DefenseFlow可以对网络进行编程防御DoS攻击的SDN应用-Radware.PDF

解决方案简介 DefenseFlow：可以对网络进行编程防御DoS攻击的SDN应用 Radware DefenseFlow™是一款SDN应用，允许网络运营商对网络进行编程，以 网络原生服务的形式提供DDoS攻击防护。DefenseFlow拥有自适应基于行为分 析的DoS攻击检测引擎，支持通过软件定义网络的可编程特性进行流量牵引，实 现对攻击数据流的清洗。作为Radware SDN应用框架的一部分，DefenseFlow 可以在任何支持SDN的网络基础架构中运行。 软件定义网络(SDN)中的网络应用 软件定义网络(SDN)是一种网络控制与转发分离的网络架构，可以直接进行编程。通常集成在网络设备中的控制层被迁移出 来，成为一个基于软件的中央实体，实现对网络构架的抽象化，将网络作为一个逻辑实体进行对待，以便于应用和网络服务 的开展。如图1所示：DefenseFlow作为SDN应用，通过SDN控制器北接口对网络进行编程，提供本地DDoS防护服务。 图1：DefenseFlow是部署在SDN应用层的网络DDoS攻击检测及流量转发应用 DefenseFlow秉承了Radware的SDN战略，通过SDN控制平面收集信息并对数据层进行控制，能够将基于设备的DDoS防护 转化为全网范围的服务。DefenseFlow采用独特的基于行为分析的技术对网络攻击进行实时探测，以最低成本实现整体网络 智能水平的提升。 DefenseFlow：对网络进行编程并实现防御DoS攻击的SDN应用 1 解决方案简介 主动进行DDoS防护的SDN应用 DefenseFlow可以提供最广泛 DefenseFlow软件产品利用SDN技术，以网络原生服务的形式提供DoS DDoS攻击 的网络DDoS攻击缓解范围： 防御服务。利用SDN技术的可编程性，DefenseFlow能够进行统计数据的采集、信息 • SYN泛洪攻击 的分析并对基础架构层进行控制，主动地对DoS DDoS网络泛洪攻击进行防御，并 • TCP泛洪攻击 能实现攻击缓解服务的自动部署。 • UDP泛洪攻击 • ICMP泛洪攻击 采集机制：基于OpenFlow的全网统计数据 • IGMP泛洪攻击 • 分片泛洪攻击 通过SDN控制器的北向API ，DefenseFlow可以对网络进行编程，从可编程基础架构 • OOS泛洪攻击 组件(如：支持OpenFlow的物理及虚拟交换机、路由器和NIC)中采集所需的数据流统 • 网络及端口扫描 计数据。采集到的统计数据被发送给DefenseFlow应用。 统计数据被用于正常流量基线(存储为历史数据)的构建，实时数据流统计数据将持续地与预设基线进行对比，以便识别可能 引发DDoS攻击的异常数据模型。 通过与SDN控制器整合，可以获得对SDN基础架构层的可编程能力，这样就可以将任何网络实体按需动态转换成探测器。诸 如因添加交换机或虚拟网络等所引起的网络变化能够被SDN控制器自动发现并进行映射，因此无需对DefenseFlow应用作任 何重新配置。这还省去了用于安装和维护采集Netflow统计数据的物理网络探测器