多千兆性能
每个Cisco Anomaly Guard 模块均配备专用网络处理器,它以全千兆线速支持攻击分析和清除,更可防御大规模 DDoS 攻击,包括那些由受影响僵尸主机等分布广泛的攻击者所发起的攻击 。
多个Cisco Anomaly Guard 模块可安装在同一个机箱之中,可逐步扩展分组每秒速率和僵尸防御功能—这些都足以保护最大型的企业和电信运营商环境免遭最严重攻击的威胁 。这些模块还可采用群集配置,这样,无需专用负载均衡器就能保护一个资源或区域 。
动态转移
Cisco Anomaly Guard 模块采用了一种功能强大的按需清洗模式 。它不是象传统内嵌设备那样插入到正常数据路径之中;相反,它采用动态转移来自动改变地址指向受攻击的具体资源或区域的流量—且只改变该流量—的方向,进行进一步清洗 。当怀疑存在攻击时,Anomaly Guard 模块会使用思科 RHI 协议在交换治理引擎路由表中插入路由更新,使 Anomaly Guard 模块成为目的地指向目标资源的任何流量的下一跳 。
一旦目的地指向目标设备或区域的流量被清除且恶意分组被阻挡,合法流量就会被转发到各自的最初目的地,这可帮助确保任何要害请求都不会丢失 。通过将被转移流量只限制到那些地址指向当前受攻击的资源或区域的流量,Cisco Anomaly Guard 模块就能实现资源利用率、透明性和可靠性最优的可扩展解决方案,从而满足最大型企业和电信运营商环境的需求 。这种第三层插入配置还可实现更简单和低影响的安装,并可简化运行维护和故障排除 。
多级监控和报告
Cisco Anomaly Guard 模块采用基于Web的直观 GUI,因此可简化政策定义、运行监控和报告生成等过程 。
多个监控和报告级别可为网络运营商、安全治理员和客户提供具体的实时和历史信息(图 5) 。攻击报告提供了每次攻击的具体信息,包括特点、被识别僵尸列表和所采取的具体行动等,因此可使安全专家审查和调整Cisco Anomaly Guard 模块安全政策 。
同时,客户级历史汇总可使电信运营商轻松报告针对攻击的种类、持续时间和规模的成功保护 。此外,互动模式可使用户在激活之前就审查和批准所推荐的行动和政策,必要时还可提供针对攻击响应的手动控制 。
图 5. 多级监控与报告功能可提供实时和历史性能的具体视图
集成的优点
部署灵活性
安装在 Cisco Catalyst 6500 系列交换机或 Cisco 7600 系列路由器中的Cisco Anomaly Guard 模块将全面的DDoS 保护集成到了网络基础设施之中 。这些模块可轻松安装在原有交换机或路由器之中,实现功能强大的 DDoS 保护服务在需要的地方和时间的部署,而不占用任何接口端口 。还可部署高密度专用清洗设备或多服务安全交换机,可采用任何范围的机箱尺寸以及高可用性、直流电源和网络设备建造标准 (NEBS) 选项 。异种机互操作性线卡可帮助确保媒体灵活性 。利用交换治理引擎的一整套 Cisco IOS 软件路由和隧道协议支持,转移过程既可完全在机箱内进行,也可在多个设备之间进行 。
可扩展性
当需要高容量保护时,可在一台交换机中安装八个模块,来支持快速扩展的大型环境 。此外,Anomaly Guard 模块的多处理器架构和多个千兆背板接口将来还可支持许可证软件升级到每模块多千兆性能 。
可靠性和高可用性
Cisco Anomaly Guard 模块通过配备强大的故障恢复保护功能的基于路由选择的动态转移,提供了功能强大的按需清洗架构 。这一功能提供了优于传统内嵌解决方案的、主动抵御所需要的安装简便性、运行可靠性和透明性 。此外,Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器可为 DDoS 硬化和高可用性选项提供控制平面监管 。
推荐阅读
- Cisco IOS畸形BGP包远程拒绝服务漏洞
- 企业宽带路由器市场全面分析
- 路由器常用接口
- 1 专用Cisco路由器的替代品Zebra
- 1 思科路由器系列软件安装与升级步骤
- 路由器以太网口配置命令
- [华为]路由器PPP、SLIP和MP配置命令
- 路由器CE1/PRI接口配置命令
- [华为]路由器配置文件管理命令
- [华为]路由器串口配置命令