数据中心正面临越来越多的各种分布式拒绝服务（DDoS）攻击。这些攻击包括从耗尽网络带宽的洪水攻击到以点子邮件、Web服务、电子商务和IP语音（VoIP）等各种关键应用为目标的攻击。不仅攻击的手段与来越尖端，而且更容易得逞。因此，世界各地的数据中心运营商正遭受到比以往任何时候都更频繁的DDoS攻击，而且所导致业务中断的后果也更加严重。

　　Arbor Networks是各类服务提供商、大型主机托管服务供应商和云服务提供商首选的DDoS防御解决方案供应商。作为绝大多数一级和二级ISP公认的DDoS防御标准，Arbor在瓦解DDoS攻击方面具有最可靠和最值得信赖的技术。采用Arbor的Pravail可用性保护系统（“Pravail APS”）之后，用户就可以利用这一经过实践检验的运营商级DDoS防御技术来保护其企业数据中心。

　　数据中心合并、云计算和僵尸网络

　　合并和云计算趋势的加快，意味着企业比以往任何时候都更加依赖于其数据中心。各种服务（如Web、电子商务、金融交易、供应链、电子邮件等）的可用性是至关重要的。如果关键应用被迫中断，业务将戛然而止。

　　僵尸网络（一系列已被攻陷的计算机）在全球的蔓延易导致DDoS攻击的流行。由于攻击工具越来越复杂而且更容易使用，僵尸网络操作者正采用能逃避提供商网络和传统边界安全设备检测的低带宽攻击来造成目标同应用故障。在关键业务出现故障或性能受到严重影响之前，数据中心运营商通常并不知道自己受到了此类攻击。而一旦关键业务出现故障或性能受到严重影响，试图找到并解决问题的压力就会非常大。然而，此时往往很难找到可以解决问题的工具和专业知识。

　　Pravail APS 专门设计用于保护业务的连续性和可用性，使其免遭越来越多、各种各样的应用层威胁。它在一个易于部署的设备中提供了世界上最先进、最尖端的攻击检测和缓解技术，可在它们对关键业务构成影响之前自动瓦解攻击。

　　Pravail APS的Web GUI总结屏幕。通过点击“保护级别”图标，您可以为数据中心内的Web服务器或其他指定的服务器/群组启用预设的保护。

　　传统的边界安全解决方案无法完全防范DDoS攻击

　　传统的边界安全产品，如防火墙和入侵防御系统（IPS）是分层防御策略的基本要素，但是，它们都不是设计用来解决DDoS问题的。防火墙用于强制执行访问数据中心资源的策略，而IPS用于阻止可感染终端系统或利用已知漏洞的恶意软件。DDoS是不一样的问题。DDoS攻击由来自多个源地址的合法流量组成，他们旨在耗尽各种关键资源——链路容量、会话容量、应用服务容量（如HTTP、DNS）或后台数据库。由于这类流量是经过授权的，而且不含有任何已知恶意软件的行为的特征代码，因此不会被防火墙和IPS阻止。事实上，防火墙和IPS本身就是DDoS攻击的常见受害者。作为串接的有状态检测设备，他们非常容易受到DDoS攻击设法利用的多种漏洞的影响。因此，需要有一种新的安全产品，专门用于解决针对可用性的DDoS威胁。Pravail就是这样的解决方案。

　　主要技术

　　1. 开包即可立即使用的防护产品

　　Pravail APS 不仅安装容易，而且可立刻保护系统免受大多数攻击的威胁。其配置简单明了，而且无须经历学习周起即可使用Pravail APS。网络安全和工作人员一定会喜欢其精简的配置过程和简洁的用户界面。

　　2. 自动化、先进的DDoS攻击保护

　　对许多组织而言，停机时间的成本是非常高的，因此，Pravail APS被专门设计成可在没有用户干涉或很少干涉的情况下自动检测并预防DDoS攻击——一切都发生在业务受到影响之前。Pravail APS还可以在无法轻易识别和缓解攻击的情况下提供简单易用的应急计划和解决技术，以加快解析的速度。

　　3. 可视性和控制性

　　Pravail APS不是“黑箱”。在提供自动化的DDoS攻击保护的同时，Pravail APS还提供对攻击的实时可视性和各运营商所需的在必要时改变应对攻击的对策和阈值的灵活性。

　　4. 全套应对攻击的对策

　　Pravail APS融入了Arbor已开发并部署在各家领先的ISP、多系统运营商（MSO）、金融机构和与服务机制及托管服务提供商网络中的先进DDoS攻击对策。这项技术已在世界各地最严格的环境中通过检验，证实其实可靠且有效的。此外，Arbor的安全工程与相应团队（ASERT）已开发出一套新的基于数据包的保护措施，可瓦解超过150种类型的恶意软件，这些恶意软件构成了全球僵尸网络威胁的绝大部。

　　Pravail APS 的Web GUI上的“最活跃的国家”屏幕。通过点击“阻止”图标，您可以根据起源国家来选择性地阻止流量。

　　ATLAS智能预警（AIF）

　　Arbor享有与世界各地的领先ISP之间紧密而且非常特别的关系。通过其广泛的传感器和数据输入网络，Arbor对超过70%的全球互联网流量具有实时可视性。这使得Arbor对新兴威胁具有无与伦比的洞察力，从中获得的信息由Arbor的安全研究人员（ASERT）用于开发应对新兴威胁的防御措施。Arbor的ATLAS智能预警（AIF）是一种实时更新服务，可自动为Pravail APS设备提供针对新威胁的最新防御措施。

　　云信令

　　低带宽攻击不仅可以非常有效地造成数据中心的应用故障，而且他们通常可以逃避大多数基于提供商的云端DDoS解决方案的检测。不过，DDoS攻击也包括那些消耗带宽的洪水攻击，这列攻击能造成访问数据中心的互联网链路饱和。这些大流量攻击只能在提供商网络内进行缓解。企业需要一种即刻获得基于提供商的保护又可获得本地保护的前面DDoS攻击防御解决方案。云信令（Cloud Signaling^SM）可以实现这一全面保护。使用云信令后，Pravail APS会在威胁可用性攻击不断增强时自动向上游提供商报警。

　　实时和历史攻击的取证和报告

　　Pravail APS可实时提供详细的攻击报告，以便运营商能直观了解设备所采取的行动。除了在审核日志中记录这些行动外，Pravail APS还提供取证报告，详细说明所组织的主机、攻击的起源国家以及历史趋势。用户还可以将这些易于理解的报告分发给同事或管理层，让他们了解那些对服务可用性构成威胁的攻击，以及对付这些攻击所需采取的步骤。

　　性能

　　负载均衡器、防火墙和IPS设备（即使那些具有反DDoS功能的设备）往往是遭受DDoS攻击是最先失效的设备，这是因为他们的会话跟踪能力会被耗尽。Pravail APS采用独特的基于数据包的防御手段，避免了这一漏洞。Pravail APS无需跟踪任何会话状态即可检测并缓解大多数的DDoS攻击，而当需要进行一些会话跟踪时，也只是在短时间内存储及少量的信息。在实际情况中，Pravail APS可在向其提供流量的网络链路的容量内对攻击进行缓解。如果该链路以接近饱和，Pravail APS云信令就会向上游提供商报警，以便发起云端缓解。从而使数据中心受到完全的保护。