91c__CiscoDDos解决方案.doc

产品简介 思科异常防护模块 Cisco? Catalyst? 6500/Cisco 7600路由器异常防护模块是为Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器设计的集成服务模块，借助这个模块提供的功能强大且便于扩展的解决方案，能够有效防止网络资源遭受大规模分布式拒绝服务（DDoS）攻击。思科异常防护模块能够抵御当今越来越复杂、越来越先进的攻击，因而能够满足规模最大、要求最严的企业和电信运营商环境对性能和扩展能力的要求。 单一思科异常防护模块提供的平台能够以Gbps线速处理攻击流量。异常防护模块采用独特的“按需”部署模式，只转移和清理发往目标设备和区域的流量，而不影响其它流量。在模块内，多个集成防御层使异常防护模块不但能发现和阻止恶意攻击流量，还能使合法事务处理流量继续流向其原目的地。即使遭受到了攻击，业务连续性也不会受影响。 如果让多个思科异常防护模块在一个机箱中相互协作，其防御能力将数倍于单个模块，并能够通过扩展适应不断增长的企业和电信运营商环境。异常防护模块的多处理器架构能够支持未来软件许可升级，从而加强抵御大规模攻击的能力。 不断发展的DDoS攻击 与以前相比，当今的DDoS攻击更恶劣、针对性更强、破坏力更大。这些攻击通常由满怀怨气的用户、毫无道德的企业或者蓄意破坏某个站点或某家竞争对手的勒索者发动，能够穿越最常见的防线。一般情况下，DDoS攻击看似合法请求，而且由大量僵尸源发动，还包括伪装身份，因而很难发现和阻止这些恶意流量。DDoS攻击能够使目标瘫痪，令其无法继续执行正常业务，由此造成的损失每年高达数十亿美元，其中包括事务处理失败、丢失客户、声誉受损、需承担法律责任等。 思科异常防护模块能够抵御各类DDoS攻击，使企业既能发现和阻挡恶意流量，又能保证关键创收业务的正常运营。思科异常防护模块采用了已获专利的独特的多认证流程（MVP）架构，借助先进的异常流量识别功能和高性能过滤功能，能够动态应用集成式源节点认证和防伪装技术，发现和阻挡单股攻击流，并允许合法事务处理流量继续通行（见图1）。思科异常防护模块能够与直观的图形界面以及大量多级监控和报告工具一起，提供攻击行为的全面概述信息，有力抵御DDoS攻击，保护业务运营的安全。 图1 思科异常防护模块的MVP架构 为阻挡新发现的攻击流量，统计分析和第七层分析模块会实时更新动态过滤、主动认证和速率限制模块。 动态和静态过滤器 主动认证 统计分析 第七层分析 速率限制 工作原理 思科异常防护模块只是思科系统公司提供的完整检测和防御解决方案中的一部分，能够保护大型企业、政府机构、托管数据中心和电信运营商免受DDoS攻击。思科异常防护模块提供便于扩展的强大解决方案，使托管数据中心和电信运营商能够为其用户提供重要的可管理DDoS保护服务。如果与思科流量异常检测器模块（或者能够检测DDoS攻击的其它第三方报警系统）配合使用，异常防护模块能够提供详细的流量级攻击分析、识别和防御服务，有效防止网络和数据中心运营遭受不良影响。 当流量异常检测器发现一个潜在攻击后，将向异常防护模块发出警报，通知其开始动态转移，重导向发往攻击目标资源的流量，以进行检测和清理，所有其它流量则继续直接发往目的地。这种解决方案不仅影响小，可靠性高，而且经济有效、易于安装。 转移流量通过异常防护模块重新路由，以便详细检查可疑流量，并将“坏”流量与合法事务处理区分开。攻击分组将被识别和删除，“好”流量则继续发往原始目的地。由于能够保证合法用户和合法事务处理流量的顺利通行，因而提高了可用性。 配置和部署选项 思科异常防护模块提供两种部署选项：集成模式和专用模式。 如果采用集成模式，将在数据中心内的现有Cisco Catalyst 6500系列或Cisco 7600系列机箱中安装一个或多个异常防护模块，通常驻留在第三层数据路径中。发现攻击后，将通过Cisco Catalyst背板将可疑流量转移到异常防护模块，进行分析和清理之后，再发往下一台下游设备。 如果采用专用模式，异常防护模块将安装在专用Cisco Catalyst 6500系列交换机或Cisco 7600系列路由器中，例如安装在将多个思科异常防护模块组成集群，以增强保护能力的“清理中心”。发现攻击后，受影响的流量将利用支持的任何Cisco IOS? 软件路由协议，从上游交换机或路由器转移到专用Cisco Catalyst交换机。在专用机箱内，转移流量将被交换管理引擎的路由过程发往思科异常防护模块，在那里接受清理，并删除恶意流量。然后，异常防护模块将把合法流量返回网络，继续发往其原始目的地。 思科异常防护模块可以使用集成模式，也可以使用专用模式，分别通过一步或两步分组捕获过程接收用于监控