安全
Equinix Internet Access 提供安全功能,可对各种类型的威胁进行保护、检测和缓解。
远程触发黑洞服务
在潜在的分布式拒绝服务 (DDoS) 攻击期间,Equinix 会暂时屏蔽一个 IP 地址,并将该黑洞通告推送至北向 ISP。所有发往该 IP 地址的流量都将被丢弃。此举可防止所有上游端口被饱和,从而保护 Equinix 网络及其客户。此外,如果攻击发生在 Equinix Internet Access with Fabric 服务上,此举还能防止 Equinix Fabric 网络上的私有连接被饱和。
当单个主机流量和数据包速率超出预设限制,且其模式提示可能存在流量攻击时,系统会自动触发此限制。威胁消除后,经过足够长的时间,流量被阻止的客户即可恢复正常访问。
监控和通知流程
所有Equinix网络设备的端口都会在所有Equinix网络监控系统(NMS)中进行主动监控。该过程包括以下步骤:
- 当端口出现任何不稳定情况时,NMS 会自动向您和 NOC 发送电子邮件。
- 如果您的服务受到影响,您可以通知 Equinix。网络运营中心 (NOC) 可以为您恢复服务。
- 对于 BGP 用户,该端口由 Monolith 和 BGP 监控。
- 对于 VRRP 用户,NOC 会收到从主机端口成功切换到客户端端口的通知。
Equinix 通过 Cricket 监控上游供应商的可用性和带宽利用率。借助这些数据,我们可以识别上游传输供应商的任何中断并管理流量。
其他安全功能
Equinix Internet Access 提供额外的安全支持:
- 自动生成互联网路由注册表 (IRR) 过滤器
- 丰富的边界网关协议 (BGP) 社区;按提供商和区域进行非公开通告
- 来自非路由地址空间的传输网络
为您的互联网接入服务增加安全性
客户可以采取额外措施来保护其应用程序免受网络攻击。这些建议并非强制性的,您可以自行决定是否采纳。
交通流量监测
客户应监控其网络流量,或针对突发的流量高峰设置警报。您可以通过访问客户门户中的“Equinix互联网接入流量使用情况”查看流量。如果源IP地址未知或流量类型可疑,则很可能是网络攻击。请联系支持以立即屏蔽该流量。
访问控制列表和日志监控
访问控制列表 (ACL) 是一系列规则,用于指定哪些用户或系统可以访问特定对象或系统资源,哪些用户或系统可以拒绝访问。如果您的流量主要为内部流量,且地址和系统信息已知,则此策略非常理想。
此外,您还应该监控日志,以发现可疑或未知行为。这是保持控制列表最新状态的好方法。
防火墙
客户可根据自身需求,从各种第三方防火墙解决方案中进行选择,从简单的网络防火墙到专用的应用防火墙,应有尽有。虚拟客户还可以利用 Equinix 网络边缘服务。
入侵检测和防御服务设备
使用 Equinix 托管相关产品的客户可以利用各种硬件和软件设备来抵御 DDoS 攻击。这些用户可以根据自身需求选择合适的容量和价格。如果您是拥有自有空间和硬件的托管客户,这种方式尤为理想。
云安全提供商
通过云安全服务提供商,您可以轻松添加安全防护,无需部署任何硬件或软件。如果您拥有 Equinix Internet Access 提供的可公开路由的 IP 地址,则此方案可行。