本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:现有的高防DNS引流方式,需用户手动修改DNS域名,SRv6基于路由转发,不需要在每个节点做标签配置,只需要设定SRv6的头、尾节点即可通过路由进行自行选路从而将数据包转发至目标。介绍了 SRv6 Policy 下 unaware SF 节点的应用模型,创新性提出在高防及WAF系统下采用SRv6引流的方式将攻击流量引入高防系统进行防护的模型,提供“即插即用”式的高防服务。
关键词:SRv6;BGP Flowspec;WAF;高防;DNS
doi:10.12045/j.issn.1007-3043.2023.08.009
前言
高防广义上被定义为集成了防御4层(DDoS)+7层(渗透)攻击的高级防御系统,一般以服务器、安全资源池甚至数据中心的形态出现并提供安全服务。对于7层攻击的防护,高防中心内部通常以WAF作为主要防御手段,对扫描、SQL注入、XSS跨站、爬虫等攻击进行拦截,所以高防资源池或者高防数据中心通常以 DNS 引流为手段,需要防护用户手动修改被防护Web URL的DNS地址指向,将DNS指向为高防系统IP地址,从而将流量引入到高防资源池中来。
本文首先介绍了SRv6的一种应用场景——SRv6TE Policy+业务链,并结合SRv6 TE Policy+业务链场景深入介绍通过SRv6技术作为流量牵引手段与高防相结合,从而简化了用户接入高防系统的方式,并提出笔者研究的最佳实践。