安全问题
Equinix Internet Access提供安全功能,可保护、检测和缓解各种类型的威胁。
远程触发的黑洞
在潜在的分布式拒绝服务 (DDoS) 攻击期间, Equinix会暂时将单个 IP 地址黑洞化,并将黑洞通告推送至北向 ISP。所有流向该 IP 地址的 IP 流量都将被丢弃。此操作可防止所有上游端口饱和,从而保护Equinix网络及其客户。如果通过Equinix FabricEquinix Internet Access Fabric 网络上的私有连接饱和。
当单个主机的流量和数据包速率超过预定义的限制,表明存在体积攻击时,这种触发会自动发生。一旦威胁被消除,在经过足够的时间后,其流量被阻断的客户将被恢复。
监测和通知程序
所有 Equinix 网络设备的所有Equinix网络监控系统 (NMS) 都会主动监控您的端口。监控过程包括以下步骤:
- 当端口出现任何不稳定情况时,NMS会自动向您和NOC发送电子邮件。
- 如果您的服务受到影响,请通知Equinix可以为您恢复服务。
- 对于BGP用户,该端口由Monolith和BGP监控。
- 对于VRRP用户,NOC会收到从主机到客户端口的成功切换通知。
Equinix使用 Cricket 监控上游提供商的可用性和带宽利用率。借助这些数据,我们可以识别上游传输提供商的任何中断情况并管理流量。
其他安全功能
Equinix Internet Access提供额外的安全支持:
- 自动互联网路由登记(IRR)过滤器的生成
- 丰富的边界网关协议(BGP)社区;按供应商和地区不做广告
- 从非路由地址空间转移-网络
为您的互联网接入服务增加安全性
客户可以采取额外的措施来保护他们的应用程序免受来自互联网的攻击。这些建议是可选的,并由你决定。
监控流量使用情况
客户应监控其网络流量,或针对突发的流量高峰设置警报。您可以通过访问客户门户中的“Equinix互联网接入流量使用情况”查看流量。如果源IP地址未知或流量类型可疑,则很可能是网络攻击。请联系支持以立即屏蔽该流量。
访问控制列表和日志监控
访问控制列表(ACL)是一个规则列表,指定哪些用户或系统被授予或拒绝访问某个特定对象或系统资源。如果你的流量主要是内部流量,地址和系统是已知的,这种策略是理想的。
此外,你应该监测日志中的可疑或未知行为。这是使你的控制清单保持最新的好方法。
防火墙
客户可以根据自身需求,从各种第三方防火墙方案中进行选择,从简单的网络防火墙到专用的应用程序防火墙,应有尽有。虚拟客户还可以利用Equinix Network Edge服务产品。
入侵检测和预防服务设备
使用Equinix主机托管相关产品的客户可以利用各种硬件和软件设备来防御 DDoS 攻击。这些用户可以根据自身需求选择容量和价格。如果您是拥有自有空间和硬件的主机托管客户,这种方法是理想的选择。
云安全供应商
通过云安全提供商,您可以轻松添加保护,无需部署任何硬件或软件。如果您拥有自己的可公开路由的 IP 地址,并拥有Equinix Internet Access,则此解决方案是可行的。