阿里巴巴集團是全球領先的電子商務公司，旗下有25個事業(yè)部9個子公司，業(yè)務涉及第三方支付、網(wǎng)絡交易、云計算平臺等眾多領域。據(jù)阿里巴巴統(tǒng)計數(shù)據(jù)顯示，2012年，其電子商務與支付平臺平均每天處理2400萬筆交易，年處理交易額超過10000億元，是eBay和亞馬遜全年交易額之和。特別是2013年11月11日（“雙11”網(wǎng)絡購物節(jié)），阿里巴巴網(wǎng)上交易額超過350億元，交易超過1.88億筆，其中1/4來自移動終端，該交易額是美國“黑色星期五”線上交易的4倍多，創(chuàng)造了阿里巴巴網(wǎng)絡交易新紀錄。除了阿里巴巴集團傳統(tǒng)的淘寶、天貓、支付寶等關鍵在線業(yè)務交易系統(tǒng)外，阿里巴巴也對外提供云計算業(yè)務。截至2013年11月，阿里云計算平臺已為超過10萬個業(yè)務系統(tǒng)提供服務，覆蓋互聯(lián)網(wǎng)上常見的所有業(yè)務類型。如此巨大的業(yè)務量，對阿里巴巴平臺的性能和可靠性提出了巨大挑戰(zhàn)，平臺的穩(wěn)定性和安全性變得尤為突出。

　　責任重大，選擇條件苛刻

　　阿里巴巴每天遭受上億次的惡意入侵與網(wǎng)絡攻擊，其中DDoS攻擊往往會造成網(wǎng)絡中斷、服務器癱瘓等嚴重后果，直接影響經(jīng)濟收益和品牌影響力，是對阿里巴巴業(yè)務危害最為嚴重的攻擊之一。一次精心策劃的黑客攻擊，往往都是由DDoS攻擊開始，然后再伴隨著入侵、掛馬、數(shù)據(jù)竊取等深層次動作；而一些瘋狂的黑客，甚至會采用大流量DDoS攻擊擁塞網(wǎng)絡與系統(tǒng)資源來達到攻擊目的。因此對于阿里巴巴來說，選擇一個合適的DDoS防護方案非常重要，要求也是非常高的：

• 快速發(fā)現(xiàn)DDoS，并精準防護

　　阿里巴巴客戶以中小企業(yè)、電商、游戲運營開發(fā)者為主，全部業(yè)務是在線業(yè)務，對業(yè)務的連續(xù)性要求很高。因此，適合阿里巴巴的 DDoS防護方案必須能在眾多的訪問中快速定位DDoS攻擊，并精準防護，而且能夠根據(jù)不同的業(yè)務，提供差異化的防護策略。只有這樣，該系統(tǒng)才能為更多的客戶提供更安全的土壤，為阿里巴巴帶來更多的客戶資源。

• 高性能和彈性擴展

　　在DDoS攻擊來臨時，阿里巴巴云計算服務面臨僵尸網(wǎng)絡的海量惡意請求，服務器疲于響應，無法為正常用戶提供服務，甚至存在數(shù)據(jù)中心客戶業(yè)務中斷、云計算平臺癱瘓等風險。DDoS防護方案作為阿里云數(shù)據(jù)中心的大門守護神，必須將DDoS洪水阻擋在門外，同時更不能出現(xiàn)在DDoS防護時自身性能不足，成為阿里整個平臺的性能瓶頸，造成用戶訪問時延增大，影響正常用戶使用的情況。此外，該方案還要能夠隨著阿里云計算平臺的擴展彈性擴展，滿足未來3～5年的業(yè)務發(fā)展需求。

• 快速部署，方便運營

　　阿里云計算平臺客戶業(yè)務已經(jīng)超過10萬個，后續(xù)還會快速增長，這些客戶的業(yè)務以社區(qū)網(wǎng)站、企業(yè)官網(wǎng)、電子商務網(wǎng)站、游戲等為主，業(yè)務流量規(guī)模相差懸殊，業(yè)務運營模式差異較大，因此，靈活的業(yè)務自助方式以及簡單方便的使用維護，對DDoS的安全服務起著決定性作用。同時，能夠?qū)�DDoS安全防護無縫地適配到阿里云服務平臺，并對外提供，也是阿里巴巴對DDoS方案挑選的重要依據(jù)。

　　嚴格測試，表現(xiàn)不負所望

　　經(jīng)過苦苦尋覓和多輪篩選，最終華為的Anti-DDoS防護方案引起了阿里巴巴的濃厚興趣，并開啟了漫長的POC測試工作。阿里巴巴的DDoS安全防護團隊將在現(xiàn)網(wǎng)上收集到的所有攻擊報文，在POC測試中，進行了一一回放，華為Anti-DDoS方案均能成功防護。隨著測試的深入，基于租戶的防護策略、流量模型學習、詳細的報表功能，使得華為Anti-DDoS方案使用非常方便，阿里巴巴的安全專家完全不用華為工程師的幫忙就可以完成測試。

　　在測試過程中，阿里巴巴安全專家結(jié)合自身業(yè)務特點，模擬現(xiàn)網(wǎng)業(yè)務流量模型，在幾十G正常流量背景下，測試50Mbps的小流量攻擊，華為Anti-DDoS均能夠?qū)崿F(xiàn)2秒精準識別；同時針對特定HTTP業(yè)務，采用應用型慢速、慢鏈接的DDoS攻擊，華為Anti-DDoS方案能夠快速地自動學習攻擊特征，進行精準防護；當前通過移動智能終端訪問業(yè)務的流量越來越大，阿里在測試過程中，特意加強了對智能終端影響的測試用例，華為方案均能一一成功處理攻擊，并不影響終端用戶訪問。

　　在功能測試完成之后，阿里巴巴安全專家還進行了性能壓力測試，華為Anti-DDoS在配置2塊業(yè)務板卡的情況下成功防御了20Gbps的64字節(jié)的SYN Flood攻擊，應用層攻擊防護性能更達到40Gbps，是業(yè)界同類廠商防護水平的2倍以上，而且隨著業(yè)務板卡的增加，這一性能可線性提升到200Gbps，令阿里巴巴參與測試的安全專家非常滿意。

　　“真金不怕火煉”。測試中恰逢阿里巴巴現(xiàn)網(wǎng)業(yè)務遭受一輪DDoS攻擊，阿里巴巴緊急將華為Anti-DDoS方案部署線上，對現(xiàn)網(wǎng)被攻擊服務器進行防護，華為Anti-DDoS在2秒內(nèi)實現(xiàn)攻擊流量全部清洗，并且對正常用戶訪問沒有絲毫影響，效果非常理想。阿里巴巴的安全專家都為此感到振奮，Anti-DDoS解決方案選型也至此畫上了圓滿的句號。自此以后，華為Anti-DDoS方案在阿里巴巴網(wǎng)絡上安全運行。

　　歷經(jīng)考驗，華為Anti-DDoS值得信賴

　　阿里巴巴現(xiàn)網(wǎng)多個數(shù)據(jù)中心出口都部署了華為的Anti-DDoS解決方案，平均每天防護的DDoS攻擊次數(shù)超過100次，每年達數(shù)萬次，峰值防護的DDoS攻擊流量超過100Gbps。如今，DDoS攻擊在阿里巴巴安全工程師眼里已經(jīng)習以為常，由華為Anti-DDoS方案自動調(diào)度進行清洗防護即可。

　　哪怕是在2013年11月11日“雙11”網(wǎng)絡購物節(jié)當天，阿里巴巴安全團隊成員仍然能夠鎮(zhèn)靜、從容。第二天報告顯示阿里巴巴當天經(jīng)歷了多輪DDoS攻擊事件，峰值攻擊流量超過19Gbps，最小攻擊流量500Mbps，華為Anti-DDoS方案一如既往地成功防護了多輪DDoS攻擊事件，有力保障了阿里巴巴網(wǎng)絡交易的順暢平穩(wěn)，事實證明，華為Anti-DDoS是值得用戶信賴的DDoS防護方案。