Приемы развертывания защитных систем Cisco.

Фирмы, которые производят развёртывание решения, в сфере защиты от ддос атак, Cisco Guard на узле, отвечающем за обработку данных, в основном производят установку и Cisco Anomaly Guard, и Cisco Traffic Anomaly Detector на базе коммутатора Cisco Catalyst серии 6500. Данный коммутатор фактически является начальной точкой приёма входящих запросов из глобальной сети.

При установке Cisco Guard в инфраструктуре сети провайдера связи, он сможет организовать защиту от ддос атак лишь связному каналу располагающемуся ниже. Эти сведения о нюансах развертывании решения Cisco Guard в инфраструктуре корпоративной сети, обязаны заставить специалистов в сфере информационной безопасности определить хватит ли мощности канала, идущего от узла, на котором развёрнуто оборудование Cisco, к оператору услуг, чтобы перенести ддос атаку. Этот канал связи по больше части имеет малую пропускную способность, что говорит об особой уязвимости перед ддос атакой. Ддос атаки, мощность которых измеряется в пределах от одного до нескольких Гб, способны за достаточно ограниченное время полностью запрудить связные каналы и вывести их в конечном итоге из строя. Компания Cisco советует при развертывании их оборудования в центре обработки данных компании применять связной канал мощностью от 500 Мб/с до 1 Гб.

Рассмотрим и остальные практические способы развертывания защитных компонентов Cisco внутри компании:

При определении входной полосы пропускания канала, вам следует осуществить анализ риска, который проявляется при невозможности использовать сервис. Если мощность дос атаки не превышает имеющуюся полосу пропускания канала, Cisco Anomaly Guard даёт возможность прохождения всего “законопослушного” трафика. Если мощность атаки больше допустимой полосы пропускания, Anomaly Guard лишь фильтрует трафик, который течёт по запруженному связному каналу. В этом потоке может абсолютно или практически отсутствовать легальный трафик. Вследствие этого, Anomaly Guard становится не столь эффективной защитой от ddos атаки.

Следует так же проверить способность вышестоящих устройств, применяемых для трансляции трафика на Cisco Anomaly Guard, справиться с тем объемом запросов, который сопряжен с защитой от дос атаки. Для этой цели хорошо подойдут коммутаторы Cisco Catalyst 6500 или маршрутизаторы Cisco 7600. Не следует применять в данной ситуации маршрутизаторы Cisco 7200.

Устанавливайте компонент защиты от атак Cisco Anomaly Guard как можно теснее с пределом сети. Anomaly Guard производит защиту от ддос атак только сегмента корпоративной сети, который находится до него. Поэтому его следует устанавливать как можно выше, чтобы осуществлять сброс нелегального трафика до появления у него способности влиять на инфраструктуру сети.