Cisco已經(jīng)建立以客戶為中心的網(wǎng)絡(luò)架構(gòu),Cisco的產(chǎn)品和技術(shù)包括了這一架構(gòu)的基礎(chǔ)設(shè)施、周邊防守以及大多數(shù)其他元素,但是Cisco產(chǎn)品本身對(duì)于減小DDoS攻擊的防御能力的效果不是特別明顯。 因此Cisco選擇了Arbor Networks的Pravail可用性保護(hù)系統(tǒng)(APS)和Pravail網(wǎng)絡(luò)安全情報(bào)(NSI)的解決方案,用來為BYOD架構(gòu)提供DDoS攻擊防護(hù)。本文詳細(xì)介紹了Arbor的Pravail在安全部署方面的信息。
Pravail NSI設(shè)備采用NetFlow和SNMP識(shí)別局域網(wǎng)上的流量和對(duì)話。根據(jù)對(duì)流量的行為分析來識(shí)別網(wǎng)絡(luò)誤用、濫用和整體侵犯等實(shí)例。它提供了局域網(wǎng)上歷史流 量的詳細(xì)取證、威脅的實(shí)時(shí)報(bào)警以及基準(zhǔn)值,與實(shí)時(shí)流量的簡(jiǎn)單比較。通過整合到活動(dòng)目錄的基礎(chǔ)結(jié)構(gòu)、DHCP和RADIUS,Pravail NSI突出顯示映射到IP地址上的用戶名。
通過提供身份和訪問管理及統(tǒng)一的策略管理,Cisco ISE同時(shí)也扮演了架構(gòu)中的安全角色。Cisco ISE通過請(qǐng)求者對(duì)802.1X有線和無線客戶端進(jìn)行身份驗(yàn)證。通過MAC認(rèn)證旁路,添加無法通過請(qǐng)求者進(jìn)行驗(yàn)證的設(shè)備。配置ISE,在提供特定的基于策略的iPad和iPhone訪問時(shí),也支持訪客和承包商的網(wǎng)絡(luò)認(rèn)證。
傳統(tǒng)的周邊安全設(shè)備,如防火墻和IPS設(shè)備,是分層防御策略的基本要素,但不是用來解決DDoS攻擊問題的??刂茢?shù)據(jù)中心資源的訪問權(quán),以及能夠感 染終端系統(tǒng)或利用已知的漏洞的IPS設(shè)備塊惡意軟件等策略由防火墻來執(zhí)行。DDoS攻擊包括制作的多個(gè)來源到臨界資源的合法流量,如鏈路容量、會(huì)話能力、 應(yīng)用服務(wù)能力性(例如, HTTP(S),DNS)或后端數(shù)據(jù)庫。由于此類流量經(jīng)過了授權(quán),并且不包含已知的惡意軟件的簽名內(nèi)容,因此,它不會(huì)被防火墻和IPS設(shè)備中止。事實(shí)上, 防火墻和IPS設(shè)備往往是DDoS攻擊的受害者。作為內(nèi)聯(lián)、狀態(tài)檢測(cè)設(shè)備,它們有很多DDoS攻擊設(shè)法利用的漏洞。
為有效降低數(shù)據(jù)中心的應(yīng)用程序的低帶寬攻擊,通常“飛行”在大多數(shù)以供應(yīng)商為基于云的DDoS的解決方案“雷達(dá)”下。然而,DDoS還包括飽和互聯(lián) 網(wǎng)鏈接到數(shù)據(jù)中心的消耗帶寬的泛洪攻擊。這些泛洪攻擊只能在提供商網(wǎng)絡(luò)內(nèi)得到緩解。企業(yè)需要一個(gè)既有以供應(yīng)商為基礎(chǔ)的防護(hù)、又有預(yù)先防護(hù)的全面的DDoS 解決方案。
Arbor的Pravail APS解決方案位于網(wǎng)絡(luò)中的路由器和防火墻之間的的位置,保護(hù)防火墻、相關(guān)的IPS / IDS設(shè)備和所有內(nèi)部資源不受基于應(yīng)用的DDoS攻擊。 Pravail APS是專門用于保護(hù)業(yè)務(wù)連續(xù)性和可用性不受到應(yīng)用層不斷增長(zhǎng)的威脅。在影響關(guān)鍵的服務(wù)之前可自動(dòng)抵消攻擊的易于部署的設(shè)備方面,它提供了世界上最先進(jìn)、最復(fù)雜的攻擊檢測(cè)和緩解技術(shù)。
APS Pravail提供了“開箱即用”的DDoS防護(hù),它帶有一個(gè)用于最常遇到的DDoS攻擊的默認(rèn)保護(hù)組。這一默認(rèn)的保護(hù)組重新定義了服務(wù)器類型、常見的攻擊以及對(duì)這些攻擊的防護(hù)。如果需要收集數(shù)據(jù)和提供網(wǎng)絡(luò)基線,此設(shè)備可以最先用非主動(dòng)模式進(jìn)行安裝。 Pravail APS中的關(guān)鍵概念之一就是可用性的理念。
我們的目標(biāo)是確保受保護(hù)的資源仍然可用,而不是確保阻擋所有不需要的流量。阻擋所有不需要的流量可能帶來意想不到的后果,如資源不可用,實(shí)際上是更有效的拒絕服務(wù)攻擊。
將Pravail APS轉(zhuǎn)換為主動(dòng)模式,默認(rèn)的保護(hù)組為通用服務(wù)器、Web服務(wù)器、郵件服務(wù)器和DNS資源對(duì)抗許多常見的攻擊提供保護(hù)??梢愿鶕?jù)實(shí)際使用的不同創(chuàng)建自定義的保護(hù)組,為不同的資源提供更多診斷水平的保護(hù)。對(duì)于樣品架構(gòu), SSL VPN終端、無線局域網(wǎng)控制器和移動(dòng)設(shè)備管理的保護(hù)組都已經(jīng)建立,增加了默認(rèn)的保護(hù)組。這些都是基礎(chǔ)設(shè)施的關(guān)鍵要素,并需要自定義的保護(hù)規(guī)則。
Pravail APS保護(hù)組
Pravail APS必須能使用Arbor的ATLAS 智能源(AIF)進(jìn)行更新。 AIF能實(shí)時(shí)訪問在全球基礎(chǔ)上鑒定的最新攻擊指紋。Arbor與世界各地領(lǐng)先的服務(wù)提供商和云運(yùn)營商有著密切的特權(quán)關(guān)系。并通過其廣泛的傳感器和數(shù)據(jù)源網(wǎng)絡(luò),具備了全球互聯(lián)網(wǎng)流量39 Tbps(峰值)的實(shí)時(shí)可視性,這使Arbor對(duì)威脅信息有著無與倫比的洞察力,即Arbor安全工程響應(yīng)小組(ASERT)開發(fā)正出現(xiàn)的新威脅的防御。AIF是一種更新服務(wù),自動(dòng)為Pravail APS設(shè)備提供新威脅的最新防御,并更新IP位置的數(shù)據(jù)——全部都是實(shí)時(shí)的
額外的配置選項(xiàng)是為了使Pravail APS裝置上的云信號(hào) 功能能夠使用,允許Pravail APS在服務(wù)提供商(SP)的云中與Arbor的Peakflow 產(chǎn)品進(jìn)行動(dòng)態(tài)的交互作用。由于Pravail APS是一種客戶端設(shè)備(CPE),因此,其緩解能力由進(jìn)入部署它的數(shù)據(jù)中心的帶寬量來計(jì)量。超過這個(gè)帶寬的攻擊需要在云中的上游進(jìn)一步得到緩解。如果有外部來源的體積攻擊,云信號(hào)功能將會(huì)通知載體開始云中的攻擊緩解。
關(guān)于Arbor Networks
Arbor Networks是企業(yè)和服務(wù)供應(yīng)商網(wǎng)絡(luò)安全和管理解決方案領(lǐng)先供應(yīng)商。Arbor的成熟的解決方案有助于發(fā)展和保護(hù)客戶網(wǎng)絡(luò)、業(yè)務(wù)和品牌。通過其與世界 各地的服務(wù)供應(yīng)商和全球的網(wǎng)絡(luò)運(yùn)營商建立的無比的特許關(guān)系,經(jīng)由ATLAS 主動(dòng)威脅級(jí)分析系統(tǒng),Arbor可對(duì)互聯(lián)網(wǎng)安全和交易趨勢(shì)提供無與倫比的洞察 力和觀點(diǎn)。通過與全球120多家網(wǎng)絡(luò)運(yùn)營商的獨(dú)特合作協(xié)議,ATLAS能夠共享實(shí)時(shí)安全信息、交易信息和路由信息,發(fā)出眾多的業(yè)務(wù)決策通報(bào)。
關(guān)于最新的安全威脅和互聯(lián)網(wǎng)交易趨勢(shì)的技術(shù)觀點(diǎn),請(qǐng)?jiān)L問我們的網(wǎng)站:http://arbornetworks.com和博客http://ddos.arbornetworks.com/
商標(biāo)通知:
Arbor Networks、Peakflow、ArbOS、How Networks Grow、ATLAS、Pravail、Arbor Optima、Cloud Signaling、Arbor Networks標(biāo)識(shí)和Arbor Networks:Smart. Available. Secure.全部是Arbor Networks公司的商標(biāo)。所有其它商標(biāo)可能是其相應(yīng)所有者的商標(biāo)。