Cisco防DOS攻击方案介绍.docVIP

Cisco Clean Pipes? DDoS攻击防御解决方案设计 V1.0 Table of Contents TOC \o 1-2 一：综述 PAGEREF _Toc127365547 \h 3 1.1 DoS和DDoS攻击概述 PAGEREF _Toc127365548 \h 4 二：解决方案简介 PAGEREF _Toc127365549 \h 6 三：目标市场 PAGEREF _Toc127365550 \h 7 解决方案的优势 PAGEREF _Toc127365551 \h 7 四：网络架构 PAGEREF _Toc127365552 \h 8 4.1 防御 PAGEREF _Toc127365553 \h 9 4.2 检测 PAGEREF _Toc127365554 \h 10 4.3 威胁消除 PAGEREF _Toc127365555 \h 11 五：解决方案组件 PAGEREF _Toc127365556 \h 13 5.1 思科流量异常检测器XT PAGEREF _Toc127365557 \h 13 5.2 Cisco Netflow PAGEREF _Toc127365558 \h 13 5.3 Arbor Peakflow SP PAGEREF _Toc127365559 \h 14 5.4 Cisco Guard XT PAGEREF _Toc127365560 \h 15 六：DDoS 防御流程 PAGEREF _Toc127365561 \h 17 七：DDoS 防御模式概述 PAGEREF _Toc127365562 \h 22 7.1 托管网络服务模式 PAGEREF _Toc127365563 \h 22 7.2 主机托管服务模式 PAGEREF _Toc127365564 \h 24 7.3 托管对等服务模式 PAGEREF _Toc127365565 \h 25 7.4 基础设施保护模式 PAGEREF _Toc127365566 \h 26  一：综述 在现代企业的日常运营中，网络正在扮演着越来越重要的角色。但是，网络也在迅速地发展成为被威胁和攻击的对象。分布式拒绝服务（DDoS）攻击是最常见的攻击之一。这些攻击的主要目标是阻止合法用户对某个特定的计算机或者网络资源的正常访问。这些攻击的方法是一些攻击者通过向目标发送大量恶意请求，导致计算机服务器和网络设备的性能降低和网络服务中断，或者网络连接的带宽达到饱和。DDoS 攻击正在以惊人的速度增加。因为这些攻击而导致的服务中断，已经使得那些利用互联网开展业务的企业损失了数十亿美元。 为了防御这种难以避免的而且日益严重的网络威胁，思科为电信运营商及其客户提供了一个全新的安全解决方案――Clean Pipes DDoS防御解决方案。它是思科的电信运营商托管安全服务的组成部分。通过部署这套全面的托管安全服务，电信运营商能够以很少的开支，帮助他们的企业客户保障网络安全。 思科Clean Pipes解决方案包含了思科交换机和路由器中内嵌的思科网络平台保护（NFP）技术。它可以加固基础设施的数据、控制、管理和服务平面，防御各种安全威胁。 思科Clean Pipes解决方案包含多个功能组件，包括检测、威胁消除，以及流量转移和注入。该解决方案可以区分合法流量与非法流量，丢弃恶意流量和传输有用流量，有效地保护网络免受DDoS攻击的影响。 思科提供了多种DDoS防御模式，包括托管网络、主机托管、基础设施和托管对等网络。本文中《DDoS防御模式概述》部分将详细介绍这些模式。 思科Clean Pipes解决方案是为了实现下列目标： 帮助企业用户有效地防御DDoS攻击，从而最大限度地提高在线服务和业务的连续性。通过检测SP网络或者客户终端中的攻击，该防御系统可以提供必要的技术，帮助用户清除攻击流量和只允许合法流量使用从SP网络到客户网络的、带宽有限的连接。SP将以托管安全服务的形式向企业客户提供这种保护。除了SP以外，托管供应商还可以利用相同的防御系统防止他们的托管客户的Web和其他电子商务应用遭受DDoS攻击。 确保SP网络中的网络资源（例如路由器、DNS、SMTP、电子邮件和WWW）具有足够的安全性，不会受到DDoS攻击的影响。 帮助SP防止价格昂贵的高速骨干网连接（例如跨海连接和经由某个传输电信运营商的PoP间连接）和低速连接因为DDoS攻击而发生带宽饱和。 帮助电信运营商确保自治系统间高速连接（例如OC-48c/STM-16c POS）、跨海连接和与下游ISP的连接可以承受大规模的DDoS攻击。近年来，一些引起广泛关注的攻击的强度曾达到每秒几千兆的规模。如果不采取任何保护机制，如此大规模的攻击