一臺(tái)Cisco Anomaly Guard 模塊所提供的平臺(tái)可以 Gbps 線速處理攻擊流量。這種Anomaly Guard 模塊采用了獨(dú)特的“按需”部署模式，只會(huì)對(duì)地址指向目標(biāo)設(shè)備或區(qū)域的流量進(jìn)行轉(zhuǎn)移和清除，而不會(huì)影響其他流量。在該模塊之中，集成的多層防御機(jī)制可使 Anomaly Guard 模塊識(shí)別和阻擋惡意攻擊流量，而答應(yīng)合法流量繼續(xù)流向各自最初的目的地。甚至在毀滅性攻擊的過(guò)程中，業(yè)務(wù)運(yùn)作仍能繼續(xù)而不會(huì)停頓。

在一個(gè)機(jī)箱中一起工作的多個(gè)Cisco Anomaly Guard 模塊可逐步擴(kuò)展規(guī)模而支持比單一模塊快很多倍的速率，并可提供可輕松適應(yīng)不斷擴(kuò)展的大型企業(yè)和電信運(yùn)營(yíng)商環(huán)境的可擴(kuò)展解決方案。這種 Anomaly Guard 模塊的多處理器架構(gòu)支持未來(lái)的許可證軟件升級(jí)，可增強(qiáng)和改進(jìn)防御大規(guī)模攻擊的性能。

發(fā)展中的 DDOS 攻擊

今天的 DDoS 攻擊比以往更加具有惡意性、破壞性和針對(duì)性。由惡意用戶、敵意企業(yè)和敲詐勒索者針對(duì)特定站點(diǎn)或競(jìng)爭(zhēng)對(duì)手而發(fā)起的這些攻擊，能輕松繞過(guò)并突破最普通的防御機(jī)制。DDoS 攻擊是由看起來(lái)合法的請(qǐng)求、極大量的僵尸來(lái)源和假冒身份（這就使我們幾乎不可能識(shí)別和阻擋這些惡意流量）等構(gòu)成的，這些攻擊可導(dǎo)致受害者癱瘓并使其不能開(kāi)展業(yè)務(wù)，從而導(dǎo)致每年成本損失高達(dá)上十億美元—包括交易和客戶的損失、聲譽(yù)的損害和法律責(zé)任等。

Cisco Anomaly Guard 模塊可提供針對(duì)所有類(lèi)型 DDoS 攻擊的防御，使企業(yè)能識(shí)別和阻擋惡意流量，而不會(huì)影響其要害任務(wù)和創(chuàng)造營(yíng)業(yè)收入的運(yùn)作。以獲得專(zhuān)利的獨(dú)特多驗(yàn)證過(guò)程 (MVP) 架構(gòu)為基礎(chǔ)的Cisco Anomaly Guard 模塊，采用了高級(jí)異常識(shí)別功能，可結(jié)合高性能過(guò)濾功能來(lái)動(dòng)態(tài)應(yīng)用集成化來(lái)源驗(yàn)證和防欺騙技術(shù)識(shí)別和阻擋每個(gè)攻擊流量，同時(shí)又答應(yīng)合法流量通過(guò)（圖 1）。結(jié)合直觀圖形界面，以及設(shè)計(jì)成能提供所有攻擊活動(dòng)的全面概況的廣泛的多層監(jiān)控和報(bào)告機(jī)制，Cisco Anomaly Guard 模塊提供了保護(hù)業(yè)務(wù)運(yùn)作的最全面的 DDoS 防御。

圖 1. Cisco Anomaly Guard 模塊 MVP 架構(gòu)

工作原理

Cisco Anomaly Guard 模塊僅僅是思科系統(tǒng)公司所提供的，保護(hù)大型企業(yè)、政府機(jī)構(gòu)、主機(jī)托管中心和電信運(yùn)營(yíng)商免遭 DDoS 攻擊的一整套檢測(cè)和抵御解決方案的一部分。Cisco Anomaly Guard 模塊提供了一種功能強(qiáng)大的可擴(kuò)展解決方案，可使主機(jī)托管和電信運(yùn)營(yíng)商為其用戶提供寶貴的代管 DDoS 保護(hù)服務(wù)。與思科 Traffic Anomaly Detector 模塊（或能檢測(cè) DDoS 攻擊的其他第三方報(bào)警系統(tǒng)）配合使用時(shí)，Anomaly Guard 模塊可提供具體的每數(shù)據(jù)流攻擊分析、識(shí)別和抵御服務(wù)，從而避免攻擊導(dǎo)致網(wǎng)絡(luò)和數(shù)據(jù)中心運(yùn)行的中斷。

當(dāng) Traffic Anomaly Detector 模塊識(shí)別出一個(gè)潛在攻擊時(shí)，它就會(huì)提醒 Anomaly Guard 模塊開(kāi)始進(jìn)行動(dòng)態(tài)轉(zhuǎn)移，這就會(huì)使目的地指向目標(biāo)資源的流量—且只會(huì)使該流量—改變方向，并進(jìn)行檢查和清除。所有其他流量會(huì)繼續(xù)直接流向各自原來(lái)的目的地，這就提供了易于安裝的低影響、高可靠和低成本解決方案。

轉(zhuǎn)移后的流量會(huì)通過(guò) Anomaly Guard 模塊重新路由，在此過(guò)程中，它還會(huì)經(jīng)過(guò)多層具體檢查，從合法流量中識(shí)別和分離“壞的”流量。具體攻擊分組被識(shí)別和清除，而“好的”流量則被轉(zhuǎn)發(fā)到其原來(lái)的目的地，這就幫助客戶保證了真的用戶和真的流量永遠(yuǎn)都能通過(guò)，并可實(shí)現(xiàn)最高的可靠性。

配置與部署選項(xiàng)

Cisco Anomaly Guard 模塊提供了兩種截然不同的部署選項(xiàng)—集成模式和專(zhuān)用模式。

在集成模式中，在部署在數(shù)據(jù)中心并駐留在正常第三層數(shù)據(jù)路徑之上的原有 Cisco Catalyst 6500 系列或 Cisco 7600 系列機(jī)箱內(nèi)，需安裝一個(gè)或多個(gè)Cisco Anomaly Guard 模塊。當(dāng)檢測(cè)到攻擊時(shí)，可疑流量會(huì)通過(guò) Cisco Catalyst 底板被動(dòng)態(tài)轉(zhuǎn)移給 Anomaly Guard 模塊來(lái)進(jìn)行分析和清除，然后才會(huì)被轉(zhuǎn)發(fā)給正常的下一個(gè)下游設(shè)備。

在專(zhuān)用模式中，Anomaly Guard 模塊被安裝在專(zhuān)用 Cisco Catalyst 6500 系列交換機(jī)或 7600 系列路由器—如安裝在“清除中心”內(nèi)—之中，其中，多個(gè)Cisco Anomaly Guard 模塊可采用群集配置，以實(shí)現(xiàn)高容量保護(hù)。當(dāng)在專(zhuān)用模式中檢測(cè)到攻擊時(shí)，被影響流量會(huì)采用所支持的任何 Cisco IOS® 軟件路由協(xié)議，從上游交換機(jī)或路由器轉(zhuǎn)移到專(zhuān)用 Cisco Catalyst 交換機(jī)。在專(zhuān)用機(jī)箱內(nèi)，對(duì)于被交換治理引擎的路由過(guò)程所轉(zhuǎn)發(fā)的轉(zhuǎn)移后的流量而言，Cisco Anomaly Guard 模塊就是下一跳，在這里，該流量被清洗，惡意流量被刪除。Anomaly Guard 模塊將合法流量送回到網(wǎng)絡(luò)，該流量在此繼續(xù)流向其最初目的地。

Cisco Traffic Anomaly Detector 模塊也可安裝在集成或?qū)Ｓ媚Ｊ街校瑥亩┘右徊交騼刹椒纸M-捕捉過(guò)程（而非路由），來(lái)接收流量副本進(jìn)行監(jiān)控。

無(wú)論是在集成模式還是在專(zhuān)用模式中，當(dāng)檢測(cè)到攻擊時(shí)，Anomaly Guard 模塊一般就會(huì)啟用，并在激活后啟動(dòng)轉(zhuǎn)移過(guò)程。Anomaly Guard 模塊實(shí)現(xiàn)這一目的的方式是，采用 Cisco Catalyst 機(jī)箱內(nèi)的思科 Route Health Injection (RHI) 協(xié)議，在交換治理引擎中動(dòng)態(tài)插入一個(gè)路由更新，使 Anomaly Guard 模塊成為下一跳。在專(zhuān)用模式中，交換治理引擎中的路由過(guò)程一般配置成能將路由更新重新分發(fā)給上游設(shè)備。其他轉(zhuǎn)移選項(xiàng)包括：操作員輸入的路由更新或永久性靜態(tài)路徑。

應(yīng)用

思科 DDoS 異常檢測(cè)和抵御解決方案可通過(guò)多種不同拓?fù)浣Y(jié)構(gòu)來(lái)部署，可同時(shí)為企業(yè)和電信運(yùn)營(yíng)商環(huán)境提供服務(wù)（圖 2–4）。

圖 2. 企業(yè)或主機(jī)托管數(shù)據(jù)中心中的思科 DDoS 異常檢測(cè)與抵御

圖 3. 電信運(yùn)營(yíng)商環(huán)境中的思科 DDoS 分布式/邊緣保護(hù)

圖 4. 集中式運(yùn)營(yíng)商清洗中心的思科 DDoS 異常檢測(cè)和抵御

特性與優(yōu)點(diǎn)

多級(jí)驗(yàn)證

Anomaly Guard 模塊的創(chuàng)新阻擋技術(shù)以思科獨(dú)特的 MVP 架構(gòu)為基礎(chǔ)，提供了多個(gè)互動(dòng)防御層次，可以無(wú)與倫比的準(zhǔn)確性識(shí)別和阻擋所有類(lèi)型的攻擊。由基于成熟簡(jiǎn)況的異常識(shí)別引擎驅(qū)動(dòng)的集成化動(dòng)態(tài)過(guò)濾和主動(dòng)驗(yàn)證技術(shù)，可實(shí)現(xiàn)針對(duì)所有類(lèi)型攻擊—乃至零日攻擊—的快速自動(dòng)保護(hù)。Anomaly Guard 模塊可進(jìn)行具體的每數(shù)據(jù)流分析和阻擋，能夠以外科手術(shù)般的精確度阻斷攻擊流量，同時(shí)答應(yīng)合法流量自由流動(dòng)。

異常識(shí)別引擎采用包括完整的每數(shù)據(jù)流簡(jiǎn)況的正常行為基線，可定義與每種被保護(hù)資源具體相關(guān)的正常或預(yù)期行為。必要時(shí)，用戶還可利用針對(duì)具體站點(diǎn)的自動(dòng)學(xué)習(xí)來(lái)增強(qiáng)高度準(zhǔn)確的缺省簡(jiǎn)況，從而為每個(gè)設(shè)備或區(qū)域定制簡(jiǎn)況。

另一個(gè)速率限制特性則提供了可阻擋和防御山洪暴發(fā)式攻擊的可選抵御方案。其中還配備了靜態(tài)過(guò)濾器，以 Berkeley Packet Filter 為基礎(chǔ)并答應(yīng)創(chuàng)建深度分組檢查過(guò)濾器的綜合性 Flex 過(guò)濾器，和迂回“白名單”過(guò)濾器。

Cisco Anomaly Guard 模塊還具有“僵尸殺手”功能，它可防御所有類(lèi)型和規(guī)模的攻擊，包括那些由稱(chēng)為僵尸—這是當(dāng)今最普遍和最難阻擋的 DDoS 攻擊之一—的受影響計(jì)算機(jī)所發(fā)起的攻擊。當(dāng)部署在群集配置之中時(shí)，Anomaly Guard 模塊能識(shí)別和阻擋幾乎成千上萬(wàn)的僵尸，為防御最大規(guī)模的 botnet 攻擊提供了前所未有的高水平保護(hù)。

多千兆性能

每個(gè)Cisco Anomaly Guard 模塊均配備專(zhuān)用網(wǎng)絡(luò)處理器，它以全千兆線速支持攻擊分析和清除，更可防御大規(guī)模 DDoS 攻擊，包括那些由受影響僵尸主機(jī)等分布廣泛的攻擊者所發(fā)起的攻擊。

多個(gè)Cisco Anomaly Guard 模塊可安裝在同一個(gè)機(jī)箱之中，可逐步擴(kuò)展分組每秒速率和僵尸防御功能—這些都足以保護(hù)最大型的企業(yè)和電信運(yùn)營(yíng)商環(huán)境免遭最嚴(yán)重攻擊的威脅。這些模塊還可采用群集配置，這樣，無(wú)需專(zhuān)用負(fù)載均衡器就能保護(hù)一個(gè)資源或區(qū)域。

動(dòng)態(tài)轉(zhuǎn)移

Cisco Anomaly Guard 模塊采用了一種功能強(qiáng)大的按需清洗模式。它不是象傳統(tǒng)內(nèi)嵌設(shè)備那樣插入到正常數(shù)據(jù)路徑之中；相反，它采用動(dòng)態(tài)轉(zhuǎn)移來(lái)自動(dòng)改變地址指向受攻擊的具體資源或區(qū)域的流量—且只改變?cè)摿髁俊姆较颍M(jìn)行進(jìn)一步清洗。當(dāng)懷疑存在攻擊時(shí)，Anomaly Guard 模塊會(huì)使用思科 RHI 協(xié)議在交換治理引擎路由表中插入路由更新，使 Anomaly Guard 模塊成為目的地指向目標(biāo)資源的任何流量的下一跳。

一旦目的地指向目標(biāo)設(shè)備或區(qū)域的流量被清除且惡意分組被阻擋，合法流量就會(huì)被轉(zhuǎn)發(fā)到各自的最初目的地，這可幫助確保任何要害請(qǐng)求都不會(huì)丟失。通過(guò)將被轉(zhuǎn)移流量只限制到那些地址指向當(dāng)前受攻擊的資源或區(qū)域的流量，Cisco Anomaly Guard 模塊就能實(shí)現(xiàn)資源利用率、透明性和可靠性最優(yōu)的可擴(kuò)展解決方案，從而滿足最大型企業(yè)和電信運(yùn)營(yíng)商環(huán)境的需求。這種第三層插入配置還可實(shí)現(xiàn)更簡(jiǎn)單和低影響的安裝，并可簡(jiǎn)化運(yùn)行維護(hù)和故障排除。

多級(jí)監(jiān)控和報(bào)告

Cisco Anomaly Guard 模塊采用基于Web的直觀 GUI，因此可簡(jiǎn)化政策定義、運(yùn)行監(jiān)控和報(bào)告生成等過(guò)程。

多個(gè)監(jiān)控和報(bào)告級(jí)別可為網(wǎng)絡(luò)運(yùn)營(yíng)商、安全治理員和客戶提供具體的實(shí)時(shí)和歷史信息（圖 5）。攻擊報(bào)告提供了每次攻擊的具體信息，包括特點(diǎn)、被識(shí)別僵尸列表和所采取的具體行動(dòng)等，因此可使安全專(zhuān)家審查和調(diào)整Cisco Anomaly Guard 模塊安全政策。

同時(shí)，客戶級(jí)歷史匯總可使電信運(yùn)營(yíng)商輕松報(bào)告針對(duì)攻擊的種類(lèi)、持續(xù)時(shí)間和規(guī)模的成功保護(hù)。此外，互動(dòng)模式可使用戶在激活之前就審查和批準(zhǔn)所推薦的行動(dòng)和政策，必要時(shí)還可提供針對(duì)攻擊響應(yīng)的手動(dòng)控制。

圖 5. 多級(jí)監(jiān)控與報(bào)告功能可提供實(shí)時(shí)和歷史性能的具體視圖

集成的優(yōu)點(diǎn)

部署靈活性

安裝在 Cisco Catalyst 6500 系列交換機(jī)或 Cisco 7600 系列路由器中的Cisco Anomaly Guard 模塊將全面的DDoS 保護(hù)集成到了網(wǎng)絡(luò)基礎(chǔ)設(shè)施之中。這些模塊可輕松安裝在原有交換機(jī)或路由器之中，實(shí)現(xiàn)功能強(qiáng)大的 DDoS 保護(hù)服務(wù)在需要的地方和時(shí)間的部署，而不占用任何接口端口。還可部署高密度專(zhuān)用清洗設(shè)備或多服務(wù)安全交換機(jī)，可采用任何范圍的機(jī)箱尺寸以及高可用性、直流電源和網(wǎng)絡(luò)設(shè)備建造標(biāo)準(zhǔn) (NEBS) 選項(xiàng)。異種機(jī)互操作性線卡可幫助確保媒體靈活性。利用交換治理引擎的一整套 Cisco IOS 軟件路由和隧道協(xié)議支持，轉(zhuǎn)移過(guò)程既可完全在機(jī)箱內(nèi)進(jìn)行，也可在多個(gè)設(shè)備之間進(jìn)行。

可擴(kuò)展性

當(dāng)需要高容量保護(hù)時(shí)，可在一臺(tái)交換機(jī)中安裝八個(gè)模塊，來(lái)支持快速擴(kuò)展的大型環(huán)境。此外，Anomaly Guard 模塊的多處理器架構(gòu)和多個(gè)千兆背板接口將來(lái)還可支持許可證軟件升級(jí)到每模塊多千兆性能。

可靠性和高可用性

Cisco Anomaly Guard 模塊通過(guò)配備強(qiáng)大的故障恢復(fù)保護(hù)功能的基于路由選擇的動(dòng)態(tài)轉(zhuǎn)移，提供了功能強(qiáng)大的按需清洗架構(gòu)。這一功能提供了優(yōu)于傳統(tǒng)內(nèi)嵌解決方案的、主動(dòng)抵御所需要的安裝簡(jiǎn)便性、運(yùn)行可靠性和透明性。此外，Cisco Catalyst 6500 系列交換機(jī)和 Cisco 7600 系列路由器可為 DDoS 硬化和高可用性選項(xiàng)提供控制平面監(jiān)管。

擁有成本更低

鑒于這些模塊與其他服務(wù)模塊一起集成到 Cisco Catalyst 6500 系列交換機(jī)或 Cisco 7600 系列路由器之中，需要治理的設(shè)備更少了，運(yùn)行成本也就降低了。此外，因?yàn)閼?yīng)用軟件類(lèi)似于設(shè)備應(yīng)用軟件，因此，可最大限度壓縮培訓(xùn)成本。

小結(jié)

為電信運(yùn)營(yíng)商、主機(jī)托管中心和在線企業(yè)設(shè)計(jì)的Cisco Anomaly Guard 模塊能做到任何其他 DDoS 抵御解決方案都做不到的事情—可幫助確保不間斷的業(yè)務(wù)運(yùn)作，甚至在發(fā)生最?lèi)盒怨舻那闆r下。這就意味著更強(qiáng)的競(jìng)爭(zhēng)優(yōu)勢(shì)，從而實(shí)現(xiàn)了最寶貴的業(yè)務(wù)資產(chǎn)的高水平可用性和無(wú)與倫比的保護(hù)。