防火墙在失去功效。这是独立安全测试机构NSS Labs的一项近期调查得出的结论。调查发现，六款防火墙产品在接受稳定性测试时，有三款未能发挥正常功效。测试的这些防火墙就包括业界巨头的产品。

　　由于防火墙一贯是确保边界安全的公认基础，这些测试结果对于数据中心的管理人员来说特别让人震惊，要考虑到这一点：他们在服务可用性上面临的威胁比以前任何时候都要来得严重、普遍。

　　比如说，Arbor Networks公司的《全球基础设施安全报告》表明，源自僵尸网络的容量耗尽攻击和应用层分布式拒绝服务(DDoS)攻击仍然是网络运营人员在将来面临的最重大的威胁。

　　越来越严重的DDoS威胁

　　DDoS攻击可以分为三类：容量耗尽攻击(volumetricattack)，这种攻击企图耗尽转发或链接容量;状态表耗尽攻击(state-exhaustion attacks)，这种攻击企图耗尽基础设施和服务器里面的状态表;以及应用层攻击，这种攻击企图耗尽应用层资源。在所有这些攻击中，攻击者都是企图阻止真正的用户访问某个特定的网络、服务和应用程序。

　　虽然DDoS攻击存在的历史已超过了十年，但DDoS直到2010年12月才引起主流媒体的注意，当时它们摧垮了维基解密网站。随后，同情维基解密网站的人针对包括万士达卡(Mastercard)、贝宝(PayPal)、维萨(Visa)及其他知名机构在内的诸多目标发动了反攻。

　　据Arbor Networks公司发布的《全球基础设施安全报告》显示，耗尽资源容量的DDoS攻击在2010年首次突破100Gbps大关。简而言之，DDoS攻击消耗的资源变得多了许多。报告还披露，可能也是更让人担忧的是，针对数据中心的应用层DDoS攻击越来越频繁、越来越高明，给数据中心运营造成的影响也越来越大。

　　这种攻击给数据中心带来了怎样的影响?

　　该报告披露了互联网数据中心(IDC)运营人员的发现结果;他们声称，应用层DDoS攻击导致了长时间的停运，增加了运营开支(OPEX)、客户流失和收入损失。接受《全球基础设施安全报告》调查的对象中绝大多数(77%)发现过应用层攻击，而近一半(49%)遇到过防火墙或入侵防御系统(IPS)因DDoS攻击而失灵的情况。

　　尽管IPS、防火墙及其他安全产品是多层次防御战略的必要组成部分，但它们解决不了DDoS问题。防火墙和IPS的目的在于保护网络边界，以防被渗透、被攻破，并且是企业机构安全架构中的策略执行点。它们利用状态流量检查技术来执行网络策略、确保完整性。

　　遗憾的是，防火墙或IPS所能维护的状态却是有限的——攻击者也知道这一点;所以当设备里面的资源被耗尽后，可能造成的结果是流量丢失、设备被锁死以及可能崩溃。

　　对于数据中心的运营人员来说，应用层DDoS也是一大威胁，因为数据中心无异于有好多目标可以下手的环境。防火墙和IPS一般无法检测或阻止应用层DDoS攻击，因而这时需要其他替代的解决方案。

　　怎样才能减小风险?

　　作为一个最佳实践，多层次防御已得到了安全行业的接受和认可;为了应对日益猖獗的DDoS威胁，需要同样这种方法。互联网服务提供商/管理安全服务提供商(ISP/MSSP)必须阻止容量耗尽攻击和大规模的状态表耗尽攻击，但是发现应用层DDoS攻击的工作一般需要在ISP的边缘或者数据中心内部来完成。那是由于，要发现应用层DDoS攻击比较困难，这种攻击常常不会被为了监测承载几十或几百千兆位流量的大型ISP网络而部署的检测解决方案所发现。

　　位于数据中心边界的DDoS检测和缓解解决方案应该能够提供基于数据包的检测功能，能够立即提供保护，防范各种各样的DDoS攻击;然而，ISP/MSSP另外需要云解决方案，那样才能在数据中心的外面阻止高带宽攻击、容量耗尽攻击和状态表耗尽攻击，它们可能会耗尽通向上游ISP的链接。

　　在理想环境下，这两种解决方案会通过信令技术来协同工作，从而提供完全自动化的多层次防御机制，以防范DDoS攻击。

　　为了获得最佳效果，数据中心的运营人员就必须与ISP密切配合，提供这种多管齐下的解决方案，为客户设计一款可以保护服务、远离DDoS攻击的解决方案——无论这些客户是公司企业，还是管理安全服务提供商。

(责任编辑：)