Arbor Networks解决方案Pravail安全部署Cisco网络架构

日期: 2013-03-11 来源:TechTarget中国

  Cisco已经建立以客户为中心的网络架构,Cisco的产品和技术包括了这一架构的基础设施、周边防守以及大多数其他元素,但是Cisco产品本身对于减小DDoS攻击的防御能力的效果不是特别明显。 因此Cisco选择了Arbor Networks的Pravail可用性保护系统(APS)和Pravail网络安全情报(NSI)的解决方案,用来为BYOD架构提供DDoS攻击防护。本文详细介绍了Arbor的Pravail在安全部署方面的信息。

  Pravail NSI设备采用NetFlow和SNMP识别局域网上的流量和对话。根据对流量的行为分析来识别网络误用、滥用和整体侵犯等实例。它提供了局域网上历史流量的详细取证、威胁的实时报警以及基准值,与实时流量的简单比较。通过整合到活动目录的基础结构、DHCP和RADIUS,Pravail NSI突出显示映射到IP地址上的用户名。

  通过提供身份和访问管理及统一的策略管理,Cisco ISE同时也扮演了架构中的安全角色。Cisco ISE通过请求者对802.1X有线和无线客户端进行身份验证。通过MAC认证旁路,添加无法通过请求者进行验证的设备。 配置ISE,在提供特定的基于策略的iPad和iPhone访问时,也支持访客和承包商的网络认证。

  传统的周边安全设备,如防火墙和IPS设备,是分层防御策略的基本要素,但不是用来解决DDoS攻击问题的。控制数据中心资源的访问权,以及能够感染终端系统或利用已知的漏洞的IPS设备块恶意软件等策略由防火墙来执行。DDoS攻击包括制作的多个来源到临界资源的合法流量,如链路容量、会话能力、应用服务能力性(例如, HTTP(S),DNS)或后端数据库。由于此类流量经过了授权,并且不包含已知的恶意软件的签名内容,因此,它不会被防火墙和IPS设备中止。事实上,防火墙和IPS设备往往是DDoS攻击的受害者。作为内联、状态检测设备,它们有很多DDoS攻击设法利用的漏洞。

  为有效降低数据中心的应用程序的低带宽攻击,通常“飞行”在大多数以供应商为基于云的DDoS的解决方案“雷达”下。然而,DDoS还包括饱和互联网链接到数据中心的消耗带宽的泛洪攻击。这些泛洪攻击只能在提供商网络内得到缓解。企业需要一个既有以供应商为基础的防护、又有预先防护的全面的DDoS解决方案。

Cisco ISE 网络认证配置屏幕

Pravail APS 部署拓扑

  Arbor的Pravail APS解决方案位于网络中的路由器和防火墙之间的的位置,保护防火墙、相关的IPS / IDS设备和所有内部资源不受基于应用的DDoS攻击。 Pravail APS是专门用于保护业务连续性和可用性不受到应用层不断增长的威胁。在影响关键的服务之前可自动抵消攻击的易于部署的设备方面,它提供了世界上最先进、最复杂的攻击检测和缓解技术。

  APS Pravail提供了“开箱即用”的DDoS防护,它带有一个用于最常遇到的DDoS攻击的默认保护组。这一默认的保护组重新定义了服务器类型、常见的攻击以及对这些攻击的防护。如果需要收集数据和提供网络基线,此设备可以最先用非主动模式进行安装。 Pravail APS中的关键概念之一就是可用性的理念。

  我们的目标是确保受保护的资源仍然可用,而不是确保阻挡所有不需要的流量。阻挡所有不需要的流量可能带来意想不到的后果,如资源不可用,实际上是更有效的拒绝服务攻击。

  将Pravail APS转换为主动模式,默认的保护组为通用服务器、Web服务器、邮件服务器和DNS资源对抗许多常见的攻击提供保护。可以根据实际使用的不同创建自定义的保护组,为不同的资源提供更多诊断水平的保护。对于样品架构, SSL VPN终端、无线局域网控制器和移动设备管理的保护组都已经建立,增加了默认的保护组。这些都是基础设施的关键要素,并需要自定义的保护规则。

Pravail APS保护组

  Pravail APS必须能使用Arbor的ATLAS?智能源(AIF)进行更新。 AIF能实时访问在全球基础上鉴定的最新攻击指纹。Arbor与世界各地领先的服务提供商和云运营商有着密切的特权关系。并通过其广泛的传感器和数据源网络,具备了全球互联网流量39 Tbps(峰值)的实时可视性,这使Arbor对威胁信息有着无与伦比的洞察力,即Arbor安全工程响应小组(ASERT)开发正出现的新威胁的防御。AIF是一种更新服务,自动为Pravail APS设备提供新威胁的最新防御,并更新IP位置的数据——全部都是实时的

  额外的配置选项是为了使Pravail APS装置上的云信号?功能能够使用,允许Pravail APS在服务提供商(SP)的云中与Arbor的Peakflow?产品进行动态的交互作用。由于Pravail APS是一种客户端设备(CPE),因此,其缓解能力由进入部署它的数据中心的带宽量来计量。超过这个带宽的攻击需要在云中的上游进一步得到缓解。如果有外部来源的体积攻击,云信号功能将会通知载体开始云中的攻击缓解。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐