Cloudflare推出DDoS攻击防护服务Magic Transit,用户不需要额外购买硬件,即可将Magic Transit部署在企业内部网络对外连接之前,激活网络安全保护功能,且由于采用网络虚拟化技术,因此也支持了包括高端数据封包过滤、负载均衡和流量管理等工具。
传统网络架构,企业会在边缘路由(Edge Router)与企业内部服务器间(下图),设置防火墙等安全保护措施,而Magic Transit的设计,则是在整个Cloudflare网络中部署防火墙与DDoS等防护功能。当有封包进入Cloudflare网络,就会开始受到流量检查,并经过滤、重定向、加速发送数据封包到目的地,Magic Transit服务会使用通用路由封装(Generic Routing Encapsulation,GRE)信道、专用网络连接(Private Network Interconnects,PNI)或其他对等连接的方式,连接到用户的基础架构。
Cloudflare网络使用任播(Anycast)与边界网关协议(Border Gateway Protocol,BGP)来消化网络流量,并将用户的IP位置传播到全球网络,而由于任播以及遍布193个城市的网络,Cloudflare能够在更靠近攻击来源的地方吸收网络攻击流量(下图),而不至于对流量产生明显的延迟。
Magic Transit的DDoS攻击防护系统,与用于保护Cloudflare网络不受DDoS攻击的IP层DDoS保护系统相同,这个系统之前用于保护GitHub,不受TB级的Memcached放大攻击影响,Cloudflare强调,他们的服务比Akamai Prolexic、Imperva、Neustar和Radware的服务更能阻挡DDoS攻击。Cloudflare通过终止连接并重新创建连接,以HTTPS反向代理吸收来自IP层与TCP层,也就是OSI第三与第四层的攻击,另外,他们还用OSI第七层应用程序层,以缓解和速率限制阻止洪水攻击。
在使用IP层的网络安全服务时,通常需要与性能进行取舍,Cloudflare提到,Magic Transit能减少这项取舍所做的牺牲,由于Magic Transit是直接部署在整个Cloudflare网络中,因此不需要另外将流量转移到其他流量过滤中心,或是依靠额外部署硬件设备来缓解DDoS攻击。
虽然Magic Transit可用来处理企业全部网络的流量,但是并非所有IP子范围的流量都必须使用Magic Transit服务,因为子范围下的应用包罗万象,可能具有前端负载均衡器、HTTP服务器、电子邮件服务器或是UDP应用程序等,而这些应用可能需要不同的安全性和流量管理设置,因此用户可以使用服务组件,对不同的IP进行个别配置。