网络和安全服务
N&S 包括客户构建的网络解决方案或额外的安全层选项,包括托管防火墙和 DDoS 防护。
反DDoS
分布式拒绝服务(DDoS)攻击是指攻击者试图通过暂时或无限期地破坏连接到互联网的主机的服务,使一台机器或网络资源对其目标用户不可用。涌入受害者的流量来自许多不同的来源,这实际上使其不可能仅仅通过阻止单一来源来阻止攻击。在这种攻击中,他们试图阻止系统处理真正的用户请求,并导致服务不可用,导致收入损失和客户不满。
DDoS保护是企业必须设计和实施的首批安全控制功能之一,以抵御其数字基础设施、云应用程序、网站和其他服务上不断上升的安全威胁。
Equinix Anti-DDoS 服务可保护您的基础设施免受这些大规模 DDoS 攻击。它可作为Equinix Connect 的完全托管附加组件提供。 Equinix Connect在Equinix IBX数据中心提供卓越、弹性和低延迟的单宿主或多宿主互联网连接。
我们的服务保护整个子网,在爱尔兰的所有 Equinix IBX 数据中心均可使用。它以订阅模式为基础,避免了企业内部 DDoS 检测和缓解设备的高成本,这些设备的成本从几万到几十万美元不等。
与基于云的反DDoS服务不同,我们的服务在你没有受到攻击时不会产生额外的延迟,因此不会影响你的应用性能。只有在你受到攻击时,流量才会被重定向,确保和平时期的延迟不受影响。
它是如何工作的
在入职期间,你将提供你的IP地址和通知的电子邮件地址,之后服务将被配置好。
入站的互联网流量通过边界路由器进入 Equinix 网络。连接到这些路由器的网络传感器持续扫描传入的流量,以识别DDoS攻击导致的不规则模式或流量突然增加。在我们的网络传感器检测到攻击后的几秒钟内,流量会自动从受影响的 IP 地址重定向到 DDoS 缓解基础设施。
DDoS缓解基础设施会立即过滤掉所有异常流量,只将干净的流量转发到应用源头。一旦DDoS攻击结束,这种转发会自动停止。当我们发现你的基础设施受到DDoS攻击时,你将会得到通知,并通过电子邮件收到一份报告,其中包含关于攻击的所有细节。下面的图片描述了DDoS缓解基础设施的架构。该基础设施阻止非法流量使您的关键应用服务器超载,同时允许网络流量进出您的终端用户。
先决条件
Equinix Anti-DDoS 服务以 1 Gbps 或 10 Gbps 的端口速度保护 Equinix Connect 互联网连接。它可与标准的 Equinix 自有 IP 范围或用户自有的独立于提供商的地址空间 (PI) 结合使用,当与 Equinix 对视时。
服务限制
反DDoS服务旨在保护终端客户的IP范围免受入站的拒绝服务攻击。建议在一个单独的物理连接和IP范围内操作出站指定流量。
在攻击缓解的情况下,从受保护的IP范围向外发起的流量将在攻击期间停止运作。
购买单位
每月 AntiDDoS 费率基于受 AntiDDoS 保护的 Equinix Connect Internet 连接的物理端口和速度(1 Gbps、10 Gbps)。对于 Equinix 每月缓解的 DDoS 攻击数量,不收取额外费用。
| Product | Speed |
|---|---|
| Managed DDoS Protection | 1 Gbps |
| Managed DDoS Protection | 10 Gbps |
客户连接
客户连接满足您的需求,以扩展您所在地区与 Equinix 数据中心之间的网络连接。
提供的福利有:
- 在Equinix、主机代管和与数据中心的连接方面,您只需与一个当事方接触。
- 你有一个单一的联系点,这样在发生故障时,你就不会被各方互相指责所困扰。
- 为您提供完整的服务包,如果需要的话,从运营商的分界点到您的机架,提供交叉连接作为服务的一部分。
Equinix从各家运营商处批发购买连接并管理这些连接。您的位置通过 WAN 连接连接到Equinix数据中心。在Equinix数据中心内,如有需要,会在您的连接接入数据中心的点和您的机架之间安装Cross Connect) 。所有流程均在Equinix Managed Solutions的监督下进行。
服务变体
不同的实施变体描述如下。
服务水平协议是基于所选择的运营商的服务水平,并与客户达成一致。
单一客户连接
下面是一个单一客户连接的图示:
你将通过一个稳定的广域网连接保持与数据中心的联系,该连接通过运营商运行。
双客户连接
双客户连接如下图所示,可在分支地点和 Equinix 之间提供冗余。我们尽最大努力确保这些连接在地理上相互分离,并在可能的情况下,遵循不同的路径。
与运营商就两个连接的维护达成协议,这最大限度地减少了同时发生故障和失去服务的机会。
地理位置分散的 Equinix IBX 数据中心
如果您想与两个地理上不同的 Equinix 数据中心建立冗余连接,这可以与两个站点之间的 Metro Connect 结合。这就形成了一个容错的拓扑结构;如果一个 Customer Connect 连接出现故障,另一个 Customer Connect 会接管该连接和流量,而 Metro Connect 仍然可以到达另一个 Equinix 数据中心。具体解决方案由 Equinix 根据您的要求和选择来实施。
选择
该服务的选项如表所示。
| Item | Standard Options | Comments |
|---|---|---|
| Capacity | 1, 8, 10, 16, 32, 40, 100 Gbps | Other bandwidths on request |
| Interface Equinix DC side | LX or LR | Other modes on request |
| Interface customer side | LX or LR | Other modes on request |
| Implementation | Single or redundant | 2 connections to geographically separated Equinix data centres on request |
管理的防火墙
托管防火墙服务 (MFS) 是Equinix Managed Solutions网络和安全产品组合的一部分。该服务通过防火墙规则集(过滤器)保护 IT 基础设施,这些规则集由Equinix 的合格员工在与客户协商后进行配置。
通过 MFS,Equinix 提供了在基础设施平台服务中购买可扩展防火墙功能和容量的可能性。这可以保护基础设施免受网络攻击,防止数据落入坏人之手。
作为网络防火墙,这是一个网络安全系统,根据预先确定的安全规则监测和控制进出的网络流量。这套安全规则是事先与用户商定的。有了正确的规则集,防火墙在受信任的内部网络和不受信任的网络之间建立了一道屏障。
Equinix Managed Solutions将防火墙作为 MPC 平台内的虚拟设备实现。这提供了一个面向未来、灵活且经济高效的解决方案,可以根据所需的容量或功能每月进行扩展或缩减。
该服务提供的一些好处包括:
- 使用最新的防火墙技术
- 由于按月计费,事先没有重大投资
- 易于放大
- 除了基本的下一代防火墙之外,还可以选择功能许可,如入侵防御系统或完整的统一威胁管理。
- 高可用性(基于服务水平)
如果用户有特殊要求,也可以根据特殊要求使用物理专用硬件。
下面重点介绍防火墙服务如何为托管私有云客户以及操作自己的硬件的主机托管客户运行。
服务变体
防火墙可以根据用户要求的容量提供不同的类型。可用的类型有小型、中型和大型。提供的最大容量取决于所选择的许可证和其中提供的功能。
启用入侵检测/预防功能后,Equinix 将按照商定的时间表将相关日志和报告转发给客户。Equinix 不提供分流安全相关事件的安全运营中心 (SOC) 服务。
可用的许可证
下表包含了可用的许可证及其功能的列表。FW许可证是基线解决方案。
| License | Description | Functionality |
|---|---|---|
| FW Standard | Firewall | Firewall |
| Intrusion Protection (IPS) Option | Unified Threat Management | Firewall Application Control IPS Botnet IP/Domain Reputation 2-Factor Authentication Web Filtering |
每个许可证的最大容量
提供的最大容量取决于所选择的许可证。下表显示了每种类型的许可证的最大容量。
| Firewall Throughput (Gbps) | ||
|---|---|---|
| Type | FW License | IPS License |
| Small | 10 Gbps | 1 Gbps |
| Medium | 13 Gbps | 2 Gbps |
| Large | 20 Gbps | 3.6 Gbps |
也可以根据要求使用物理的、专用的硬件。
管理网络服务
Equinix Managed Solutions提供根据每位客户需求量身定制的专用网络解决方案。这些解决方案通常由Equinix Fabric、Customer Connect、 Equinix Internet Access、 Metro Connect以及托管防火墙/网络设备组成。
使用案例包括:
- 云上坡道
- 混合/多云支持
- 有弹性的网络服务。
- 对接和BGP管理。
维护和支持
可利用性
该服务的可用性水平如下表所示。
| Availability Level | Availability (%) |
|---|---|
| Network & Security Standard Level | 99.95%* |
| * SLA only available for Redundant setups |
事件
事故参数
| Service Window | Availability |
|---|---|
| Incident Repair Service Window | 24x7 |
事件优先级排序
| Priority | Impact |
|---|---|
| Critical | The Service is completely unavailable |
| High | The Service is available with reduced functionality |
| Normal | The Service is available but a risk to service is evident |
| Low | Work or Change Request |
事故反应时间
| Priority | Performance of Work | Reaction Time |
|---|---|---|
| Critical | 24x7 | 0.5 Hours |
| High | 24x7 | 1 Hour |
| Normal | 8x5 | 8 Hours |
| Low | 8x5 | 16 Hours |
维护
预定的维护活动由 Equinix 变更管理部门在工作开始前至少两个星期宣布。
对于紧急维护,Equinix 保留偏离任何协议的权利。在上述情况下,可以立即安排紧急维护请求,之后会通知您何时进行维护。