安全产品老大不是防火墙，竟然是它：APS

对于安全产品类型，从防火墙、IPS、防病毒、漏洞扫描，到上网行为管理、WAF、负载均衡很多人能够脱口而出，这些安全设备顺序串接在路由器之后，企业网入口，对用户信息系统提供安全防护，是必不可少的安全设备。其中，尤以防火墙设备最为重要，是企业安全防护首选的设备。如果安全也有12生肖，防火墙毫无疑问应该就是鼠老大。

但随着APS设备日益受到关注，防火墙“鼠老大”的地位不保。那么APS是什么？为什么APS成为首要的选择？

这就要从DDoS（Distributed Denial of Service，分布式拒绝服务)攻击说起。

说到DDoS，可以用谈虎色变来形容。DDoS攻击是指借助于Client/Server技术，多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。攻击者可以在几秒钟内激活成百上千次代理程序对目标进行攻击。

DDoS攻击流量近5年来飙升到1TB

有数据显示，近5年来 DDoS攻击的流量已经从数十Gb飙升到1TB，设想一下，这样的一个攻击流量，对于企业用户来说，无论如何难以抵挡。但是幸运的是，这种被称为暴力洪水式的DDoS攻击已经并不多见。原因在于，这种洪水式的攻击通常会暴露受感染客户端，导致资源被封，会损失攻击者所掌控的宝贵资源。所以，有人将这种暴力洪水DDoS攻击称为“核武器”，不到万不得已时候，是不会轻易使用的。

DDoS攻击形态

如今，攻击者更倾向于采用更加具有针对性DDoS攻击手段。目前，主要有两种方式：状态耗尽攻击和应用层攻击。前者针对前面说过的防火墙等安全设备，因为这些设备有一个共同特征就是存在着“状态特征”，状态耗尽式DDoS就针对这些“状态”实施攻击，耗尽状态资源。与暴力洪水相比，状态耗尽DDos攻击需要消耗的资源更，同样可以达到攻击、勒索的目的。应用层DDos攻击就是针对应用软件发动的攻击。

有数据显示，如今状态耗尽、应用层DDoS攻击逐渐递增，已经可以占据DDoS 总攻击流量的50%。对于这种新型的攻击，无论是运营商，还是传统安全设备基本上是束手无策。原因在于运营商实施的检测主要集中在网络2层、3层；没有办法对于4～7层内容实施检测，提供安全防护；对于传统安全设备来说，本身就是DDoS的攻击对象。

阶层式DDoS防护策略

针对DDoS攻击新的特征。目前推荐的应对方法就是阶层式DDoS防护策略，在客户端添加APS（Availability Protection System）设备。据Arbor Networks大中华区总经理金大刚介绍，APS挂接在路由器之后，防火墙之前，是企业级安全防护的第一关口，较之防火墙等安全设备，APS是一种无状态的设备，可以有效应对状态耗尽攻击，同时借助多年的经验积累，以及400多家ISP运营商的数据合作，可以有效应对包括应用层在内的DDoS攻击。

APS挂接在路由器之后，防火墙之前

很多时候，企业级用户会感觉到系统响应缓慢，更多会把原因归咎于网络接入稳定性等客观条件，从而忽视了来自网络的DDoS攻击，这些攻击不仅占用企业宝贵网络资源，与此同时，也会时刻威胁企业信息系统的安全。

亡羊补牢，是时候关注APS网络安全设备了！

未经允许不得转载：DOIT » 安全产品老大不是防火墙，竟然是它：APS