　　他指出，客戶應(yīng)用的終端品種日益豐富，瀏覽器、原生APP、各種嵌套式應(yīng)用、IOT設(shè)備比比皆是，傳統(tǒng)的統(tǒng)一安全防護(hù)策略顯然無法防護(hù)所有的應(yīng)用。在這樣的形勢(shì)下，F(xiàn)5產(chǎn)品的部署位置決定了由F5來做安全防護(hù)更容易取得出眾效果。眾所周知，F(xiàn)5既在應(yīng)用端又在客戶端，離企業(yè)客戶和用戶都很近，所以由F5來將應(yīng)用中的不同流量提取出不同的灰度，做流量精分，再針對(duì)不同灰度的精分結(jié)果去做安全防護(hù)，最終實(shí)現(xiàn)對(duì)關(guān)鍵應(yīng)用進(jìn)行精細(xì)化的安全防護(hù)策略就事半功倍順理成章了。

　　記者早已發(fā)現(xiàn)，不少用戶在上云之后，往往安全防護(hù)工作交由云服務(wù)提供商來部署，用戶只需在互聯(lián)網(wǎng)的接收入口上做一個(gè)統(tǒng)一的安全防護(hù)，但當(dāng)遭遇DDoS攻擊時(shí)，云清洗和統(tǒng)一安全防護(hù)策略很多都失效了。在吳靜濤看來，究其原因就在于安全策略不夠精細(xì)。F5的做法是通過產(chǎn)品+服務(wù)的方式，對(duì)一些關(guān)鍵的業(yè)務(wù)、關(guān)鍵的應(yīng)用以流量精分的方式，對(duì)一個(gè)App里多種流量進(jìn)行精細(xì)化的安全防護(hù)策略。“傳統(tǒng)的安全架構(gòu)完全不能適應(yīng)如今以分鐘級(jí)做攻防轉(zhuǎn)換的新攻防模式，F(xiàn)5會(huì)先給客戶提供這樣的安全服務(wù)，等客戶驗(yàn)證之后認(rèn)同防護(hù)效果，再選購(gòu)。這樣先嘗后買的模式非常受客戶歡迎。”

　　F5對(duì)于安全防護(hù)的優(yōu)勢(shì)還有很多，其中“一鍵防護(hù)”功能最貼近用戶需求。吳靜濤透露道，由于攻防轉(zhuǎn)換往往是分分鐘的事，所以客戶需要有一個(gè)非常快速的工具來應(yīng)對(duì)。顯然這時(shí)搭建DevOps模型讓研發(fā)部門去改是來不及的，因?yàn)榇a需要經(jīng)歷校驗(yàn)、測(cè)試、評(píng)估之后才能上線。所以最好的解決之道就是全自動(dòng)去修改、配置，但由于大多數(shù)客戶不允許全自動(dòng)切換，因此F5推出了“一鍵切換”功能，幫助客戶快速應(yīng)對(duì)，非常好地滿足了用戶對(duì)應(yīng)用的可用性、安全性、可視化和自動(dòng)化提升等多種需求。

　　如何有效防御DDoS攻擊?F5給出四點(diǎn)建議!

　　從企業(yè)客戶角度來看，與DDoS攻擊對(duì)抗是一個(gè)漫長(zhǎng)的過程，攻擊手段和工具會(huì)不斷刷新，那么如何才能讓自己立于不敗之地呢?吳靜濤也給出了四點(diǎn)建議：

　　第一點(diǎn)建議，用戶需要意識(shí)到網(wǎng)絡(luò)攻防和合規(guī)是兩回事，安全部署不應(yīng)該以合規(guī)為目標(biāo)，而要重點(diǎn)考慮攻防，將攻防放置于首位。

　　第二點(diǎn)建議，用戶需要改變統(tǒng)一安全策略，對(duì)于關(guān)鍵應(yīng)用而言，需要對(duì)應(yīng)用做完流量精分之后，再根據(jù)不同灰度的流量進(jìn)行安全策略配置。F5產(chǎn)品+服務(wù)的攻防模型已經(jīng)被眾多用戶證明是有效的，可供參考。

　　第三點(diǎn)建議，不要將安全防御能力全部寄希望于全自動(dòng)安全模式，從另一個(gè)角度而言，全自動(dòng)也意味著安全風(fēng)險(xiǎn)，最好的處理辦法是要做可控的風(fēng)險(xiǎn)管理。

　　第四點(diǎn)建議，謹(jǐn)慎選擇透明模式和Bypass模式!吳靜濤強(qiáng)調(diào)，很多客戶被攻擊就是因?yàn)檫@兩個(gè)模式，如今的DDoS攻擊終極目標(biāo)其實(shí)并不是讓業(yè)務(wù)癱瘓，而是為了在徹底打穿透明模式和Bypass模式之后，掩蓋不法分子如入無人之境般竊取核心數(shù)據(jù)。對(duì)此F5給出的解決之道是構(gòu)建一個(gè)超高彈性的全代理架構(gòu)，做現(xiàn)代攻防的處理。

　　“攻防是第一目標(biāo)，流量精分是實(shí)現(xiàn)方法。F5希望實(shí)現(xiàn)的效果是通過機(jī)器學(xué)習(xí)之后的一鍵操作，而不是簡(jiǎn)單的全自動(dòng)，最終構(gòu)建出完整的安全防御體系。”吳靜濤總結(jié)道。

　　通過AIOps方式給客戶一鍵選擇權(quán)

　　在2018年，人工智能是最為火爆的IT關(guān)鍵詞，而在F5的Advanced WAF(API 安全——新一代 WAF)里早有機(jī)器學(xué)習(xí)的應(yīng)用。

　　在介紹機(jī)器學(xué)習(xí)應(yīng)用之前，吳靜濤先拋出兩個(gè)問題：客戶如何判斷是否進(jìn)入攻擊狀態(tài)?如何判斷是否需要開啟全線防御?傳統(tǒng)做法是設(shè)置一個(gè)閾值，例如流量大于多少，吞吐量達(dá)到多少就啟動(dòng)防御。但如今流量非常靈活，時(shí)刻處于變動(dòng)狀態(tài)，很難準(zhǔn)確界定是否處于攻擊狀態(tài)。F5的做法是通過產(chǎn)品把數(shù)據(jù)采集回來后進(jìn)行大數(shù)據(jù)的分析，做成智能基線。智能基線是通過機(jī)器學(xué)習(xí)經(jīng)過判斷之后，才會(huì)被觸發(fā)最終判斷進(jìn)入攻擊狀態(tài)。

　　他表示，判斷出攻擊狀態(tài)也并不意味著要進(jìn)入全線防御。在F5產(chǎn)品+服務(wù)的框架下，經(jīng)過大數(shù)據(jù)采集、機(jī)器學(xué)習(xí)、智能基線判斷，最后進(jìn)行預(yù)案全部工作都由F5完成，客戶自己來判斷是否通過“一鍵切換”進(jìn)入防御狀態(tài)。“F5通過機(jī)器學(xué)習(xí)的方法來去判斷正常流量、異常流量和用戶行為，然后通過AIOps的方式去做處理，最后給客戶一鍵選擇權(quán)。”

　　采訪結(jié)束時(shí)，吳靜濤告訴記者， 2018年是F5“鳳凰計(jì)劃”的元年，他本人就是鳳凰計(jì)劃在中國(guó)的主導(dǎo)人。回首2018，F(xiàn)5中國(guó)非常好地完成了這個(gè)戰(zhàn)略目標(biāo)，而且也為2019年的快速增長(zhǎng)打下了非常堅(jiān)實(shí)的基礎(chǔ)。“我們?cè)?019年第一季度非常有信心實(shí)現(xiàn)開門紅，邁下全年快速增長(zhǎng)的第一步。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】