Arbor解决方案Pravail安全部署Cisco网络架构

www.net130.com     日期:2013-3-22    浏览次数:
出处:互联网

Cisco已经建立以客户为中心的网络架构,Cisco的产品和技术包括了这一架构的基础设施、周边防守以及大多数其他元素,但是Cisco产品本身对于减小DDoS攻击的防御能力的效果不是特别明显。 因此Cisco选择了Arbor Networks的Pravail可用性保护系统(APS)和Pravail网络安全情报(NSI)的解决方案,用来为BYOD架构提供DDoS攻击防护。本文详细介绍了Arbor的Pravail在安全部署方面的信息。

Pravail NSI设备采用NetFlow和SNMP识别局域网上的流量和对话。根据对流量的行为分析来识别网络误用、滥用和整体侵犯等实例。它提供了局域网上历史流 量的详细取证、威胁的实时报警以及基准值,与实时流量的简单比较。通过整合到活动目录的基础结构、DHCP和RADIUS,Pravail NSI突出显示映射到IP地址上的用户名。

通过提供身份和访问管理及统一的策略管理,Cisco ISE同时也扮演了架构中的安全角色。Cisco ISE通过请求者对802.1X有线和无线客户端进行身份验证。通过MAC认证旁路,添加无法通过请求者进行验证的设备。配置ISE,在提供特定的基于策略的iPad和iPhone访问时,也支持访客和承包商的网络认证。

传统的周边安全设备,如防火墙和IPS设备,是分层防御策略的基本要素,但不是用来解决DDoS攻击问题的。控制数据中心资源的访问权,以及能够感 染终端系统或利用已知的漏洞的IPS设备块恶意软件等策略由防火墙来执行。DDoS攻击包括制作的多个来源到临界资源的合法流量,如链路容量、会话能力、 应用服务能力性(例如, HTTP(S),DNS)或后端数据库。由于此类流量经过了授权,并且不包含已知的恶意软件的签名内容,因此,它不会被防火墙和IPS设备中止。事实上, 防火墙和IPS设备往往是DDoS攻击的受害者。作为内联、状态检测设备,它们有很多DDoS攻击设法利用的漏洞。

为有效降低数据中心的应用程序的低带宽攻击,通常“飞行”在大多数以供应商为基于云的DDoS的解决方案“雷达”下。然而,DDoS还包括饱和互联 网链接到数据中心的消耗带宽的泛洪攻击。这些泛洪攻击只能在提供商网络内得到缓解。企业需要一个既有以供应商为基础的防护、又有预先防护的全面的DDoS 解决方案。

 

本新闻共2页,当前在第1页  1  2  

分享道
相关新闻