近年來，越來越頻繁的DDoS攻擊，給運營商和企業(yè)業(yè)務帶來了巨大的安全挑戰(zhàn)。最嚴重的一次在2013年3月，歐洲遭遇了史上最大的DDoS攻擊，攻擊流量峰值高達300Gbps，超大的攻擊流量匯聚到歐洲幾個一級運營商網(wǎng)絡內(nèi)部，造成整個歐洲地區(qū)的網(wǎng)絡擁塞。在荷蘭，DDoS攻擊也已經(jīng)影響到了大量數(shù)據(jù)中心的正常運營，如果沒有必要的防護方案，不但會對一家公司的業(yè)務造成影響，甚至會擁塞整個國家網(wǎng)絡的帶寬，影響所有ISP的業(yè)務連續(xù)性。

　　NBIP是荷蘭上百家ISP企業(yè)成立的鏈路與運營服務聯(lián)盟企業(yè)，幫助ISP提供統(tǒng)一的鏈路與運營管理服務。該聯(lián)盟成立于2002年，是荷蘭唯一一家國家級的ISP聯(lián)盟企業(yè)。由于NBIP的服務對象均是ISP，所有的業(yè)務都是互聯(lián)網(wǎng)在線服務業(yè)務，業(yè)務的連續(xù)性要求高，但也是黑客最常攻擊的目標。一旦業(yè)務遭受攻擊，就會帶來巨大的經(jīng)濟損失，據(jù)NBIP主席Ludo介紹：“DDoS攻擊帶來的損失每小時達數(shù)萬歐元，甚至更高。”此外，由于DDoS攻擊導致業(yè)務不在線，還會對企業(yè)的信譽和形象造成巨大損失，影響更是不可估量。

　　瘋狂的DDoS攻擊過后，ISP均在尋求有效的DDoS防護解決方案。但一個個獨立的ISP單獨部署專業(yè)的DDoS防護方案，不但會帶來巨大的部署和維護成本，而且根本無法有效防護鏈路擁塞型DDoS攻擊。

　　“臨淵羨魚”不如“退而結(jié)網(wǎng)”

　　作為ISP聯(lián)盟的NBIP，面對日益猖獗的DDoS攻擊，在接到ISP客戶屢次求助后，從2013年6月起，便開始尋求有效的DDoS防護與安全運營解決方案，并計劃部署DDoS安全增值服務，以應對DDoS攻擊，提升業(yè)務運營的連續(xù)性，改善客戶業(yè)務安全服務水平。

　　除此之外，通過研究業(yè)界知名安全服務提供商的業(yè)務范圍和市場空間，NBIP也發(fā)現(xiàn)安全服務市場是未來的趨勢，可以幫助NBIP提升自身的競爭力并增加業(yè)務范圍。在ICT不斷融合、云安全如火如荼的今天，運營商正面臨嚴重的運營成本上升與收益下滑的壓力，進軍安全增值服務領域已經(jīng)成為包括AT&T、BT等國際運營商的最新選擇，其中DDoS安全服務是運營商必選業(yè)務之一。因為運營商有先天的帶寬資源優(yōu)勢，能夠?qū)崿F(xiàn)上層防護，在單個ISP鏈路擁塞前做清洗防護。而NBIP相對于ISP聯(lián)盟中獨立的ISP企業(yè)來說，具有同運營商一樣的天然優(yōu)勢。意識到DDoS防護市場需求巨大，NBIP從2013年年中開始計劃和設計“國家級DDoS流量清洗中心”項目，并于年底邀請了業(yè)界知名的DDoS防護解決方案廠商進行方案和設備測試。

　　“消防員”式的防護方案

　　NBIP要建造的是整個荷蘭國家級的清洗中心，服務對象超過100家ISP，且未來業(yè)務和客戶仍將持續(xù)擴展，因此對DDoS防護解決方案的防護性能和擴展性均有嚴苛的要求，比如至少100G的擴展防護性能。而且NBIP的主要客戶是ISP企業(yè)的在線業(yè)務系統(tǒng)，不但對DDoS攻擊防護的精準度有要求，而且對攻擊響應的實時性要求也比較高。這就要求NBIP的DDoS防護方案要具備旁路實時監(jiān)控能力，實現(xiàn)快速攻擊響應，就像“消防員”一樣，處于隨時待命狀態(tài)，一旦發(fā)生“DDoS火情”，要能快速進行處理。

　　在測試階段，NBIP對其重點關(guān)注的特性做了詳盡的測試，綜合比較起來，華為的Anti-DDoS方案采用逐包深度檢測技術(shù)和旁路部署模式，能夠?qū)崿F(xiàn)秒級的攻擊響應和單臺設備200Gbps的防護性能，在方案上完全契合NBIP的需求。此外，在測試過程中，華為Anti-DDoS方案所表現(xiàn)出來的簡單便捷的GUI管理方式和詳盡的報表功能，也深深吸引了NBIP，使其最終選擇了華為方案。

　　NBIP主席Ludo在測試結(jié)束后這樣評價華為的方案：“華為的Anti-DDoS解決方案對攻擊的響應速度非�？欤�而且具有管理能力的非常優(yōu)秀的界面，事實證明華為的解決方案正是我們所需要的。”

　　NBIP的數(shù)據(jù)中心出口帶寬為80Gbps，采用全流量分光逐包做攻擊檢測，一旦發(fā)現(xiàn)攻擊，管理中心下發(fā)攻擊流量清洗策略，并由清洗板發(fā)送BGP引流清洗策略，將受攻擊對象的流量引入清洗中心做清洗。方案中的檢測中心和清洗中心有Anti-DDoS 8160的檢測板卡和清洗板卡分別完成，集中混插在一臺Anti-DDoS 8160設備機框上，可大大節(jié)約客戶空間和部署成本，還可通過板卡擴展線性提升性能，滿足NBIP運營性能持續(xù)擴展的需求。

　　客戶的聲音

　　“華為的Anti-DDoS解決方案對DDoS攻擊的響應速度非�？�，而且具有管理能力非常優(yōu)秀的界面，事實證明華為的解決方案正是我們所需要的。”

　　——NBIP主席 Ludo