Cisco® Catalyst® 6500/Cisco 7600 路由器 Anomaly Guard 模块是一种用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的集成服务模块，它提供了功能强大且范围广泛的解决方案，可保护在线资源免遭海量分布式拒绝服务 (DDoS) 攻击的威胁。Cisco Anomaly Guard 模块能满足规模最大和要求最高的企业和电信运营商环境的性能及可扩展性需求，可实现前所未有的高水平保护，从而击溃当今日趋复杂的攻击。

一台Cisco Anomaly Guard 模块所提供的平台可以 Gbps 线速处理攻击流量。这种Anomaly Guard 模块采用了独特的“按需”部署模式，只会对地址指向目标设备或区域的流量进行转移和清除，而不会影响其他流量。在该模块之中，集成的多层防御机制可使 Anomaly Guard 模块识别和阻挡恶意攻击流量，而答应合法流量继续流向各自最初的目的地。甚至在毁灭性攻击的过程中，业务运作仍能继续而不会停顿。

在一个机箱中一起工作的多个Cisco Anomaly Guard 模块可逐步扩展规模而支持比单一模块快很多倍的速率，并可提供可轻松适应不断扩展的大型企业和电信运营商环境的可扩展解决方案。这种 Anomaly Guard 模块的多处理器架构支持未来的许可证软件升级，可增强和改进防御大规模攻击的性能。

发展中的 DDOS 攻击

今天的 DDoS 攻击比以往更加具有恶意性、破坏性和针对性。由恶意用户、敌意企业和敲诈勒索者针对特定站点或竞争对手而发起的这些攻击，能轻松绕过并突破最普通的防御机制。DDoS 攻击是由看起来合法的请求、极大量的僵尸来源和假冒身份（这就使我们几乎不可能识别和阻挡这些恶意流量）等构成的，这些攻击可导致受害者瘫痪并使其不能开展业务，从而导致每年成本损失高达上十亿美元—包括交易和客户的损失、声誉的损害和法律责任等。

Cisco Anomaly Guard 模块可提供针对所有类型 DDoS 攻击的防御，使企业能识别和阻挡恶意流量，而不会影响其要害任务和创造营业收入的运作。以获得专利的独特多验证过程 (MVP) 架构为基础的Cisco Anomaly Guard 模块，采用了高级异常识别功能，可结合高性能过滤功能来动态应用集成化来源验证和防欺骗技术识别和阻挡每个攻击流量，同时又答应合法流量通过（图 1）。结合直观图形界面，以及设计成能提供所有攻击活动的全面概况的广泛的多层监控和报告机制，Cisco Anomaly Guard 模块提供了保护业务运作的最全面的 DDoS 防御。

图 1. Cisco Anomaly Guard 模块 MVP 架构

工作原理

Cisco Anomaly Guard 模块仅仅是思科系统公司所提供的，保护大型企业、政府机构、主机托管中心和电信运营商免遭 DDoS 攻击的一整套检测和抵御解决方案的一部分。Cisco Anomaly Guard 模块提供了一种功能强大的可扩展解决方案，可使主机托管和电信运营商为其用户提供宝贵的代管 DDoS 保护服务。与思科 Traffic Anomaly Detector 模块（或能检测 DDoS 攻击的其他第三方报警系统）配合使用时，Anomaly Guard 模块可提供具体的每数据流攻击分析、识别和抵御服务，从而避免攻击导致网络和数据中心运行的中断。

当 Traffic Anomaly Detector 模块识别出一个潜在攻击时，它就会提醒 Anomaly Guard 模块开始进行动态转移，这就会使目的地指向目标资源的流量—且只会使该流量—改变方向，并进行检查和清除。所有其他流量会继续直接流向各自原来的目的地，这就提供了易于安装的低影响、高可靠和低成本解决方案。

转移后的流量会通过 Anomaly Guard 模块重新路由，在此过程中，它还会经过多层具体检查，从合法流量中识别和分离“坏的”流量。具体攻击分组被识别和清除，而“好的”流量则被转发到其原来的目的地，这就帮助客户保证了真的用户和真的流量永远都能通过，并可实现最高的可靠性。

配置与部署选项

Cisco Anomaly Guard 模块提供了两种截然不同的部署选项—集成模式和专用模式。

在集成模式中，在部署在数据中心并驻留在正常第三层数据路径之上的原有 Cisco Catalyst 6500 系列或 Cisco 7600 系列机箱内，需安装一个或多个Cisco Anomaly Guard 模块。当检测到攻击时，可疑流量会通过 Cisco Catalyst 底板被动态转移给 Anomaly Guard 模块来进行分析和清除，然后才会被转发给正常的下一个下游设备。

在专用模式中，Anomaly Guard 模块被安装在专用 Cisco Catalyst 6500 系列交换机或 7600 系列路由器—如安装在“清除中心”内—之中，其中，多个Cisco Anomaly Guard 模块可采用群集配置，以实现高容量保护。当在专用模式中检测到攻击时，被影响流量会采用所支持的任何 Cisco IOS® 软件路由协议，从上游交换机或路由器转移到专用 Cisco Catalyst 交换机。在专用机箱内，对于被交换治理引擎的路由过程所转发的转移后的流量而言，Cisco Anomaly Guard 模块就是下一跳，在这里，该流量被清洗，恶意流量被删除。Anomaly Guard 模块将合法流量送回到网络，该流量在此继续流向其最初目的地。

Cisco Traffic Anomaly Detector 模块也可安装在集成或专用模式中，从而施加一步或两步分组-捕捉过程（而非路由），来接收流量副本进行监控。

无论是在集成模式还是在专用模式中，当检测到攻击时，Anomaly Guard 模块一般就会启用，并在激活后启动转移过程。Anomaly Guard 模块实现这一目的的方式是，采用 Cisco Catalyst 机箱内的思科 Route Health Injection (RHI) 协议，在交换治理引擎中动态插入一个路由更新，使 Anomaly Guard 模块成为下一跳。在专用模式中，交换治理引擎中的路由过程一般配置成能将路由更新重新分发给上游设备。其他转移选项包括：操作员输入的路由更新或永久性静态路径。

应用

思科 DDoS 异常检测和抵御解决方案可通过多种不同拓扑结构来部署，可同时为企业和电信运营商环境提供服务（图 2–4）。

图 2. 企业或主机托管数据中心中的思科 DDoS 异常检测与抵御

图 3. 电信运营商环境中的思科 DDoS 分布式/边缘保护

图 4. 集中式运营商清洗中心的思科 DDoS 异常检测和抵御

特性与优点

多级验证

Anomaly Guard 模块的创新阻挡技术以思科独特的 MVP 架构为基础，提供了多个互动防御层次，可以无与伦比的准确性识别和阻挡所有类型的攻击。由基于成熟简况的异常识别引擎驱动的集成化动态过滤和主动验证技术，可实现针对所有类型攻击—乃至零日攻击—的快速自动保护。Anomaly Guard 模块可进行具体的每数据流分析和阻挡，能够以外科手术般的精确度阻断攻击流量，同时答应合法流量自由流动。

异常识别引擎采用包括完整的每数据流简况的正常行为基线，可定义与每种被保护资源具体相关的正常或预期行为。必要时，用户还可利用针对具体站点的自动学习来增强高度准确的缺省简况，从而为每个设备或区域定制简况。

另一个速率限制特性则提供了可阻挡和防御山洪暴发式攻击的可选抵御方案。其中还配备了静态过滤器，以 Berkeley Packet Filter 为基础并答应创建深度分组检查过滤器的综合性 Flex 过滤器，和迂回“白名单”过滤器。

Cisco Anomaly Guard 模块还具有“僵尸杀手”功能，它可防御所有类型和规模的攻击，包括那些由称为僵尸—这是当今最普遍和最难阻挡的 DDoS 攻击之一—的受影响计算机所发起的攻击。当部署在群集配置之中时，Anomaly Guard 模块能识别和阻挡几乎成千上万的僵尸，为防御最大规模的 botnet 攻击提供了前所未有的高水平保护。

多千兆性能

每个Cisco Anomaly Guard 模块均配备专用网络处理器，它以全千兆线速支持攻击分析和清除，更可防御大规模 DDoS 攻击，包括那些由受影响僵尸主机等分布广泛的攻击者所发起的攻击。

多个Cisco Anomaly Guard 模块可安装在同一个机箱之中，可逐步扩展分组每秒速率和僵尸防御功能—这些都足以保护最大型的企业和电信运营商环境免遭最严重攻击的威胁。这些模块还可采用群集配置，这样，无需专用负载均衡器就能保护一个资源或区域。

动态转移

Cisco Anomaly Guard 模块采用了一种功能强大的按需清洗模式。它不是象传统内嵌设备那样插入到正常数据路径之中；相反，它采用动态转移来自动改变地址指向受攻击的具体资源或区域的流量—且只改变该流量—的方向，进行进一步清洗。当怀疑存在攻击时，Anomaly Guard 模块会使用思科 RHI 协议在交换治理引擎路由表中插入路由更新，使 Anomaly Guard 模块成为目的地指向目标资源的任何流量的下一跳。

一旦目的地指向目标设备或区域的流量被清除且恶意分组被阻挡，合法流量就会被转发到各自的最初目的地，这可帮助确保任何要害请求都不会丢失。通过将被转移流量只限制到那些地址指向当前受攻击的资源或区域的流量，Cisco Anomaly Guard 模块就能实现资源利用率、透明性和可靠性最优的可扩展解决方案，从而满足最大型企业和电信运营商环境的需求。这种第三层插入配置还可实现更简单和低影响的安装，并可简化运行维护和故障排除。

多级监控和报告

Cisco Anomaly Guard 模块采用基于Web的直观 GUI，因此可简化政策定义、运行监控和报告生成等过程。

多个监控和报告级别可为网络运营商、安全治理员和客户提供具体的实时和历史信息（图 5）。攻击报告提供了每次攻击的具体信息，包括特点、被识别僵尸列表和所采取的具体行动等，因此可使安全专家审查和调整Cisco Anomaly Guard 模块安全政策。

同时，客户级历史汇总可使电信运营商轻松报告针对攻击的种类、持续时间和规模的成功保护。此外，互动模式可使用户在激活之前就审查和批准所推荐的行动和政策，必要时还可提供针对攻击响应的手动控制。

图 5. 多级监控与报告功能可提供实时和历史性能的具体视图

集成的优点

部署灵活性

安装在 Cisco Catalyst 6500 系列交换机或 Cisco 7600 系列路由器中的Cisco Anomaly Guard 模块将全面的DDoS 保护集成到了网络基础设施之中。这些模块可轻松安装在原有交换机或路由器之中，实现功能强大的 DDoS 保护服务在需要的地方和时间的部署，而不占用任何接口端口。还可部署高密度专用清洗设备或多服务安全交换机，可采用任何范围的机箱尺寸以及高可用性、直流电源和网络设备建造标准 (NEBS) 选项。异种机互操作性线卡可帮助确保媒体灵活性。利用交换治理引擎的一整套 Cisco IOS 软件路由和隧道协议支持，转移过程既可完全在机箱内进行，也可在多个设备之间进行。

可扩展性

当需要高容量保护时，可在一台交换机中安装八个模块，来支持快速扩展的大型环境。此外，Anomaly Guard 模块的多处理器架构和多个千兆背板接口将来还可支持许可证软件升级到每模块多千兆性能。

可靠性和高可用性

Cisco Anomaly Guard 模块通过配备强大的故障恢复保护功能的基于路由选择的动态转移，提供了功能强大的按需清洗架构。这一功能提供了优于传统内嵌解决方案的、主动抵御所需要的安装简便性、运行可靠性和透明性。此外，Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器可为 DDoS 硬化和高可用性选项提供控制平面监管。

拥有成本更低

鉴于这些模块与其他服务模块一起集成到 Cisco Catalyst 6500 系列交换机或 Cisco 7600 系列路由器之中，需要治理的设备更少了，运行成本也就降低了。此外，因为应用软件类似于设备应用软件，因此，可最大限度压缩培训成本。

小结

为电信运营商、主机托管中心和在线企业设计的Cisco Anomaly Guard 模块能做到任何其他 DDoS 抵御解决方案都做不到的事情—可帮助确保不间断的业务运作，甚至在发生最恶性攻击的情况下。这就意味着更强的竞争优势，从而实现了最宝贵的业务资产的高水平可用性和无与伦比的保护。