Cisco?Catalyst?6500/Cisco 7600 路由器 Anomaly Guard 模块是一种用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的集成服务模块,它提供了功能强大且范围广泛的解决方案,可保护在线资源免遭海量分布式拒绝服务 (DDoS) 攻击的威胁 。Cisco Anomaly Guard 模块能满足规模最大和要求最高的企业和电信运营商环境的性能及可扩展性需求,可实现前所未有的高水平保护,从而击溃当今日趋复杂的攻击 。一台Cisco Anomaly Guard 模块所提供的平台可以 Gbps 线速处理攻击流量 。这种Anomaly Guard 模块采用了独特的“按需”部署模式,只会对地址指向目标设备或区域的流量进行转移和清除,而不会影响其他流量 。在该模块之中,集成的多层防御机制可使 Anomaly Guard 模块识别和阻挡恶意攻击流量,而答应合法流量继续流向各自最初的目的地 。甚至在毁灭性攻击的过程中,业务运作仍能继续而不会停顿 。
在一个机箱中一起工作的多个Cisco Anomaly Guard 模块可逐步扩展规模而支持比单一模块快很多倍的速率,并可提供可轻松适应不断扩展的大型企业和电信运营商环境的可扩展解决方案 。这种 Anomaly Guard 模块的多处理器架构支持未来的许可证软件升级,可增强和改进防御大规模攻击的性能 。
发展中的 DDOS 攻击
今天的 DDoS 攻击比以往更加具有恶意性、破坏性和针对性 。由恶意用户、敌意企业和敲诈勒索者针对特定站点或竞争对手而发起的这些攻击,能轻松绕过并突破最普通的防御机制 。DDoS 攻击是由看起来合法的请求、极大量的僵尸来源和假冒身份(这就使我们几乎不可能识别和阻挡这些恶意流量)等构成的,这些攻击可导致受害者瘫痪并使其不能开展业务,从而导致每年成本损失高达上十亿美元—包括交易和客户的损失、声誉的损害和法律责任等 。
Cisco Anomaly Guard 模块可提供针对所有类型 DDoS 攻击的防御,使企业能识别和阻挡恶意流量,而不会影响其要害任务和创造营业收入的运作 。以获得专利的独特多验证过程 (MVP) 架构为基础的Cisco Anomaly Guard 模块,采用了高级异常识别功能,可结合高性能过滤功能来动态应用集成化来源验证和防欺骗技术识别和阻挡每个攻击流量,同时又答应合法流量通过(图 1) 。结合直观图形界面,以及设计成能提供所有攻击活动的全面概况的广泛的多层监控和报告机制,Cisco Anomaly Guard 模块提供了保护业务运作的最全面的 DDoS 防御 。
图 1. Cisco Anomaly Guard 模块 MVP 架构
工作原理
Cisco Anomaly Guard 模块仅仅是思科系统公司所提供的,保护大型企业、政府机构、主机托管中心和电信运营商免遭 DDoS 攻击的一整套检测和抵御解决方案的一部分 。Cisco Anomaly Guard 模块提供了一种功能强大的可扩展解决方案,可使主机托管和电信运营商为其用户提供宝贵的代管 DDoS 保护服务 。与思科 Traffic Anomaly Detector 模块(或能检测 DDoS 攻击的其他第三方报警系统)配合使用时,Anomaly Guard 模块可提供具体的每数据流攻击分析、识别和抵御服务,从而避免攻击导致网络和数据中心运行的中断 。
当 Traffic Anomaly Detector 模块识别出一个潜在攻击时,它就会提醒 Anomaly Guard 模块开始进行动态转移,这就会使目的地指向目标资源的流量—且只会使该流量—改变方向,并进行检查和清除 。所有其他流量会继续直接流向各自原来的目的地,这就提供了易于安装的低影响、高可靠和低成本解决方案 。
转移后的流量会通过 Anomaly Guard 模块重新路由,在此过程中,它还会经过多层具体检查,从合法流量中识别和分离“坏的”流量 。具体攻击分组被识别和清除,而“好的”流量则被转发到其原来的目的地,这就帮助客户保证了真的用户和真的流量永远都能通过,并可实现最高的可靠性 。
推荐阅读
- Cisco IOS畸形BGP包远程拒绝服务漏洞
- 企业宽带路由器市场全面分析
- 路由器常用接口
- 1 专用Cisco路由器的替代品Zebra
- 1 思科路由器系列软件安装与升级步骤
- 路由器以太网口配置命令
- [华为]路由器PPP、SLIP和MP配置命令
- 路由器CE1/PRI接口配置命令
- [华为]路由器配置文件管理命令
- [华为]路由器串口配置命令