Conoce las opciones de implementación de la solución AntiDDoS 1800 de Huawei

44 0 1 0

Bienvenidos de nueva cuenta. Continuamos con la explicación de la solución AntiDDoS 1800 y en esta ocasión conoceremos las diferentes opciones de implementación. A continuación la información.

 

Ubicación de implementación de la solución AntiDDoS

La solución anti-DDoS se usa ampliamente en redes empresariales, Internet Data Centers (IDC) y redes troncales y redes MAN de operadores.

 

Figura 1 Ubicación de implementación de la solución AntiDDoS


1


En la red troncal: mitiga la carga de ancho de banda a la salida de una red MAN y protege los recursos de ancho de banda de los operadores.

 

En la red MAN: defiende contra los ataques DDoS en la red MAN local de otra red MAN y garantiza la disponibilidad del ancho de banda de la red MAN. Los nodos donde convergen los servicios de los clientes VIP proporcionan una operación segura y servicios de valor agregado para garantizar el ancho de banda y la seguridad de los recursos / servicios de los clientes.

 

Implementación fuera de línea u off-line en un IDC: garantiza que los servidores confiables operen de forma correcta, protege profesionalmente los servicios HTTP, HTTPS, DNS y SIP y brinda servicios de valor agregado

A la salida de una red empresarial: garantiza los recursos de ancho de banda de la red empresarial y asegura los servidores de aplicaciones.


Muchos clientes empresariales son propensos a ataque de tráfico DDoS con flujos por más de 10 Gbit/s (mayor que el ancho de banda de enlace de los clientes), lo que provoca la congestión de la red MAN. La red troncal del operador debe detectar y eliminar el tráfico de ataque y defenderse de un gran volumen de tráfico de ataque de la capa de transporte y de la capa de aplicación de Internet para garantizar la conectividad de enlace en la red MAN.

 

La salida de una red empresarial debe defenderse contra los ataques de intranet y extranet, especialmente los ataques de la capa de transporte y la capa de aplicación. Un pequeño volumen de tráfico de ataque en la capa de aplicación, como el tráfico de ataque SSL-DoS / DDoS, el tráfico de ataque lento HTTP / HTTPS y el tráfico de ataque de pérdida de caché dirigido al servidor DNS, tiene un impacto grave en las redes. Por lo tanto, los dispositivos de detección y limpieza deben implementarse para detectar el tráfico de la capa de aplicación en tiempo real.


Modo de implementación de la solución AntiDDoS

La solución AntiDDoS se puede implementar en modo en línea o fuera de línea.

 

Despliegue en línea o in-line

En los escenarios, la conexión en red es simple y no se requieren interfaces adicionales. Además, los dispositivos de defensa pueden monitorear el tráfico bidireccional en tiempo real. Por lo tanto, el despliegue en línea tiene ventaja sobre el despliegue fuera de línea en términos de defensa contra ataques específicos. Debido a que todo el tráfico pasa a través del mecanismo AntiDDoS, el mecanismo AntiDDoS debe tener una alta confiabilidad para garantizar la identificación correcta del tráfico y evitar puntos únicos de falla.

 

Solo los Cleaning Devices deben implementarse entre la puerta de enlace y el firewall en escenarios de implementación en línea. Además, se requiere la tarjeta de derivación para garantizar que el tráfico del servicio pueda pasar si los Cleaning Devices fallan, lo que mejora la confiabilidad. Para más detalles revise Ejemplo de aplicación de la solución AntiDDos 1800: Defensa de redes empresariales.



2


Despliegue fuera de línea u off-line

 

Si los dispositivos AntiDDoS necesitan p:r:o:cesar un gran volumen de tráfico, el rendimiento del dispositivo se deteriora y la inversión en seguridad aumenta. La implementación en línea es difícil de implementar en redes de operadores debido a las complejas estructuras de red. Algunos proveedores de servicios requieren evitar interrupciones de enlace transitorias causadas por la implementación en línea.

 

La implementación fuera de línea u off-line se desarrolla para cumplir con los requisitos de los proveedores de servicios. A diferencia de la implementación en línea, la implementación fuera de línea evita que se modifique la red existente. El cambio de dirección del tráfico, el desvío del tráfico, las tecnologías de inyección de tráfico se utilizan para controlar las tendencias del tráfico y p:r:o:cesar  el tráfico anormal.

 

Los escenarios de implementación de fuera de línea se clasifican en escenarios de implementación de Cleaning Devices separados (para más detalles, consulte Ejemplo de aplicación de la solución AntiDDos 1800: Defensa IDC y escenarios de asociación de dispositivos de detección y limpieza.


3


Asociación de dispositivos AntiDDoS

El despliegue de la asociación asocia dispositivos de detección y limpieza a través del centro de gestión ATIC. Después de detectar tráfico anormal, el dispositivo de detección lo informa al centro de gestión de ATIC. El centro de gestión de ATIC entrega la tarea de desvío de tráfico al Cleaning Device. El Cleaning Device completa el desvío del tráfico, la eliminación y la inyección. La asociación de dispositivos AntiDDoS se clasifica de la siguiente manera:

 

Asociación entre los dispositivos de detección y limpieza.

El dispositivo de detección utiliza las tecnologías de detección de paquetes basadas en aplicaciones para identificar exactamente el tráfico normal y elimina varios tipos de tráfico anormal, incluido el tráfico de ataque de tráfico, el tráfico de ataque de la capa de aplicación, el tráfico de ataque de exploración y rastreo y el tráfico de ataque de paquete con formato incorrecto. El retraso de detección de ataque es corto. La tecnología SA se aplica ampliamente a redes de operadores, redes empresariales e IDC. Para más detalles, vea

Ejemplo de aplicación de la solución AntiDDos 1800: Defensa de organización financiera.



Asociación entre Netflow y Cleaning Devices.

Debido a la relación de muestreo relativamente grande y las limitaciones de Netflow, la tecnología de detección de tráfico de Netflow se aplica a la detección de tráfico pesado, no a la detección de tráfico ligero. Debido a que los dispositivos Netflow se implementan en la mayoría de las redes troncales y MAN, el costo para implementar la asociación entre Netflow y los Cleaning Devices es bajo. El modo de implementación se aplica a las redes MAN y las redes troncales para defenderse de los ataques de tráfico. El desvío de tráfico dinámico se usa en la mayoría de los casos y tiene un retraso de detección más largo que el desvío de tráfico estático. Para más detalles, vea

Ejemplo de aplicación de la solución AntiDDos 1800: Defensa MAN.

.


Centro de gestión de ATIC

En la solución AntiDDoS, el servidor de recolección y administración en el centro de administración de ATIC admite modos de implementación distribuidos y centralizados.

 

La implementación centralizada significa que el servidor de recopilación y administración está instalado en el mismo servidor y se aplica a escenarios que tienen dispositivos AntiDDoS implementados en la misma LAN. Un servidor de administración y un colector administran múltiples dispositivos AntiDDoS.

 

La implementación distribuida significa que el servidor de recopilación y administración está instalado en diferentes servidores y se aplica a escenarios que tienen dispositivos AntiDDoS implementados en una WAN. Un recolector administra el mecanismo AntiDDoS y un servidor de administración administra 20 dispositivos de detección o limpieza y 20 recolectores de datos.

 

Saludos.

 

FIN                                   

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión