近期，某些地方的“健康码”系统遭受不同程度的DDoS攻击，为全国政务网络预防DDoS攻击敲响了警钟。绿盟科技根据各省/市的“健康码”应用部署位置、网络架构和业务架构，提供了专业的DDoS攻击防护方案，如：云端防护方案、本地防护方案，云地联动方案等。各省市政务系统可结合业务实际情况，采用合适的防护方案。

01

云端防护方案

云上安心托管，专业团队支撑，适用本地带宽资源较小的政务系统

绿盟黑洞云清洗服务全面覆盖互联网客户，通过DNS解析，引流到高防中心进行清洗，云清洗防护引擎采用的绿盟实体抗拒绝服务系统（NSFOCUS ADS）和绿盟网络流量分析系统（NSFOCUS NTA）的引擎，并利用丰富的带宽储备，帮助客户抵御对从网络层到应用层的大流量DDoS攻击。支持IP接入和域名接入两种场景的业务防护。目前，绿盟科技已拥有全球10大防护中心，覆盖亚太、北美、拉美、欧洲等业务热点地区。国内外5星数据中心，多线BGP线路优质网络链路，覆盖客户全球的业务防护需求。

绿盟黑洞云清洗运营服务还提供免费源站健康检查服务（基础拨测服务），正式客户享受7*24h DDoS攻击应急服务，除了全面的攻击事件分析报告之外，还提供网站流量分析月报等服务。

绿盟黑洞云清洗原理示意图

绿盟黑洞云清洗服务已上线运行近十年，为政务外网、政务云、互联网企业、医疗、教育等多个行业的客户提供服务，该方案具有带宽大、延迟低、清洗准、模式多的四大特点：

超大防护带宽

平台拥有T级防护带宽能力

标准产品可以对客户提供单点600G+防护

单客户最高1.7T抗D智能调度

优质访问体验

机房多线BGP支持，让链路质量得以保证

平均时延约60ms

 精准识别算法

智能防护算法，AI赋能不断进化

每年超百万次的防护，成功率超99.995%

多种组合模式

多种组合模式，包年模式，弹性包年模式灵活随意选择

02

本地防护方案

本地设备防护，可基于业务特征实现精细化策略配置，同时具有超高的防护时效性

该解决方案由绿盟网络流量分析系统（NSFOCUS NTA）、绿盟抗拒绝服务系统（NSFOCUS ADS）及绿盟抗拒绝服务系统管理中心（NSFOCUS ADS-M）组成。满足客户“可管理、可运营”的需求，同时本地设备的防护可以最大限度降低检测和清洗时延，提升防护时效性。方案可实现全面监控，及时发现DDoS攻击；高效的防护能力，可按需触发；具备数据汇总分析能力，简化运维，同时提供了额外的增值运营能力。

本地防护方案原理示意图

检测——绿盟网络流量分析系统（NSFOCUS  NTA）是一款基于网络流量分析技术，面向运营商、政企、数据中心、金融等市场推出的流量分析检测产品，产品支持DPI和DFI两种检测模式，结合动态AI自学习算法，可为用户提供网络流量日常监控分析、异常攻击流量实时告警、网内威胁发现（挖矿、Botnet、垃圾邮件等）的网络安全检测设备，单台最高可支持30万Flow/s的高性能检测能力。同时内置多种牵引方式以及BGP Flow spec技术与路由器进行联动，提高防护效率，优化清洗方案资源调配。另外，产品支持硬件部署与软件部署两种形态，满足不同场景和方案的建设需求。

NTA主要能力汇总

清洗——绿盟抗拒绝服务系统（NSFOCUS ADS）作为绿盟流量清洗产品系列中的关键组成， ADS提供了单台最大400Gbps的DDoS线速防护能力。通过部署 ADS设备，可以对网络中的DDoS攻击流量进行清洗，同时保证正常流量的访问。 ADS采用集群模式可以实现T级防护容量，提高整个系统抵御海量DDoS攻击的能力。

ADS主要能力汇总

管理——绿盟抗拒绝服务系统管理中心（NSFOCUS ADS-M）是绿盟科技流量清洗产品系列中的管理平台，负责将来源于多个ADS设备的数据进行关联分析和处理；基于防护群组、业务域等逻辑对象进行业务用户分组管理，提供群组化的账号管理和策略控制；实现对ADS和 NTA的集中管理功能。此外，ADS-M还能提供类型丰富的报表及用户自服务系统，满足运营商利用DDoS做增值服务的需要。产品支持硬件部署与软件部署两种形态，满足多种场景和方案的建设需求。

03

云地联动方案

规避政务系统本地带宽资源不足而被打满的风险，同时提升运维效率，缩短攻击影响的时间

为什么需要云地联动方案？

原因1：只采用本地设备进行防护，虽然防护时效性很高，但一般政务系统的带宽资源比较少，无法应对超本地带宽的大流量攻击，一旦本地带宽资源被打满，业务仍会受影响。

单一本地防护，无法应对大流量攻击

原因2：云上托管的各类业务复杂，特性不一致，导致清洗策略配置相对粗犷，很难针对客户业务特征实现精细化的告警和清洗策略，因此可能存在漏杀、误杀等情况。

仅靠云清洗处理复杂攻击常有漏杀或误杀

绿盟科技在ADS盒子端实现联动云端，同步攻防状态，设置本地DDoS带宽告警阈值，当出口流量超过告警线后，盒子全自动将流量引流到云清洗节点，保障客户业务安全，整个清洗过程无需人工介入。云地联动方案不仅解决了小带宽客户大流量攻击问题，还通过自动化运维技术，增强了用户体验，提升了防护效率。

云地联动方案原理示意图

云地联动方案的核心能力介绍

1.黑洞云清洗提供1.7T防护能力

黑洞云清洗节点全球分布，基于anycast技术，在不同的节点使用BGP协议同时对外声明相同的目的IP地址，实现对DDoS攻击流量的分布式防御，最高单资源防护1.7T。

2.抗拒绝服务系统配置精细策略

本地部署串联或并联部署ADS，可以针对业务特征配置精细策略，防护各类攻击，处理各种已知、未知复杂攻击。

3.云清洗线路、源站线路线路自动切换

在没有DDoS攻击时，流量直接到源站，ADS自动判断发生攻击带宽资源紧张时，呼救云清洗中心切换线路，则流量经过云清洗再回注到源站。攻击结束后，线路自动恢复正常。

云地联动方案价值：三优化两降低