一臺Cisco Anomaly Guard 模塊所提供的平臺可以 Gbps 線速處理攻擊流量。這種Anomaly Guard 模塊采用了獨特的“按需”部署模式，只會對地址指向目標設備或區(qū)域的流量進行轉移和清除，而不會影響其他流量。在該模塊之中，集成的多層防御機制可使 Anomaly Guard 模塊識別和阻擋惡意攻擊流量，而答應合法流量繼續(xù)流向各自最初的目的地。甚至在毀滅性攻擊的過程中，業(yè)務運作仍能繼續(xù)而不會停頓。

在一個機箱中一起工作的多個Cisco Anomaly Guard 模塊可逐步擴展規(guī)模而支持比單一模塊快很多倍的速率，并可提供可輕松適應不斷擴展的大型企業(yè)和電信運營商環(huán)境的可擴展解決方案。這種 Anomaly Guard 模塊的多處理器架構支持未來的許可證軟件升級，可增強和改進防御大規(guī)模攻擊的性能。

發(fā)展中的 DDOS 攻擊

今天的 DDoS 攻擊比以往更加具有惡意性、破壞性和針對性。由惡意用戶、敵意企業(yè)和敲詐勒索者針對特定站點或競爭對手而發(fā)起的這些攻擊，能輕松繞過并突破最普通的防御機制。DDoS 攻擊是由看起來合法的請求、極大量的僵尸來源和假冒身份（這就使我們幾乎不可能識別和阻擋這些惡意流量）等構成的，這些攻擊可導致受害者癱瘓并使其不能開展業(yè)務，從而導致每年成本損失高達上十億美元—包括交易和客戶的損失、聲譽的損害和法律責任等。

Cisco Anomaly Guard 模塊可提供針對所有類型 DDoS 攻擊的防御，使企業(yè)能識別和阻擋惡意流量，而不會影響其要害任務和創(chuàng)造營業(yè)收入的運作。以獲得專利的獨特多驗證過程 (MVP) 架構為基礎的Cisco Anomaly Guard 模塊，采用了高級異常識別功能，可結合高性能過濾功能來動態(tài)應用集成化來源驗證和防欺騙技術識別和阻擋每個攻擊流量，同時又答應合法流量通過（圖 1）。結合直觀圖形界面，以及設計成能提供所有攻擊活動的全面概況的廣泛的多層監(jiān)控和報告機制，Cisco Anomaly Guard 模塊提供了保護業(yè)務運作的最全面的 DDoS 防御。

圖 1. Cisco Anomaly Guard 模塊 MVP 架構

工作原理

Cisco Anomaly Guard 模塊僅僅是思科系統(tǒng)公司所提供的，保護大型企業(yè)、政府機構、主機托管中心和電信運營商免遭 DDoS 攻擊的一整套檢測和抵御解決方案的一部分。Cisco Anomaly Guard 模塊提供了一種功能強大的可擴展解決方案，可使主機托管和電信運營商為其用戶提供寶貴的代管 DDoS 保護服務。與思科 Traffic Anomaly Detector 模塊（或能檢測 DDoS 攻擊的其他第三方報警系統(tǒng)）配合使用時，Anomaly Guard 模塊可提供具體的每數(shù)據(jù)流攻擊分析、識別和抵御服務，從而避免攻擊導致網(wǎng)絡和數(shù)據(jù)中心運行的中斷。

當 Traffic Anomaly Detector 模塊識別出一個潛在攻擊時，它就會提醒 Anomaly Guard 模塊開始進行動態(tài)轉移，這就會使目的地指向目標資源的流量—且只會使該流量—改變方向，并進行檢查和清除。所有其他流量會繼續(xù)直接流向各自原來的目的地，這就提供了易于安裝的低影響、高可靠和低成本解決方案。

轉移后的流量會通過 Anomaly Guard 模塊重新路由，在此過程中，它還會經(jīng)過多層具體檢查，從合法流量中識別和分離“壞的”流量。具體攻擊分組被識別和清除，而“好的”流量則被轉發(fā)到其原來的目的地，這就幫助客戶保證了真的用戶和真的流量永遠都能通過，并可實現(xiàn)最高的可靠性。

配置與部署選項

Cisco Anomaly Guard 模塊提供了兩種截然不同的部署選項—集成模式和專用模式。

在集成模式中，在部署在數(shù)據(jù)中心并駐留在正常第三層數(shù)據(jù)路徑之上的原有 Cisco Catalyst 6500 系列或 Cisco 7600 系列機箱內(nèi)，需安裝一個或多個Cisco Anomaly Guard 模塊。當檢測到攻擊時，可疑流量會通過 Cisco Catalyst 底板被動態(tài)轉移給 Anomaly Guard 模塊來進行分析和清除，然后才會被轉發(fā)給正常的下一個下游設備。

在專用模式中，Anomaly Guard 模塊被安裝在專用 Cisco Catalyst 6500 系列交換機或 7600 系列路由器—如安裝在“清除中心”內(nèi)—之中，其中，多個Cisco Anomaly Guard 模塊可采用群集配置，以實現(xiàn)高容量保護。當在專用模式中檢測到攻擊時，被影響流量會采用所支持的任何 Cisco IOS® 軟件路由協(xié)議，從上游交換機或路由器轉移到專用 Cisco Catalyst 交換機。在專用機箱內(nèi)，對于被交換治理引擎的路由過程所轉發(fā)的轉移后的流量而言，Cisco Anomaly Guard 模塊就是下一跳，在這里，該流量被清洗，惡意流量被刪除。Anomaly Guard 模塊將合法流量送回到網(wǎng)絡，該流量在此繼續(xù)流向其最初目的地。

Cisco Traffic Anomaly Detector 模塊也可安裝在集成或專用模式中，從而施加一步或兩步分組-捕捉過程（而非路由），來接收流量副本進行監(jiān)控。

無論是在集成模式還是在專用模式中，當檢測到攻擊時，Anomaly Guard 模塊一般就會啟用，并在激活后啟動轉移過程。Anomaly Guard 模塊實現(xiàn)這一目的的方式是，采用 Cisco Catalyst 機箱內(nèi)的思科 Route Health Injection (RHI) 協(xié)議，在交換治理引擎中動態(tài)插入一個路由更新，使 Anomaly Guard 模塊成為下一跳。在專用模式中，交換治理引擎中的路由過程一般配置成能將路由更新重新分發(fā)給上游設備。其他轉移選項包括：操作員輸入的路由更新或永久性靜態(tài)路徑。

應用

思科 DDoS 異常檢測和抵御解決方案可通過多種不同拓撲結構來部署，可同時為企業(yè)和電信運營商環(huán)境提供服務（圖 2–4）。

圖 2. 企業(yè)或主機托管數(shù)據(jù)中心中的思科 DDoS 異常檢測與抵御

圖 3. 電信運營商環(huán)境中的思科 DDoS 分布式/邊緣保護

圖 4. 集中式運營商清洗中心的思科 DDoS 異常檢測和抵御

特性與優(yōu)點

多級驗證

Anomaly Guard 模塊的創(chuàng)新阻擋技術以思科獨特的 MVP 架構為基礎，提供了多個互動防御層次，可以無與倫比的準確性識別和阻擋所有類型的攻擊。由基于成熟簡況的異常識別引擎驅動的集成化動態(tài)過濾和主動驗證技術，可實現(xiàn)針對所有類型攻擊—乃至零日攻擊—的快速自動保護。Anomaly Guard 模塊可進行具體的每數(shù)據(jù)流分析和阻擋，能夠以外科手術般的精確度阻斷攻擊流量，同時答應合法流量自由流動。

異常識別引擎采用包括完整的每數(shù)據(jù)流簡況的正常行為基線，可定義與每種被保護資源具體相關的正?；蝾A期行為。必要時，用戶還可利用針對具體站點的自動學習來增強高度準確的缺省簡況，從而為每個設備或區(qū)域定制簡況。

另一個速率限制特性則提供了可阻擋和防御山洪暴發(fā)式攻擊的可選抵御方案。其中還配備了靜態(tài)過濾器，以 Berkeley Packet Filter 為基礎并答應創(chuàng)建深度分組檢查過濾器的綜合性 Flex 過濾器，和迂回“白名單”過濾器。

Cisco Anomaly Guard 模塊還具有“僵尸殺手”功能，它可防御所有類型和規(guī)模的攻擊，包括那些由稱為僵尸—這是當今最普遍和最難阻擋的 DDoS 攻擊之一—的受影響計算機所發(fā)起的攻擊。當部署在群集配置之中時，Anomaly Guard 模塊能識別和阻擋幾乎成千上萬的僵尸，為防御最大規(guī)模的 botnet 攻擊提供了前所未有的高水平保護。

多千兆性能

每個Cisco Anomaly Guard 模塊均配備專用網(wǎng)絡處理器，它以全千兆線速支持攻擊分析和清除，更可防御大規(guī)模 DDoS 攻擊，包括那些由受影響僵尸主機等分布廣泛的攻擊者所發(fā)起的攻擊。

多個Cisco Anomaly Guard 模塊可安裝在同一個機箱之中，可逐步擴展分組每秒速率和僵尸防御功能—這些都足以保護最大型的企業(yè)和電信運營商環(huán)境免遭最嚴重攻擊的威脅。這些模塊還可采用群集配置，這樣，無需專用負載均衡器就能保護一個資源或區(qū)域。

動態(tài)轉移

Cisco Anomaly Guard 模塊采用了一種功能強大的按需清洗模式。它不是象傳統(tǒng)內(nèi)嵌設備那樣插入到正常數(shù)據(jù)路徑之中；相反，它采用動態(tài)轉移來自動改變地址指向受攻擊的具體資源或區(qū)域的流量—且只改變該流量—的方向，進行進一步清洗。當懷疑存在攻擊時，Anomaly Guard 模塊會使用思科 RHI 協(xié)議在交換治理引擎路由表中插入路由更新，使 Anomaly Guard 模塊成為目的地指向目標資源的任何流量的下一跳。

一旦目的地指向目標設備或區(qū)域的流量被清除且惡意分組被阻擋，合法流量就會被轉發(fā)到各自的最初目的地，這可幫助確保任何要害請求都不會丟失。通過將被轉移流量只限制到那些地址指向當前受攻擊的資源或區(qū)域的流量，Cisco Anomaly Guard 模塊就能實現(xiàn)資源利用率、透明性和可靠性最優(yōu)的可擴展解決方案，從而滿足最大型企業(yè)和電信運營商環(huán)境的需求。這種第三層插入配置還可實現(xiàn)更簡單和低影響的安裝，并可簡化運行維護和故障排除。

多級監(jiān)控和報告

Cisco Anomaly Guard 模塊采用基于Web的直觀 GUI，因此可簡化政策定義、運行監(jiān)控和報告生成等過程。

多個監(jiān)控和報告級別可為網(wǎng)絡運營商、安全治理員和客戶提供具體的實時和歷史信息（圖 5）。攻擊報告提供了每次攻擊的具體信息，包括特點、被識別僵尸列表和所采取的具體行動等，因此可使安全專家審查和調整Cisco Anomaly Guard 模塊安全政策。

同時，客戶級歷史匯總可使電信運營商輕松報告針對攻擊的種類、持續(xù)時間和規(guī)模的成功保護。此外，互動模式可使用戶在激活之前就審查和批準所推薦的行動和政策，必要時還可提供針對攻擊響應的手動控制。

圖 5. 多級監(jiān)控與報告功能可提供實時和歷史性能的具體視圖

集成的優(yōu)點

部署靈活性

安裝在 Cisco Catalyst 6500 系列交換機或 Cisco 7600 系列路由器中的Cisco Anomaly Guard 模塊將全面的DDoS 保護集成到了網(wǎng)絡基礎設施之中。這些模塊可輕松安裝在原有交換機或路由器之中，實現(xiàn)功能強大的 DDoS 保護服務在需要的地方和時間的部署，而不占用任何接口端口。還可部署高密度專用清洗設備或多服務安全交換機，可采用任何范圍的機箱尺寸以及高可用性、直流電源和網(wǎng)絡設備建造標準 (NEBS) 選項。異種機互操作性線卡可幫助確保媒體靈活性。利用交換治理引擎的一整套 Cisco IOS 軟件路由和隧道協(xié)議支持，轉移過程既可完全在機箱內(nèi)進行，也可在多個設備之間進行。

可擴展性

當需要高容量保護時，可在一臺交換機中安裝八個模塊，來支持快速擴展的大型環(huán)境。此外，Anomaly Guard 模塊的多處理器架構和多個千兆背板接口將來還可支持許可證軟件升級到每模塊多千兆性能。

可靠性和高可用性

Cisco Anomaly Guard 模塊通過配備強大的故障恢復保護功能的基于路由選擇的動態(tài)轉移，提供了功能強大的按需清洗架構。這一功能提供了優(yōu)于傳統(tǒng)內(nèi)嵌解決方案的、主動抵御所需要的安裝簡便性、運行可靠性和透明性。此外，Cisco Catalyst 6500 系列交換機和 Cisco 7600 系列路由器可為 DDoS 硬化和高可用性選項提供控制平面監(jiān)管。

擁有成本更低

鑒于這些模塊與其他服務模塊一起集成到 Cisco Catalyst 6500 系列交換機或 Cisco 7600 系列路由器之中，需要治理的設備更少了，運行成本也就降低了。此外，因為應用軟件類似于設備應用軟件，因此，可最大限度壓縮培訓成本。

小結

為電信運營商、主機托管中心和在線企業(yè)設計的Cisco Anomaly Guard 模塊能做到任何其他 DDoS 抵御解決方案都做不到的事情—可幫助確保不間斷的業(yè)務運作，甚至在發(fā)生最惡性攻擊的情況下。這就意味著更強的競爭優(yōu)勢，從而實現(xiàn)了最寶貴的業(yè)務資產(chǎn)的高水平可用性和無與倫比的保護。