资源描述:
《Cisco安全技术交流胶片-运营商的网络安全体系解决方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、运营商的网络安全体系解决方案之cleanpipeservicesolution目录什么是CleanpipeCleanpipe技术实现Cleanpipe部署模式Cleanpipe服务实例目录什么是CleanpipeCleanpipe技术实现Cleanpipe部署模式Cleanpipe服务实例InternetDDoS攻击的最新趋势目前已有超过8亿人使用internet.eCommerce使得对互联网的前所未有的依赖性宽带连接使越来越多的家庭PC上网,而这些家庭PC缺少安全措施,容易被利用大多数攻击同
2、时来自多个国家,更难以追查和防范.DDoS影响着所有类型的网络业务:银行业,医疗,政府,制造业,零售,度假休闲,体育网站,网络游戏…用来进行勒索的攻击在增加:去年为4%,今年到了16%,勒索的数额从1万美元到数百万美元BOTNETS–使DDOS攻击更容易CE受攻击设备:服务器,防火墙,路由器…‘僵尸’电脑控制者LastMileConnectionISP出租BOTNET!BOTNET是一个由被入侵并控制了的’僵尸’电脑组成的网络,在中央控制电脑的指挥下,能对任何目标发起攻击.BOTNETs能发动多
3、种DDOS攻击:ICMPAttacks,TCPAttacks,andUDPAttacks,httpoverload小的BOTNET大约控制上千台电脑,大的可能控制多达数万台.BOTNET的数量和规模都在增加中.DDoS攻击影响的网络层面应用/服务器攻击将耗尽计算机的TCP/HTTP资源,使应用停顿,服务器停止对正常业务的响应.带宽攻击流量将充满网络带宽从而阻挡了正常流量网络架构攻击的目标可能是网络路由设备,DNS/DHCP服务器等,破坏网络连接.间接破坏被做为攻击源的主机也间接受到影响“是网络安
4、全防护系统的一部分,能够在发生DDOS攻击时,保证正常业务和关键部件的可用性”777©2003CiscoSystems,Inc.Allrightsreserved.Presentation_IDCleanPipes:DDoS攻击防护方案Cleanpipes是一个保护用户数据流和网络连接,防止受到DDoS攻击的安全方案,其基本的目标是在应用系统受到安全威胁时去掉恶意的攻击流量,只传送正常应用的流量.“CleanPipes”功能描述和定义CleanPipes的主要环节InjectDivert防卫学习
5、DefenseLearning攻击缓解Mitigate‘学习’阶段基于CiscoNFP实现对网络的数据平面,控制平面的保护.采用CiscoGuard对数据流清洁采用CiscoNetflow或Detector进行主动的攻击检测将出现攻击流量转移到一个清洁中心将’清洁’的流量重新注入网络攻击检测Detect阶段一:防卫/学习Defense/LearningPeeringPointCoreRouterEnterpriseHostingProviderBGPsecurityRTBH,uRPFRTRL/Q
6、PPB学习阶段策略建立PeeringPoint阶段二:攻击检测DetectionPeeringPointCoreRouterEnterpriseHostingproviderBGPsecurityRTBH,uRPFRTRL/QPPBRACL,iACL,CoPPStackprotection,SinkholesuRPFingressAndegressfilteringDetectionPeeringPoint3rdpartydetector3rdpartydetectorDetectionDete
7、ctionNetflowNetflowNetflowNetflowNetflowNetflowIDS/IPSCiscoDetector阶段三:攻击缓解MitigationPeeringPointCoreRouterEnterpriseHostingProviderBGPsecurityRTBH,uRPFRTRL/QPPBRACL,iACL,CoPPStackprotection,SinkholesuRPFingressAndegressfilteringDetectionPeeringPoint
8、detectordetecorDetectionDetectionNetflowNetflowNetflowNetflowNetflowCiscoGuardPacketinspectionAndcleaningTrafficRe-injectionIDS/IPSCiscoDetectorCleaningCenterTrafficdiversionCleanpipe操作流程主动的异常监测流量异常?学习正常流量特征,建立策略基础将相关流量转移到清洁中心是否为合法数据丢弃将合法数据重新注入网络Defe