Cisco路由器交换机Anomaly Guard模块( 二 )



配置与部署选项
Cisco Anomaly Guard 模块提供了两种截然不同的部署选项—集成模式和专用模式 。
在集成模式中,在部署在数据中心并驻留在正常第三层数据路径之上的原有 Cisco Catalyst 6500 系列或 Cisco 7600 系列机箱内,需安装一个或多个Cisco Anomaly Guard 模块 。当检测到攻击时,可疑流量会通过 Cisco Catalyst 底板被动态转移给 Anomaly Guard 模块来进行分析和清除,然后才会被转发给正常的下一个下游设备 。
在专用模式中,Anomaly Guard 模块被安装在专用 Cisco Catalyst 6500 系列交换机或 7600 系列路由器—如安装在“清除中心”内—之中,其中,多个Cisco Anomaly Guard 模块可采用群集配置,以实现高容量保护 。当在专用模式中检测到攻击时,被影响流量会采用所支持的任何 Cisco IOS?软件路由协议,从上游交换机或路由器转移到专用 Cisco Catalyst 交换机 。在专用机箱内,对于被交换治理引擎的路由过程所转发的转移后的流量而言,Cisco Anomaly Guard 模块就是下一跳,在这里,该流量被清洗,恶意流量被删除 。Anomaly Guard 模块将合法流量送回到网络,该流量在此继续流向其最初目的地 。
Cisco Traffic Anomaly Detector 模块也可安装在集成或专用模式中,从而施加一步或两步分组-捕捉过程(而非路由),来接收流量副本进行监控 。
无论是在集成模式还是在专用模式中,当检测到攻击时,Anomaly Guard 模块一般就会启用,并在激活后启动转移过程 。Anomaly Guard 模块实现这一目的的方式是,采用 Cisco Catalyst 机箱内的思科 Route Health Injection (RHI) 协议,在交换治理引擎中动态插入一个路由更新,使 Anomaly Guard 模块成为下一跳 。在专用模式中,交换治理引擎中的路由过程一般配置成能将路由更新重新分发给上游设备 。其他转移选项包括:操作员输入的路由更新或永久性静态路径 。
应用
思科 DDoS 异常检测和抵御解决方案可通过多种不同拓扑结构来部署,可同时为企业和电信运营商环境提供服务(图 2–4) 。
图 2. 企业或主机托管数据中心中的思科 DDoS 异常检测与抵御
图 3. 电信运营商环境中的思科 DDoS 分布式/边缘保护
图 4. 集中式运营商清洗中心的思科 DDoS 异常检测和抵御
特性与优点
【Cisco路由器交换机Anomaly Guard模块】多级验证
Anomaly Guard 模块的创新阻挡技术以思科独特的 MVP 架构为基础,提供了多个互动防御层次,可以无与伦比的准确性识别和阻挡所有类型的攻击 。由基于成熟简况的异常识别引擎驱动的集成化动态过滤和主动验证技术,可实现针对所有类型攻击—乃至零日攻击—的快速自动保护 。Anomaly Guard 模块可进行具体的每数据流分析和阻挡,能够以外科手术般的精确度阻断攻击流量,同时答应合法流量自由流动 。

异常识别引擎采用包括完整的每数据流简况的正常行为基线,可定义与每种被保护资源具体相关的正常或预期行为 。必要时,用户还可利用针对具体站点的自动学习来增强高度准确的缺省简况,从而为每个设备或区域定制简况 。
另一个速率限制特性则提供了可阻挡和防御山洪暴发式攻击的可选抵御方案 。其中还配备了静态过滤器,以 Berkeley Packet Filter 为基础并答应创建深度分组检查过滤器的综合性 Flex 过滤器,和迂回“白名单”过滤器 。
Cisco Anomaly Guard 模块还具有“僵尸杀手”功能,它可防御所有类型和规模的攻击,包括那些由称为僵尸—这是当今最普遍和最难阻挡的 DDoS 攻击之一—的受影响计算机所发起的攻击 。当部署在群集配置之中时,Anomaly Guard 模块能识别和阻挡几乎成千上万的僵尸,为防御最大规模的 botnet 攻击提供了前所未有的高水平保护 。

推荐阅读