對于安全產品類型，從防火墻、IPS、防病毒、漏洞掃描，到上網行為管理、WAF、負載均衡很多人能夠脫口而出，這些安全設備順序串接在路由器之后，企業網入口，對用戶信息系統提供安全防護，是必不可少的安全設備。其中，尤以防火墻設備最為重要，是企業安全防護首選的設備。如果安全也有12生肖，防火墻毫無疑問應該就是鼠老大。

但隨著APS設備日益受到關注，防火墻“鼠老大”的地位不保。那么APS是什么？為什么APS成為首要的選擇？

這就要從DDoS（Distributed Denial of Service，分布式拒絕服務)攻擊說起。

說到DDoS，可以用談虎色變來形容。DDoS攻擊是指借助于Client/Server技術，多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。攻擊者可以在幾秒鐘內激活成百上千次代理程序對目標進行攻擊。

DDoS攻擊流量近5年來飆升到1TB

有數據顯示，近5年來 DDoS攻擊的流量已經從數十Gb飆升到1TB，設想一下，這樣的一個攻擊流量，對于企業用戶來說，無論如何難以抵擋。但是幸運的是，這種被稱為暴力洪水式的DDoS攻擊已經并不多見。原因在于，這種洪水式的攻擊通常會暴露受感染客戶端，導致資源被封，會損失攻擊者所掌控的寶貴資源。所以，有人將這種暴力洪水DDoS攻擊稱為“核武器”，不到萬不得已時候，是不會輕易使用的。

DDoS攻擊形態

如今，攻擊者更傾向于采用更加具有針對性DDoS攻擊手段。目前，主要有兩種方式：狀態耗盡攻擊和應用層攻擊。前者針對前面說過的防火墻等安全設備，因為這些設備有一個共同特征就是存在著“狀態特征”，狀態耗盡式DDoS就針對這些“狀態”實施攻擊，耗盡狀態資源。與暴力洪水相比，狀態耗盡DDos攻擊需要消耗的資源更，同樣可以達到攻擊、勒索的目的。應用層DDos攻擊就是針對應用軟件發動的攻擊。

有數據顯示，如今狀態耗盡、應用層DDoS攻擊逐漸遞增，已經可以占據DDoS 總攻擊流量的50%。對于這種新型的攻擊，無論是運營商，還是傳統安全設備基本上是束手無策。原因在于運營商實施的檢測主要集中在網絡2層、3層；沒有辦法對于4～7層內容實施檢測，提供安全防護；對于傳統安全設備來說，本身就是DDoS的攻擊對象。

階層式DDoS防護策略

針對DDoS攻擊新的特征。目前推薦的應對方法就是階層式DDoS防護策略，在客戶端添加APS（Availability Protection System）設備。據Arbor Networks大中華區總經理金大剛介紹，APS掛接在路由器之后，防火墻之前，是企業級安全防護的第一關口，較之防火墻等安全設備，APS是一種無狀態的設備，可以有效應對狀態耗盡攻擊，同時借助多年的經驗積累，以及400多家ISP運營商的數據合作，可以有效應對包括應用層在內的DDoS攻擊。

APS掛接在路由器之后，防火墻之前

很多時候，企業級用戶會感覺到系統響應緩慢，更多會把原因歸咎于網絡接入穩定性等客觀條件，從而忽視了來自網絡的DDoS攻擊，這些攻擊不僅占用企業寶貴網絡資源，與此同時，也會時刻威脅企業信息系統的安全。

亡羊補牢，是時候關注APS網絡安全設備了！