【51CTO.com原創稿件】雖然人們在2019年新年鐘聲里互道平安喜樂，但仍有很多人對于20多天前的那場DDoS攻擊仍然心有余悸。12月13日夜間，國內多家銀行的HTTP、HTTPS在線業務受到了來自以海外地址為主的攻擊。國內電信運營商在第一時間針對80端口及443端口的CC攻擊進行了封堵，有效地保護了被攻擊金融客戶的鏈路，但是即便是經過了運營商進一步過濾，仍有不少攻擊到達銀行的數據中心，導致其對外的WEB服務器CPU使用率大幅提升，響應速度降低，影響了國內用戶的正常訪問。

　　記者了解到，在本次DDoS攻擊過程中，F5 Advanced WAF(API安全-新一代WAF)的安全防護策略被證實非常有效地幫助用戶抵御了攻擊。于是記者采訪了F5首席技術官吳靜濤，請他從應用的角度分享F5對于安全防護的一些創新思路。

[[255347]]

　　產品+服務抵御住這次“特殊”的DDoS攻擊

　　DDoS攻擊已經被看作是目前最大的網絡安全威脅之一，2018年關于各種用戶的互聯網業務被攻擊癱瘓的新聞報道也不絕于耳。那么這次DDoS攻擊有何特別之處呢?

　　吳靜濤告訴記者，過去DDOS幾乎都是從國外發起，但是這次攻擊不一樣，國內也有發起源，影響面非常廣。除了F5新一代WAF產品發揮作用之外，F5快速響應客戶需求并提供周到的現場服務，也是幫助客戶在這場攻防戰里致勝的關鍵因素。

　　他進一步解釋道，“在WAF市場F5一直是全球最領先的公司之一。這次攻防對抗中，F5的新一代WAF產品打開了應用安全防護功能，抵住了瘋狂的流量攻擊。同時在F5產品+服務的大體系下，在產品功能之外又有專家在現場對攻擊事件的實時處理，所以取得了非常好的防御效果。”

　　F5的安全責任感：在其位謀其政 任其職盡其責

　　其實DDoS攻擊肆虐這么多年，市場上已經形成了非常豐富的“抗D”產品，但是真正能抗住的產品鳳毛麟角，那么為什么F5的產品可以取得如此棒的防護效果呢?吳靜濤非常客觀地從客戶端的變化開始剖析F5 的安全優勢。

　　他指出，客戶應用的終端品種日益豐富，瀏覽器、原生APP、各種嵌套式應用、IOT設備比比皆是，傳統的統一安全防護策略顯然無法防護所有的應用。在這樣的形勢下，F5產品的部署位置決定了由F5來做安全防護更容易取得出眾效果。眾所周知，F5既在應用端又在客戶端，離企業客戶和用戶都很近，所以由F5來將應用中的不同流量提取出不同的灰度，做流量精分，再針對不同灰度的精分結果去做安全防護，最終實現對關鍵應用進行精細化的安全防護策略就事半功倍順理成章了。

　　記者早已發現，不少用戶在上云之后，往往安全防護工作交由云服務提供商來部署，用戶只需在互聯網的接收入口上做一個統一的安全防護，但當遭遇DDoS攻擊時，云清洗和統一安全防護策略很多都失效了。在吳靜濤看來，究其原因就在于安全策略不夠精細。F5的做法是通過產品+服務的方式，對一些關鍵的業務、關鍵的應用以流量精分的方式，對一個App里多種流量進行精細化的安全防護策略。“傳統的安全架構完全不能適應如今以分鐘級做攻防轉換的新攻防模式，F5會先給客戶提供這樣的安全服務，等客戶驗證之后認同防護效果，再選購。這樣先嘗后買的模式非常受客戶歡迎。”

　　F5對于安全防護的優勢還有很多，其中“一鍵防護”功能最貼近用戶需求。吳靜濤透露道，由于攻防轉換往往是分分鐘的事，所以客戶需要有一個非常快速的工具來應對。顯然這時搭建DevOps模型讓研發部門去改是來不及的，因為代碼需要經歷校驗、測試、評估之后才能上線。所以最好的解決之道就是全自動去修改、配置，但由于大多數客戶不允許全自動切換，因此F5推出了“一鍵切換”功能，幫助客戶快速應對，非常好地滿足了用戶對應用的可用性、安全性、可視化和自動化提升等多種需求。

　　如何有效防御DDoS攻擊?F5給出四點建議!

　　從企業客戶角度來看，與DDoS攻擊對抗是一個漫長的過程，攻擊手段和工具會不斷刷新，那么如何才能讓自己立于不敗之地呢?吳靜濤也給出了四點建議：

　　第一點建議，用戶需要意識到網絡攻防和合規是兩回事，安全部署不應該以合規為目標，而要重點考慮攻防，將攻防放置于首位。

　　第二點建議，用戶需要改變統一安全策略，對于關鍵應用而言，需要對應用做完流量精分之后，再根據不同灰度的流量進行安全策略配置。F5產品+服務的攻防模型已經被眾多用戶證明是有效的，可供參考。

　　第三點建議，不要將安全防御能力全部寄希望于全自動安全模式，從另一個角度而言，全自動也意味著安全風險，最好的處理辦法是要做可控的風險管理。

　　第四點建議，謹慎選擇透明模式和Bypass模式!吳靜濤強調，很多客戶被攻擊就是因為這兩個模式，如今的DDoS攻擊終極目標其實并不是讓業務癱瘓，而是為了在徹底打穿透明模式和Bypass模式之后，掩蓋不法分子如入無人之境般竊取核心數據。對此F5給出的解決之道是構建一個超高彈性的全代理架構，做現代攻防的處理。

　　“攻防是第一目標，流量精分是實現方法。F5希望實現的效果是通過機器學習之后的一鍵操作，而不是簡單的全自動，最終構建出完整的安全防御體系。”吳靜濤總結道。

　　通過AIOps方式給客戶一鍵選擇權

　　在2018年，人工智能是最為火爆的IT關鍵詞，而在F5的Advanced WAF(API 安全——新一代 WAF)里早有機器學習的應用。

　　在介紹機器學習應用之前，吳靜濤先拋出兩個問題：客戶如何判斷是否進入攻擊狀態?如何判斷是否需要開啟全線防御?傳統做法是設置一個閾值，例如流量大于多少，吞吐量達到多少就啟動防御。但如今流量非常靈活，時刻處于變動狀態，很難準確界定是否處于攻擊狀態。F5的做法是通過產品把數據采集回來后進行大數據的分析，做成智能基線。智能基線是通過機器學習經過判斷之后，才會被觸發最終判斷進入攻擊狀態。

　　他表示，判斷出攻擊狀態也并不意味著要進入全線防御。在F5產品+服務的框架下，經過大數據采集、機器學習、智能基線判斷，最后進行預案全部工作都由F5完成，客戶自己來判斷是否通過“一鍵切換”進入防御狀態。“F5通過機器學習的方法來去判斷正常流量、異常流量和用戶行為，然后通過AIOps的方式去做處理，最后給客戶一鍵選擇權。”

　　采訪結束時，吳靜濤告訴記者， 2018年是F5“鳳凰計劃”的元年，他本人就是鳳凰計劃在中國的主導人。回首2018，F5中國非常好地完成了這個戰略目標，而且也為2019年的快速增長打下了非常堅實的基礎。“我們在2019年第一季度非常有信心實現開門紅，邁下全年快速增長的第一步。”

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】