文本课件成果arbor培训eccom

1、Arbor 公司解决方案技术交流2013年1月议 程1Arbor公司简介Arbor解决方案1. Peakflow SP DDoS检测及2. Pravail APS IDC DDoS防护2方案3Arbor DDoS解决方案特色Arbor Networks：业界地位经过实际验证的可以信赖的公司 ，保护着全球最大型的、要求最严格的运营商网络$16BArbor的母公司Danaher，2011GAAP年度营收160亿，提供深度财力支撑11Arbor 11年来一直专注于网络可视性和安全的技术创新研究和研发#1Arbor DDoS防护在运营商、企业、移动领域的市场地位 61%份额Infonetics Res

2、earch Dec 201122.7 Tbps当前ATLAS安全智能的全球总流量 占全球互联网流量的25%!105部署了Arbor的数量全球一级运营商是Arbor的客户90%Arbor: 业界思想引领者§互联理、发展趋势的可信顾问§与世界上大部分运营商的来自现有装机的统计数据全球基础设施安全报告（年度）对全球互联网流量和威胁活动具备独特的洞察力§ASERT Arbor安全工程及响应团队 ATF（ Active Threat Feed ）、 博客地址:共享联盟、云信令联盟§ATLAS Arbor威胁级别分析系统 全球化威胁分析 ( AIF ATLAS In

3、telligence Feed)Arbor全球部分客户（Arbor被公开的部分）vodaphone* These customers have given Arbor Networks authorization to use their names publicly. Over 300 customers use Peakflow SP & TMS today.陆运营户集团公司UK公司公司分公司山西分公司分公司山东分公司市公司湖南分公司市公司舟山市公司重庆分公司云南分公司分公司上海分公司江苏分公司山西分公司上海分公司河南分公司浙江分公司湖南分公司集团公司IP NGN分公司广西分公司分

4、公司大连分公司浙江分公司分公司上海分公司河北分公司Arbor& 服务企业响应安全问题APSNSI研究技术支持TMSSP运营商服务全面的可视性有效的保护议 程1Arbor公司简介Arbor解决方案1. Peakflow SP DDoS检测及2. Pravail APS IDC DDoS防护2方案3Arbor DDoS解决方案特色Peakflow SP 解决方案Arbor Peakflow SP CPM: CP-5500平台Subscriber Edge平台 (CP)部署在网络骨干或Peering/Transit边界，收集并分析 IP Flow,BGP, SNMP数据；检测网络异常；同时P

5、eering/Transit EdgeLeader CP可管理其他 SP(FS, TMS)Provider AArbor Peakflow SP TMSMs: TMS-1200/2500/3050/3110/4000威胁管理系统 (TMS) 用于在运营商骨干网Backbone进行手术式和智能应用保护，也Provider BCP-5500可用作云端安全管理增值服务的平台。Arbor Peakflow SP FSM: FS-5500Flow传感器 (FS) 适合部署在用户汇聚点、托管中心接入点，它扩展解决方案的覆盖面，实现全网流量可视性和安全保护。Arbor Peakflow SP BIM: BI

6、-5500业务智能 (BI) 提升Peakflow SP解决方Scrubbing CenterTMSCP-5500Provider CBI-5500PI-5500CP-5500(Leader)安全增值服务(MSS)客户FS-5500案中对象的数量。PI-5500Arbor Peakflow SP PIM:PI-5500管理(PI) 提升Peakflow SP解PI-5500决方案用于安全管理增值服务时，所必需的用户和API伸展能力，并提高可用性，是整个解决方案的新的“Leader”。集中管理台管理可视性和威胁检测CP 5500POPPeeringPoint2 激活IDC AArbor Peak

7、flowCore RouterCore RouterPeeringPointTMS中心POPIDC B目标1 检测IDC C智能及回注CP 5500POPPee ingPointIDC AArbor PeakflowCore RouterCore RouterPeeringPointTMS中心IDC B目标POP3 通过BGP牵引 的流量目标5 合法流量回注: GRE, MPLS, IDC C4 流量实网拓扑案例案例简介分析：n x CP5500分析和DDoS分析。每个PoP点和3G IP Edge路由器的Flow，进行流量的相关性对象每个Peer、POP、3G IP edge 设施。：1 x

8、 TMS 4300 group (2 x TMS4300 with LACP) 提供 60GbpsDNS、IDC、ICP、3G IP edge 设施。能力，保护流量牵负载均衡。GP通过RR进行传播，流量牵引时，每台PB-T1600上的ECMP实现流量回注：回注流量就近注入PB-T1600，实现负载均衡，rib-group技术避免路由循环。超负载：Flow SpecMSSP业务支撑：PI提供业务客户自助管理主动DDoS自动化主动式（Syslog、）SOAP API 计费Intro to Cisco CRS & CGSEØ CRS= Carrier Routing System(

9、deployed at core and peering edges)Ø CGSE= Carrier Grade Services Engine . An integrated multi-CPU service module in CRS.(used mainly for IPV4-V6 conversion, CGNAT)Ø“TMS-CGSE” is TMSsoftware ported onto CGSE module.TMS(v5.8)CRS 1/3(IOS-XR 4.2.3 & 5.8 )Some TMS-CGSEs§ Each CGSE mod

10、ule runs a single instance of TMS.§ Each TMS-CGSE supports10 Gbps of mitigation.§ Multiple TMS-CGSE can run in a single CRS chassis:Ø CRS 16 slot -> Up to 120 Gbps (12 Cisco CGSE modules)Ø CRS 8 slot -> Up to 60 Gbps (6 Cisco CGSE modules)Ø CRS 4-slot -> Up to 30 Gb

11、ps (3 Cisco CGSE modules)§ Attack traffic can be load-balanced across multiple Cisco CRS routers / Cisco CGSE modules within a Cisco CRS.§CGSE-TMS is configured &managed by Peakflow SP consoleTMS-CGSEArbor & Cisco TMS-CGSE DeploymentSecurity Intelligence Built into the NetworkPeeri

12、ng / Transit EdgeB3 kboneCustomer EdgeInternetDDoS2Cisco CRSWith CGSE-TMS1Arbor Peakflow SP analyzesCisco Netflow data to detect DDoS attack.Target traffic is re-routed internally to CGSE-TMS blade in Cisco CRS router. (eliminating need to traverse backbone)Netflow Analysis Arbor Peakflow SP12Benefi

13、ts:§Stop DDoS attacks at peering/transit edge andprotect core bandwidth and infrastructure. Leverage existing investment in CRS and CGSE3CGSE-TMS removes attacktraffic and clean traffic is sentto customer.§-Ease logistics and OpEx associated with DDoSattack.-Multi-purpose CGSE (can be used

14、 for CGNAT, IPv6or DDoS)流量、服务和网络管理丰富的显示面板（Dashboards）§网络（Network）: Peer排名、 ASN,、城市、应用、增长情况§应用（Application）: 客户、端口、Peer,城市流量分布客户（Customer）: 应用情况、§Peer流量情况,流量分布、匹配情况、城市统计§路由器（Router）: 每台路由器统计、接口排名、应用排名、客户排名好处更明智的、更及时的运营管理Peer 和Transit报告 - 优化Peering成本Transit报告Peer流量报告Peering预想分析Inte

15、rface报告源和目的分析客户A的转接流量成本是多少?如果和XYZ建立Peer可节省多少成本?查看客户的流量真正去了哪里明智地决定Peer扩容确保现有的对待互联协议最大潜能地使用确保Transit客户遵守服务协议，例如不协议§ 流量去了哪里?§ 从哪个Peer进来?§ 来自哪里?§ 从哪个Peer出去?全球地理位置流量报告 IP 位置网络智能的新维度§按、地区、城市来跟踪和报告跟踪威胁的源头§§§基于基于的基线和告警，实现流量放行、丢弃、整形发现增长的市场按城市衡量服务使用情况§§Benefit

16、s更佳的威胁响应更市场分析更规划路由分析和服务报告BGP 支持Route分析Route 抖动报告Route 劫持预防4 字节 ASN 支持MPLS分析技术每个路由器、每个接口的MPLS in/out每个路由器、第个接口的QoS in/out每个路由器、每个接口的MPLS Egress PEBenefits运营管理增加MPLS服务收入管理服务级别协议简化过渡到4 字节 ASN优化资金支出Peakflow SP异常流量监测§异常检测（Misuse）潜在流量设置阀值(TCP SYN、IP分片数据包、畸形DNS等)§基于流量基线的异常检测( Profiled )流量偏离正常情况下的

17、流量基线 (例如，http flood、)放大异常已知§特征Botnet 检测特征更新 - ATF§地理位置异常对来自某个进行的异常流量全网检测:检测高度分布的全球感知、分析、响应活动威胁级别分析系统"With a real-time view of potential Internet threats we can make more informed network management and security decisions. Because ATLAS aggregates data from so many ISPs all over the wo

18、rld, we are given actionable intelligence that not only provides us with a competitive advantage butArbor 安全工程和响应团队allows us tobackbotnets,denial of service attacks and other malicious Internet activity." - KenHaertling, Chief Security Officer at TELUS Business Transformation Technology Operati

19、onsATF活跃威胁特征库与TMS智能缓解相配合列表(Access Control List Entries)： 根据不同的威胁， 这些ACLs能被用于网络范围里任何节点上， 从对小型来讲用户汇聚的路由器，到路由基础设施的对等路由器接口。Flow Spec：更细致地匹配流量特征。Blackhole： 在网络的具体节点上注入无效路由把目的IP 地址或者源IP 地址流量转移到“黑洞”里。TMS Portfolio with Peakflow SP§ mitigation from 1 to40 Gbps.§ Multiple msenable flexible and cost

20、 effective deployment.§ No other vendor in the industry can offersuch a comp DDoSsolution.ensivePeakflow SP TMS 4000业界第一个基于灵活的ATCA架构的、唯一能单机处理40G的系统4000 Series ChassisTMS 第4代平台40 Gbps 背板容量6 U，6 槽机箱AC/DC电源选项8 x 10GE SPF+ 接口Management Control Module (MCM-2)灵活的按需扩容Application Processing Module (APM

21、-10)热交换板卡和电源TMS 4100 基本配置增加APM板卡就可平滑从 10 Gbps扩容到 40 GbpsPacket SwitchModule(PSM-40)多种应对策略各种 TCP堆栈的 洪水反机制基于基线进行速率限制应用级的策略静态 & 动态的数据包过滤应用层碎片性洪水漏洞利用灵活的手术式§ 灵活性 BGP 流量牵引 串接部署 ACL 黑洞 (S/RTBH, Flowspec) 速率限制§ 手术式 确保流量和服务的性能 黑白度数据包过滤 HTTP, DNS, VOIP 应用层策略 SSL保护识别过滤 Botnet 特征 混合好处高效、有效、非破坏式服务保

22、护§HTTP / Web 2.0应用保护阻止畸形的HTTP HTTP请求速率限制阻止点击阻止低流量慢速SSL§保护抵挡SSL信令协议§VoIP 保护阻止畸形 SIP 数据包SIP 请求限速§DNS 服务保护DNS 正则表达式 (RegEx) DNS 认证/反DNS速率限制DNS Non-Existent Domain(NXDOMAIN)速率限制DNS 统计报告以及数据包采样§基于IP的服务保护(TCP / UDP/ ICMP)数据包TCP 联接重置/白§ 效益§ 防止关键的业务应用 §成为目标优化的部署: 在最佳位

23、置阻挡云信令Arbor的整合的解决方案，实现全面的DDoS保护云端 DDoS 保护§§在到达客户网络之前实施只有 NSP 或 DDoS 云服务提供商能Peakflow SP & TMS提供洪水的保护CloudSignalingDATA CENTERLoad BalancerIPSPravail APSCPE侧的DDoS保护§§在客户的网络边缘阻止应用层通过云信令，利用云端的DDoS保护能力清洗大规模的洪水详细的报告议 程1Arbor公司简介Arbor解决方案1. Peakflow SP DDoS检测及2. Pravail APS IDC DDoS

24、防护2方案3Arbor DDoS解决方案特色威胁已经发展为数据中心大规模和应用层都能使关键的数据中心服务停止§ 网络接口、基础设施、§ 各种协议、各种应用§ 各种数据库/ IPS、服务器，不能有效进行DDoS保护现有当今部署在CPE的注重完整性和性，而不是可用性金三角和IPS因为它们：不能解决DDoS问题，DATA CENTER(1)其它安全问题而优化；(2) 不能检测和阻止分布式(3) 不能与云端安全解决方案结合§ IPS§ Load BalancerIPS和是状态检测型，且总是串接，因此它本身就是DDoS 问题的一部分，而不是DDoS解决方

25、案。许多 DDoS目标就是和 IPS本身!安全性侧重好处完整性通过强制策略，阻止未的数据IPS完整性阻止深度偷窃数据的Arbor Pravail APSArbor Pravail APS 是唯一部署在CPE, 专门解决即插即用的保护功能§ 立即保护，并具有能力可用性威胁的。高级DDoS阻止§ 新型的基于数据包检测的DDoS检测和技术eb僵尸网络威胁缓解§动态僵尸网络的DDoSeArbor Pravail APSFirewallLoad Balancer灵活部署模式§ 简便的IDC部署方式，支持串接方式DNS Servers云信令支持§ 通过云信

26、令使上游安全服务提供商(MSSP)直接阻断大规模DDoSersFirewallArbor Pravail APSLoad Balancer数据中心网络SMTP ServPublic WServersCorporat Servers型号 & 配置硬件配置License UpgradeLicense Upgrade接口配置选项License UpgradeAPS 210810 Gbps1.12 1G 电口2.12 1G 光口 (SX/LX) 3.2 10G 接口所有型号均能故障旁路APS 21078 GbpsAPS 21054 Gbps1. 两颗 6-Core Xeon 处理器2. 18G

27、B RAM3. 128G固态硬盘4. 硬件RAID5. AC 或 DC 冗余电源APS 21042 Gbps云信令联盟Arbor的云信令联盟体系联动运营商对超带宽Subscriber NetworkSubscriber NetworkDDoS进行阻断InterneServ ce Provider1. 服务正常运营Arbor Peakflow SP / TMS-based DDoS Service2. 发生效阻止& Pravail有3.继续增大，超过物理链路带宽4. 云信令机制启动ArborPravail APS5. 客户得到完全保护Firewall / IPS / WAFCloud S

28、ignaling Status45Data Center NetworkPublic Facing ServersExpansion of Arbors In-Cloud DDoSSolutionPeering / Transit EdgeBackboneInternetCustomer EdgeEmbeddedNetflow Analysis Arbor TMSScrubbing CenterArbor Peakflow SP2. Attack Mitigationa. Dedicated Appliance1.Attack Detection§IP Flow collection

29、and analysis with Arbor Peakflow SP§Arbor Threat ManagementSystem (TMS)b. Embedded§Cisco TMS-CGSE in CRS议 程1Arbor公司简介Arbor解决方案1. Peakflow SP DDoS检测及2. Pravail APS IDC DDoS防护3. Pravail NSI内网安全防护2方案3Arbor DDoS解决方案特色Peakflow SP 解决方案Arbor Peakflow SP CPM: CP-5500平台 (CP) 部署在网络骨干或Peering/Transit

30、边缘，同时可用于管理其他平台Subscriber EdgePeering/TransitSP(FS, TMS)EdgeProvider AArbor Peakflow SP TMSMs: TMS-1200/2500/3050/3110/4000威胁管理系统 (TMS) 适合运营商级网络，Backbone实现手术式缓解和智能的应用保护Provider BCP-5500Scrubbing CenterArbor Peakflow SP FSM: FS-5500Flow传感器 (FS) 适合部署在用户汇聚点、托管中心边缘，它扩展解决方案的覆盖面， 实现全网流量可视性和安全保护。CP-5500Prov

31、ider CTMSBI-5500Arbor Peakflow SP BIM: BI-5500业务智能 (BI) 提升Peakflow SP 解决方案所能管理的对象的数量。PI-5500CP-5500(Leader)安全管理增值服务（MSS）客户TMS 1200FS-5500Customer / Hosting EdgePI-5500Arbor Peakflow SP PIM:PI-5500集中的管理台，实现管理(PI) 提升Peakflow SP解可视性和威胁管理决方案用于安全管理增值服务时，所必需的用户和API伸展能力，并提高可用性，是整个解决方案的新的“Leader”。Peakflow:

32、实现安全增值服务的最佳平台§§§§§§§定制门户定制报告定制公司的logo 门户API高伸展能力高可用性通过API与外部系统对接客户门户Web 2.0 API服务提供工具rPeakflow SP PI第应用Enterprise Demand for Security Booms, AT&T SaysJULY 29, 2010 | Carol Wilson | Post a commentNetwork-based security services are an increasingly important part

33、 of enterprise services, AT&T Inc. (NYSE: T) confirmed this week, as it launched the latest in its cloud-based securityofferings, adistributed denial-of-service(DDOS) attacks based on Arbor Networks Inc. technology. (See AT&T Upgrades Managed Security.)Many examples of Peakflow SP based DDoS Services (see case studies)Arbor运营商流量分析系统竞争优势：特色§§§无缝集成Arbor流量Arbor ASERT 专业团队、ATF BotnetIPv6全面支持，在运营商成熟使用3年电信/联通的使用经验§§BGP分析不仅限于路由分析，而是全面分析网络流量在AS间的情况监测对象多种多样，除Customer监测类