Arbor Networks方案部署Cisco網絡
責編:admin |2014-12-04 19:47:05Cisco已經建立以客戶為中心的網絡架構,Cisco的產品和技術包括了這一架構的基礎設施、周邊防守以及大多數其他元素,但是Cisco產品本身對于減小DDoS攻擊的防御能力的效果不是特別明顯。 因此Cisco選擇了Arbor Networks的Pravail可用性保護系統(APS)和Pravail網絡安全情報(NSI)的解決方案,用來為BYOD架構提供DDoS攻擊防護。本文詳細介紹了Arbor的Pravail在安全部署方面的信息。
Pravail NSI設備采用NetFlow和SNMP識別局域網上的流量和對話。根據對流量的行為分析來識別網絡誤用、濫用和整體侵犯等實例。它提供了局域網上歷史流量的詳細取證、威脅的實時報警以及基準值,與實時流量的簡單比較。通過整合到活動目錄的基礎結構、DHCP和RADIUS,Pravail NSI突出顯示映射到IP地址上的用戶名。
通過提供身份和訪問管理及統一的策略管理,Cisco ISE同時也扮演了架構中的安全角色。Cisco ISE通過請求者對802.1X有線和無線客戶端進行身份驗證。通過MAC認證旁路,添加無法通過請求者進行驗證的設備。 配置ISE,在提供特定的基于策略的iPad和iPhone訪問時,也支持訪客和承包商的網絡認證。
傳統的周邊安全設備,如防火墻和IPS設備,是分層防御策略的基本要素,但不是用來解決DDoS攻擊問題的。控制數據中心資源的訪問權,以及能夠感染終端系統或利用已知的漏洞的IPS設備塊惡意軟件等策略由防火墻來執行。DDoS攻擊包括制作的多個來源到臨界資源的合法流量,如鏈路容量、會話能力、應用服務能力性(例如, HTTP(S),DNS)或后端數據庫。由于此類流量經過了授權,并且不包含已知的惡意軟件的簽名內容,因此,它不會被防火墻和IPS設備中止。事實上,防火墻和IPS設備往往是DDoS攻擊的受害者。作為內聯、狀態檢測設備,它們有很多DDoS攻擊設法利用的漏洞。
為有效降低數據中心的應用程序的低帶寬攻擊,通常"飛行"在大多數以供應商為基于云的DDoS的解決方案"雷達"下。然而,DDoS還包括飽和互聯網鏈接到數據中心的消耗帶寬的泛洪攻擊。這些泛洪攻擊只能在提供商網絡內得到緩解。企業需要一個既有以供應商為基礎的防護、又有預先防護的全面的DDoS解決方案。
Arbor的Pravail APS解決方案位于網絡中的路由器和防火墻之間的的位置,保護防火墻、相關的IPS / IDS設備和所有內部資源不受基于應用的DDoS攻擊。 Pravail APS是專門用于保護業務連續性和可用性不受到應用層不斷增長的威脅。在影響關鍵的服務之前可自動抵消攻擊的易于部署的設備方面,它提供了世界上最先進、最復雜的攻擊檢測和緩解技術。
APS Pravail提供了"開箱即用"的DDoS防護,它帶有一個用于最常遇到的DDoS攻擊的默認保護組。這一默認的保護組重新定義了服務器類型、常見的攻擊以及對這些攻擊的防護。如果需要收集數據和提供網絡基線,此設備可以最先用非主動模式進行安裝。 Pravail APS中的關鍵概念之一就是可用性的理念。
我們的目標是確保受保護的資源仍然可用,而不是確保阻擋所有不需要的流量。阻擋所有不需要的流量可能帶來意想不到的后果,如資源不可用,實際上是更有效的拒絕服務攻擊。
將Pravail APS轉換為主動模式,默認的保護組為通用服務器、Web服務器、郵件服務器和DNS資源對抗許多常見的攻擊提供保護。可以根據實際使用的不同創建自定義的保護組,為不同的資源提供更多診斷水平的保護。對于樣品架構, SSL VPN終端、無線局域網控制器和移動設備管理的保護組都已經建立,增加了默認的保護組。這些都是基礎設施的關鍵要素,并需要自定義的保護規則。
Pravail APS必須能使用Arbor的ATLAS?智能源(AIF)進行更新。 AIF能實時訪問在全球基礎上鑒定的最新攻擊指紋。Arbor與世界各地領先的服務提供商和云運營商有著密切的特權關系。并通過其廣泛的傳感器和數據源網絡,具備了全球互聯網流量39 Tbps(峰值)的實時可視性,這使Arbor對威脅信息有著無與倫比的洞察力,即Arbor安全工程響應小組(ASERT)開發正出現的新威脅的防御。AIF是一種更新服務,自動為Pravail APS設備提供新威脅的最新防御,并更新IP位置的數據–全部都是實時的
額外的配置選項是為了使Pravail APS裝置上的云信號?功能能夠使用,允許Pravail APS在服務提供商(SP)的云中與Arbor的Peakflow?產品進行動態的交互作用。由于Pravail APS是一種客戶端設備(CPE),因此,其緩解能力由進入部署它的數據中心的帶寬量來計量。超過這個帶寬的攻擊需要在云中的上游進一步得到緩解。如果有外部來源的體積攻擊,云信號功能將會通知載體開始云中的攻擊緩解。