网络和安全服务
网络和安全包括定制的网络解决方案或额外的安全层选项,包括托管防火墙和托管 DDoS 保护。有关更多信息,请参阅:
- Managed DDoS Protection
- Customer Connect
- Managed Firewall
- Managed Network Device
- Maintenance and Support – N&S
管理的DDoS保护
分布式拒绝服务(DDoS)攻击是指攻击者通过暂时或无限期地中断连接到互联网的主机的服务,使机器或网络资源无法向其目标用户提供。涌入受害者的流量来自许多不同的来源,因此不可能仅仅通过阻止单一来源来阻止攻击。在此类攻击中,它们试图阻止系统处理真正的用户请求,并导致服务不可用,从而造成收入损失和客户不满。
DDoS保护是企业必须设计和实施的首批安全控制功能之一,以抵御其数字基础设施、云应用程序、网站和其他服务上不断上升的安全威胁。
Equinix Managed DDoS Protection 服务可保护您的基础设施免受这些大规模 DDoS 攻击。该服务作为 Equinix Internet Access 服务的完全托管附加组件提供。Equinix Internet Access 在 Equinix IBX 数据中心提供卓越、弹性且低时延的单主机或多主机互联网连接。
我们的服务可保护整个子网,在英国几乎所有 Equinix IBX 数据中心均可提供。它以订购模式为基础,避免了内部部署 DDoS 检测和缓解设备的高昂成本(从数万英镑到数十万英镑不等)。
与基于云的反 DDoS 服务不同,我们的服务在您未受到攻击时不会产生额外的延迟,因此不会影响您的应用程序性能。只有当您受到攻击时,流量才会被重定向,从而确保在和平时期不会影响延迟。
它是如何工作的?
在入职过程中,您需要提供 IP 地址和用于接收通知的电子邮件地址,然后再对服务进行配置。
传入的互联网流量通过边界路由器进入 Equinix Internet Access 网络。连接至这些路由器的网络传感器持续扫描进入的流量,以识别 DDoS 攻击导致的不规则模式或流量的突然增加。在我们的网络传感器检测到攻击后的几秒钟内,流量就会从受影响的 IP 地址自动重定向到 DDoS 缓解基础设施。
DDoS 缓解基础设施会立即过滤掉所有异常流量,只将干净的流量转发到应用程序源。一旦 DDoS 攻击结束,这种转发就会自动停止。当我们发现您的基础设施受到 DDoS 攻击时,我们会通过电子邮件向您发送报告,其中包含攻击的所有详细信息。下图描述了 DDoS 缓解基础设施的架构。该基础设施可阻止非法流量使您的关键应用服务器超负荷运行,同时允许网络流量与您的最终用户进行往来。
Equinix Managed DDoS Protection 服务以 1 Gbps 或 10 Gbps 端口速度保护 Equinix Internet Access 连接。当与 Equinix 对等时,它可与标准的 Equinix 自有 IP 范围或用户自有的独立于提供商的地址空间 (PI) 结合使用。
购买单位
每月的托管 DDoS 保护费用基于分配给您要保护的 Equinix Internet Access 连接的物理端口,以及任何 /24 子网大小或更大的附加 IP 地址。
知识产权成本不断攀升
- 如果您使用 Equinix Internet Access,并且拥有小于 /24(256 个地址)的 IP 块,例如 /29s(8 个地址)或 /28s(16 个地址),然后随着时间的推移添加更多小块,我们会将它们全部考虑。
- 无论您是从小块开始逐渐增大还是从大块开始,如果总共达到或超过 /24 大小,都需要支付额外费用。
- 如果您最初请求 /24 块,自带 /24 或更大的块,或者有多个加在一起的块,这些情况都会涉及额外的费用。
另请参阅Equinix IP 分配。
| Product | Speed |
|---|---|
| Managed DDoS Protection | 1 Gbps (Single or Dual-port configurations) |
| Managed DDoS Protection | 10 Gbps (Single or Dual-port configurations) |
| Managed DDoS Protection (Add-on) | Additional /24 protected IP range (PI or PA type) |
| Managed DDoS Protection (Add-on) | Additional /23 protected IP range (PI or PA type) |
| Managed DDoS Protection (Add-on) | Additional /22 protected IP range (PI or PA type) |
附加选项意味着您需要先选择 1 Gbps 或 10 Gbps 基本服务。然后,您可以在订单中添加额外的 /24 IP 块(如果适用)。
托管 DDoS 保护的月费取决于两个主要因素:
-
物理端口 - 连接到您的 Equinix Internet Access 且需要保护的物理端口的数量。
-
额外 IP 地址 - 如果您的企业拥有比通常更多的互联网地址,无论是 Equinix 提供商分配的地址 (PA) 还是提供商独立分配的地址 (PI),您都可以付费保护这些地址。此选项适用于 256 个 IP 地址 (/24) 或更大的单个 IP 地址块。
客户连接
Customer Connect 满足您扩展您所在位置和Equinix数据中心之间的网络连接的需求。
提供的福利有:
- 您只需与一方合作,即可完成主机托管和数据中心的连接。
- 你有一个单一的联系点,这样在发生故障时,你就不会被各方互相指责所困扰。
- 我们将为您提供完整的服务包,其中包括从承运商分界点到您的机架或 IPS 的Cross Connect(如果需要)。
Equinix从各家运营商处批发购买连接并管理这些连接。您的位置通过 WAN 连接连接到Equinix数据中心。在Equinix数据中心内,如有需要,会在您的连接接入数据中心的点、您的机架或 IPS 平台之间安装Cross Connect(Cross Connect)。所有流程均在Equinix Managed Services的监督下进行。
服务变体
不同的实施变体描述如下。
服务水平协议 (SLA) 基于所选运营商的服务水平并与客户达成一致。
双重客户连接
双客户连接如下图所示,可在分支地点和 Equinix 之间提供冗余。我们尽最大努力确保这些连接在地理上相互分离,并在可能的情况下,遵循不同的路径。
与运营商就两个连接的维护达成协议,这最大限度地减少了同时发生故障和失去服务的机会。
地理位置分散的 Equinix IBX 数据中心
如果您想要与两个地理位置不同的Equinix数据中心建立冗余连接,则可以将站点之间的Metro Connect或Equinix Fabric结合起来。这样可以创建容错拓扑;如果其中一个 Customer Connect 连接发生故障,另一个 Customer Connect 将接管连接和流量,而Metro Connect或Equinix Fabric连接仍可到达另一个Equinix数据中心。具体解决方案由Equinix根据您的要求和选择实施。
选择
该服务的选项如表所示。
| Item | Standard Options | Comments |
|---|---|---|
| Capacity | 1, 8, 10, 16, 32, 40, 100 Gbps | Other bandwidths on request |
| Interface Equinix DC side | Long-range (SMF) | Other modes on request |
| Interface customer side | Long-range (SMF) | Other modes on request |
| Implementation | Single or redundant | 2x connections to geographically separated Equinix data centers on request |
限制条件
交付时间可能会受到客户所在地“网络内”可用性的影响。虽然我们有几家提供这些服务的首选运营商,但他们在远程(非 Equinix)站点的连接能力不在 Equinix 的控制范围内。
管理的防火墙
托管防火墙服务是Equinix Managed Services组合的一部分。该服务通过由合格的Equinix员工与客户协商后配置的防火墙规则集(过滤器)来保护 IT 基础设施。
通过托管防火墙服务, Equinix提供了在基础设施平台服务中购买可扩展防火墙功能和容量的可能性。这可以保护基础设施免受网络攻击,并防止数据落入不法分子之手。
防火墙属于网络防火墙,是一种网络安全系统,它根据预先确定的安全规则监控和控制传入和传出的网络流量。这套安全规则是事先与用户商定的。通过正确的规则集,防火墙可以在可信内部网络和不可信网络之间建立一道屏障。
Equinix Managed Services将防火墙作为 IPS 平台内的虚拟设备实现。这提供了一个面向未来、灵活且经济高效的解决方案,可根据所需的容量或功能进行调整。
该服务提供的一些好处包括:
- 使用最新的防火墙技术
- 由于按月计费,事先没有重大投资
- 除基本的下一代防火墙外,还可以选择功能许可证,例如高级威胁防护或完整的统一威胁管理
- 高可用性(基于服务水平)
如果用户有特殊要求,也可以根据特殊要求使用物理专用硬件。
下面重点介绍防火墙服务如何为 IPS 客户以及操作自己的硬件的主机托管客户运行。
服务变体
防火墙可根据用户所需的容量提供多种类型。我们提供各种尺寸,我们的专家可以为您推荐最符合您预期方案的选项。最大容量取决于所选的许可证和提供的功能。
当防火墙启用入侵防御功能时, Equinix会按照约定的时间表将相关的日志事件和/或报告转发给客户或客户系统。客户必须提供与日志接收方的连接,以便事件能够成功发送Equinix不提供安全运营中心 (SOC) 服务来对安全相关事件进行分类。
管理的网络设备
Equinix Managed Services提供专用的企业级网络设备,构成根据每位客户需求量身定制的解决方案的一部分。解决方案通常由Equinix Fabric、客户连接、 Equinix Internet Access、Metro Connect以及托管防火墙和/或网络设备组合而成。
使用案例包括:
- 云上坡道
- 混合/多云支持
- 弹性网络服务
- 对等和 BGP 管理
维护和支持
该服务的可用性水平如下表所示。
| Availability Level | Availability (%) |
|---|---|
| Network & Security Standard Level | 99.95%* |
*SLA仅适用于冗余配置
事件
事故参数
| Service Window | Availability |
|---|---|
| Incident Repair Service Window | 24x7 |
事件优先级排序
| Priority | Impact |
|---|---|
| Critical | The Service is completely unavailable |
| High | The Service is available with reduced functionality |
| Normal | The Service is available but a risk to service is evident |
| Low | Work or Change Request |
事故反应时间
| Priority | Performance of Work | Reaction Time |
|---|---|---|
| Critical | 24x7 | 0.5 Hours |
| High | 24x7 | 1 Hour |
| Normal | 9x5 | 8 Hours |
| Low | 9x5 | 16 Hours |
维护
预定的维护活动由 Equinix 变更管理部门在工作开始前至少两个星期宣布。
对于紧急维护, Equinix保留不遵守任何协议的权利。在上述情况下,可以立即安排紧急维护请求,并在维护进行时通知您。