實施防火墻訪問控制和 DDoS 攻擊防護的云化過程有哪些特點

在實施防火墻訪問控制和DDoS攻擊防護這兩種業務的云化過程中主要有以下特點：

• 為了實現對全網用戶的業務要求，防火墻訪問控制和DDoS攻擊防護這兩種業務均需建立分布式的安全云服務中心。所不同的是對于防火墻訪問控制業務來說，各分中心主要為就近接入的客戶提供業務，一般情況并不需要提供為遠端客戶的服務能力，各分中心屬于松耦合關系，因此其安全資源池的調度一般僅限于分中心。

• 在各安全云分中心的構建上，由于DDoS攻擊防護設備一般不需要進行網絡狀態檢測，因而一般情況下只需要通過等價路徑的方式來實現資源的池化。在防火墻訪問控制業務中，除非在采用包過濾的非狀態檢測防火墻的情況下可以采用以上類似DDoS攻擊防護業務所采用的負載均衡的池化方案，一般情況下以上方案并不適用。當防火墻訪問控制業務采用狀態檢測防火墻時，為了保證同一會話的連接分配到同一臺防火墻來處理，一般情況下可以采用四層交換機的負載均衡方案。

• 對于防火墻訪問控制業務，只需實現調度分中心的系統即可；而對于DDoS攻擊防護業務，則需要建立全網的資源調度中心。

• 在防火墻訪問控制和DDoS攻擊防護這兩種業務云化的過程中，由于業務復用的主要是設備的帶寬和處理能力，其業務復用由調度系統來完成。為了實現完善的業務復用，對于安全設備狀態智能感知也是重要的基礎。為了達到智能感知的要求，要求網絡安全設備均需提供調度中心所需的相關信息，如CPU的狀態信息等。

回答所涉及的環境：聯想天逸510S、Windows 10。