優(yōu)質的、專業(yè)的高防服務器，可以并且應該同時同時抵御網(wǎng)絡層以及應用層的攻擊。

網(wǎng)絡安全是一個分層的概念，不同攻擊發(fā)生在不同“層級”。只防護一層，就像只有一扇門鎖，橫容易被攻擊者繞過。

1.為什么需要同時防護

攻擊者一般不會只用單一攻擊方式，一般會實施組合攻擊，其用意是尋找你防御系統(tǒng)的薄弱之處。

網(wǎng)絡層的攻擊，有流量大且簡單直接的特點，其目的是讓網(wǎng)絡癱瘓，把帶寬用光。典型的就是DDoS攻擊。

應用層的攻擊，流量雖然不大，可卻會消耗資源，其目的是使程序出現(xiàn)卡頓，讓業(yè)務邏輯中斷。典型的就是CC攻擊。

要是你的防護只針對L3L4，那攻擊者就輕易能發(fā)動L7攻擊，繞過帶寬防御，直接把你的服務器CPU耗盡。反過來也是一個道理。

2.高防服務器的分層防護機制

目前的高防服務器解決辦法，像恒訊科技所提供的服務，一般用以下兩種不同的系統(tǒng)來應對分層攻擊：

A.網(wǎng)絡層級的防護——大流量清洗中心

主要工具是專業(yè)的抗DDoS硬件設施以及大規(guī)模的清洗集群。

工作模式：部署在整個網(wǎng)絡的前端，具備極大的帶寬容量。負責高效地過濾掉巨量的DDoS流量，像是SYNFlood、UDPFlood之類的。

防護關鍵：要保證網(wǎng)絡鏈路能夠順暢通行，避免帶寬被全部占用。

B.應用層面的防護——網(wǎng)絡應用防火墻或行為分析模塊

主要的工具，有WAF系統(tǒng)，還有專業(yè)的流量分析以及行為識別引擎。

工作模式：在L3L4清洗過后，接著對正常的HTTP以及HTTPS請求進行深入分析。它會識別CC攻擊也會識別Web漏洞攻擊。

防護關鍵：要保證應用程序能夠正常運行，避免系統(tǒng)資源被惡意請求耗盡。

3.如何甄別服務商的防護能力

當您租用高防服務器時，一定要詢問服務商

DDoS防護的峰值是多少？

是否提供CC攻擊防護？

CC防護策略是否支持自定義？

恒訊科技在提供高防服務時，強調全棧安全。我們清楚，只有L3L4與L7的防護能力都很強且配合默契，才能給客戶打造出真正安全靠譜的業(yè)務環(huán)境。

常見問題解答

Q1：L3L4防護以及L7防護是同時工作的嗎？

A：沒錯，它們是串聯(lián)工作的。L3L4防護先在網(wǎng)絡最前端開展初級、快速的流量清洗，主要是抵御超大規(guī)模的洪水攻擊。清洗完后，L7防護便緊接著對通過的HTTPHTTPS請求做精細化分析，處理CC攻擊以及Web漏洞攻擊。

Q2：如果我的業(yè)務是游戲，需不需要L7防護？

A：游戲業(yè)務主要面臨L3L4的UDPTCPFlood攻擊。L7防護需求相對不多，不過還是建議配置。畢竟有些攻擊者或許會沖著游戲的登錄接口或者API接口搞CC攻擊，把您的應用資源給耗光。

Q3：L7防護為什么容易誤傷正常用戶

A：L7防護是根據(jù)用戶訪問行為來判別是否為攻擊。要是策略設定過嚴，很可能把正常用戶的高頻操作像快速刷新、頻繁查詢錯當成惡意攻擊腳本。而且，L7防護策略得根據(jù)業(yè)務特性去做精細化配置與調整，恒訊科技一般會提供策略定制服務來應對此狀況。