我们绿盟科技思考如何在数据中心场景下联合数据中心防御DDoS和Web供给：数据中心可以说是下一轮IT互联网技术创新的关键基础设施，前面所发生的燕子行动的攻击，入侵的Web服务器很多都是位于数据中心的，而且攻击对象金融系统Web也不处于数据中心。所以必须要设法解决好Web监控和联合攻击的问题。目前数据中心最主要的业务是Web托管，包括像下面这些对于一些比较大的客户会提供专属的网络服务器资源来提供Web托管服务的IT基础设施。随着云计算和虚拟化技术的推进和发展也有很多数据中心在通过虚拟化的方式为他们的客户提供IT基础设施。

在这样一个环境下，如何有效的联合防御DDoS和Web攻击是我们思考的要点。我们如何得到一个新的防御架构思路，原点还是要从攻击该度看。比如说对专属资源的Web系统，对它的防护，我们是从攻击者的视角看，攻击者入侵Web服务器的时候，可以采用的方案是，部署Web应用防火墙，用Web监测引擎防御攻击。但是攻击者从Web服务器轮转到小流量DDoS的攻击的是我们可以用集成的DDoS模块进行在线清洗。同时攻击者把流量从小DDoS攻击变成大流量DDoS攻击的时候前面的防御措施会遇到一个问题，就是会出现带宽拥堵的情况。Web上先链路出现拥堵，下端的防护已经没有办法解决问题了，这时候我们的思路是下端的防护必须能够智能的感知到这种情况的出现，并且告诉上游的清洗中心在更高的网络层面对于大流量DDoS公司进行流量清洗。有了这样的机制就可以快速的响应大流量DDoS攻击的出现，将红点消除掉，解决带宽拥堵的问题。

因为攻击并不是总出现，当攻击听见的时候，比如回到正常状态，要告诉下端的基础防护设备，接下来实时监控还是由你来做，这样随着攻击的变化形成了一个新的防御架构，这是我们新的核心思路。我们认为这样新架构的好处：

1、这个架构能够同时抑制DDoS和Web的攻击。

2、它是一个随机应变的方案。攻击变化它的点和资源可以随之扭转。

3、按需建设节省投资。

下面通过一个动画来描述一下刚才所讲的供给轮转的过程，这是一个数据中心示意图，发生Web攻击的时候会有Web应用防火墙防御，当攻击带宽小于1G的时候，仍然可以防御，当大于1G的时候上面可以通知下面的清洗中心对流量进行清洗。

最后我想跟大家分享的是，在数据中心安全问题是亟待解决的，我曾经看到过一篇报道，中国有40万个数据中心。我有一个朋友也是在数据中心行业工作，为数据中心提供精细化运维和管理的解决方案。他说前面两三年数据中心像房地产一样大干快上，现在到了精细化管理的时候了。我们建议在精细化运营和管理过程中，在建设数据中心安全基础设施过程中，应该紧紧的盯住攻击，最好的老师就是黑客，我们要了解攻击方法，然后设置我们的防护措施。谢谢大家！