对话腾讯云专家 解读腾讯云安全防护体系

近日，在北京举行的“腾讯云会客厅∙技术专家面对面”首次活动现场，作为2005年加入腾讯的一名老兵，腾讯云安全总监周斌系统地梳理了腾讯云安全的产品体系，分享了对云安全形势的看法。他表示，“腾讯公司在过去十多年和黑产对抗的过程中积累了丰富的经验，无论是技术还是服务在行业都是遥遥领先的，我们有责任也有义务为中国互联网安全做出应有的贡献”。

对抗黑产不遗余力 十年斗争经验汇集云安全

现在，抢红包无疑是最火的“游戏”之一。每逢佳节，更是红包满天飞的节奏。2015年中秋节已过，你发红包了么?抢红包了么?在这场抢红包的大战中，你是否担心过你的账户安全?你是否意识到被钓鱼的风险?

其实，因红包手机支付牵扯到关联银行卡，自抢发红包之风兴起，其安全性一直遭到业内的质疑。黑产采用各种手段进行攻击，试图从中牟利，导致诸如微信红包被钓鱼的事件时有发生。也正是因为意识到这种风险，收发红包的背后总有那么一些“战士”在与之战斗着。

长期战斗在安全防护一线的周斌就是其中之一，他表示：“据腾讯安全团队统计，2015春节期间，来自黑产的恶意挂刷请求达到24万次，web渗透尝试达到197万次，暴力破解尝试839万次，撞库攻击超过10亿次。依托腾讯十年对抗经验，最终腾讯安全团队有效拦截了这些撞库破解、恶意攻击等行为，保证全球微信用户‘抢红包’的安全。”

周斌介绍说，腾讯整个发展史，是与黑产对抗的发展史。腾讯云安全团队是捍卫过微信、QQ、红包等明星业务的禁卫军。腾讯拥有海量的数据计算平台，每天会有3700多个计算任务在后台进行恶意行为分析，分析内容涵盖黑产的恶意行为以及黑产操作轨迹的数据，日总计算超过6000亿次，月计算量达到8000T。目前，腾讯这些对抗黑产的安全能力，会化作云安全对外开放。

火力全开，腾讯云安全打造全方位的产品体系

面对严峻的互联网云安全形势，腾讯云推出基础服务和高级服务两大产品体系。基础服务包含：DDoS防护、WAF防护和云主机防护，免费为所有腾讯云用户开放。而高级服务囊括DDoS高防、大禹系统、天御系统、乐固以及定制级专家服务，面向所有行业客户开放。不管是腾讯云的用户，还是非腾讯云用户，都可以享受同等的专业服务。

周斌表示，针对非腾讯云用户，把用户流量请求先路由到大禹加速点，然后在回到源站。只需通过DNS协议把域名解析到大禹系统，不用改动用户的源站服务器，就可以为其提供安全防护。

腾讯云提供了针对网站，业务及移动安全防护的三大产品：

◆针对网站安全防护的大禹：全新发布的大禹4.0凭借高达4T的超大防护带宽及秒级快速调度能力，能够有效抵御DDoS及CC攻击，提供Web漏洞扫描、WAF、反DNS劫持、安全认证等功能。大禹4.0拥有全国超过400个检测点，能够有效解决DNS劫持问题。并且，接入大禹系统的用户，还可以享受全国100多个安全加速节点提供的加速服务。

◆针对业务安全防护的天御：天御首次实现业务安全能力的对外开放，产品核心功能包括活动防刷、防恶意注册、防恶意登录、验证码、消息过滤、关键词检测、文件检测共7大能力，腾讯业务的多年积累能够为用户的业务安全保驾护航。

◆针对移动安全防护的乐固(该产品即将发布)：乐固可以为APP开发者提供涵盖审计监控、加固、安全SDK等功能的一站式安全解决流程。用户可通过审计和渠道监控发现问题，找到自身的漏洞或被重打包等情况。然后，通过加固来解决被破解、重打包等问题。最后，针对诸如安全键盘、应用环境监测等进阶性需求，乐固也提供了对应的高阶安全解决方案SDK供开发者们使用，帮助开发者真正掌控APP。

除此以外，腾讯云还提供贴身定制的专家服务体系。专业的安全团队将为客户提供方案咨询，根据客户业务情况，量身定制安全防御方案。然后，配备专属技术专家，实现更快更优质的安全服务。#p#

对话周斌 解读腾讯云DDoS攻击防护

DDoS攻击似恶霸，是最大网站安全威胁之一。不但会让受害用户的网络非常拥塞，无法和外界正常通讯，而且还会使主机无法处理所有正常的请求，甚至会造成系统死机。目前，DDoS黑色产业已经形成，以敲诈勒索在线盈利企业、商业竞争恶意攻击为主要表现，以极低的攻击成本，给企业的正常运营产生重大损失。因此，对抗DDoS攻击是各大安全厂商必做之事。

在致命的DDoS攻击面前，腾讯云安全的基础服务提供了DDoS防护功能，而高级服务提供了DDoS高防功能。由此可见，腾讯对该攻击的重视程度。

8月25日，腾讯云大禹系统成功帮助锤子坚果手机发布会抵御的DDoS攻击。据周斌介绍，锤子手机官网从接入大禹系统到网站恢复正常，仅仅用了约13分钟。

谈到具体技术实现，周斌解释说：“关于流量型的攻击，其实就是拼带宽。理论上讲，防护带宽越大，相应的能够提供的防护能力就越大。腾讯在全国各地部署了四百多个节点，每个节点能够提供1G的流量，合计4T的防护能力。如果部署更多的节点，那么相应的防护能力将更高。锤子官网当天遭遇的最大攻击流量约10G左右，当分摊到400多个节点，很快就被清洗掉。此架构属于平行扩展，当遭遇更高流量攻击时，再扩展节点后将会抵御更大的流量攻击。”

那么，在进行攻击流量清洗时，腾讯云是如何做的呢?

流量清洗示意图

正常情况下，从浏览器来的流量会直接进入IDC机房，这是标准情况。一般情况下，业务的流量不会达到几G。但是，当大流量汹涌而来时，就会导致整个机房的入口被堵塞，使得网站无法提供正常的服务。此时，通过DNS配置后接入腾讯大禹系统，将所有的请求，包括正常请求与攻击请求，全部导入上图所示的OC点上，做流量的清洗。然后，将清洗后的流量注回正常的IDC。假如有10G攻击，每一个OC点上分担了只是10G的几分之一，到最后进入机房的可能只有500M，此时机房就可以正常的服务。

三个中心机制实现流量清洗

为避免误杀，大禹系统通过三个中心机制实现流量清洗。如图所示，将所有请求流量进行检测，如无异样则直接进入IDC，如检测到存有恶意流量，则进入清洗中心，经清洗后回注到IDC。

总结

在此次交流会上，周斌还表示：“目前，腾讯云已与安全狗达成合作。未来，腾讯云将会联合更多的在行业有实力有担当的第三方安全服务企业，一同建设安全的云生态，为客户提供安全可靠的云安全服务，保障企业的网络安全和行业的健康发展。”

腾讯云正在依靠自身的科技实力，怀抱开放的心态，凭借十多年的技术积累，为多个领域的企业提供强有力的的云服务支撑平台。腾讯不断将安全能力化作腾讯云安全对外开放，提供给广大用户使用。这不仅是广大用户的福音，也是腾讯云对抗安全威胁的决心的一种体现。