复合采集机制 破解高端网络安全迷题

    据李青山介绍，当前普通企业网大量应用的一些传统安全技术几乎都不适用高端网络对DDoS的防范，高端网络几乎已经面临着巨大的的局面，甚至思路本身都不适合高端网络的安全要求。

    首先，一些号称提供DDoS过滤的设备缺乏足够的处理性能。当前大型网络普遍采用万兆以上链，而现有DDoS过滤器却无法支持。事实上，一般DDoS过滤器通常针对普通企业用户进行设计，其系统处理性能往往局限在1G以下。

    其次，越来越多的安全串接设备将会降低高端网络的稳定性。诸如防火墙、IDS、IPS、DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性，其系统MTBF指标比主流网络设备要逊色许多。事实上，在大型网络区域边界点上部署此类设备将直接恶劣的负面影响，包括单一故障点增多，以及把大型网络整体稳定性直接拉低为普通安全设备本身的稳定性。

    最后，像DDoS过滤设备无法提供对应的接口类型。DDoS过滤设备主要面向下游接入网络提供服务，网络接口基本局限为100/1000M以太链路，而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程，这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。正是由于传统DDoS串接防护设备显而易见的局限性，决定了其无法在高端网络中进行应用部署。