网络安全保护已经逐渐成为企业上云首要考虑的问题，面对源源不断的网络攻击，很多企业在上云的时候都产生了犹豫，频繁的面对DDoS攻击，勒索病毒，暴力破解，让无数上云企业苦不堪言。

其实面对网络攻击，也不是没有解决办法，选择更高性能的网络安全产品即可有效抵御网络攻击的侵害。

防御吧联合实验室研制的DDoS高防产品就依托其优秀的架构做到对攻击的完全检测和高清洗能力。使用光棱物理分光做1:1流量镜像，旁路Netflow检测镜像流量，不影响客户正常业务流向，检测后的镜像流量被丢弃。检测原理主要为基于流量建模分析客户IP的流量中是否存在攻击流量。

防御吧DDoS攻击防护可以检测SYN Flood、ACK Flood、UDP Flood、ICMP Flood、CC 攻击等常见的攻击类型及更多的攻击。

在检测完成之后，当检测到某个IP被攻击后，清洗集群向核心路由发布BGP牵引路由，将该IP的流量牵引至清洗集群防护。清洗后的干净流量，再通过BGP路由回注至核心路由，最终流向用户的云主机或通过转发集群流向用户使用的非腾讯云的机房中。

至于其中用到的防护算法，也是利用了腾讯云安全团队多年的技术积累。在传统的代理、反向探测、认证、黑白名单、报文合规等标准技术的基础上，结合安全信誉、大数据分析、用户行为分析、特征学习等多种技术手段，对威胁进行阻断过滤，仅对数据报文头部进行分析。

防护系统对用户的业务数据是安全无感知的，不涉及、不查阅业务负载报文，能够保证用户在被攻击持续状态下仍然可以对外提供业务服务。

我们可以从上图中看出腾讯云DDoS攻击的防护体系架构。整个高防区通过策略控制中心统一分发策略，首先通过1:1分光将流量复制，然后用检测集群检测流量，再依据设置好的策略使用攻击清洗集群清洗，清洗之后将流量回注到TIX路由器，再由外网核心导入没有被攻击的云主机，同时公网的转发集群将流量传送至外部机房。

防御吧DDoS防护依靠着优秀的底层架构便能够提供更多强大的核心功能，不仅仅对常见的攻击防护，还可以做到流量封堵、取证溯源、协议支持、监控管理和管理报告。

其中管理报告模块是很多常见的DDoS防护所不具备的，系统可以提供直观而便利的设备运行监控、策略配置、报表生成和抓包取证等管理：在统计报表页面，选择高防资源，即可查看相应的 DDOS 攻击详情、CC 攻击详情，方便用户快速溯源和查看防护结果。