Word天！我定义了个“内融合式安全组合方案”你们帮看看

《实战录》导语

云端卫士《实战录》栏目本期分享人为云端卫士安全工程师陶涛，一起来看看他定义的“内融合式安全组合方案”到底是什么一回事？

随着“互联网+”时代的到来，我们的日常生活也不断的变化，曾经熟悉的东西，连上网就物联网，飞上天就变成云。但在大家享受其带来的便利时，传统的网络安全却受到巨大的挑战，当川普与希拉里正打的火热时，美国惨遭家用电器DDoS攻击，来了一次大断网。

攻击厉害在哪

随着互联网的蓬勃发展，服务器数量增大，手机、路由器、电视空调等都可能成为攻击来源。

硬件工艺的升级和普及，这些设备跑分可能都不低，攻击力不俗。

为啥之前都没事

来源种类少

在网络查找网络安全相关知识，配图几乎都是个人电脑和服务器。虽然个人电脑普及率在近些年高升，但毕竟电脑也算是家庭的大件家用电器。

所以攻击来源，基本就是个人电脑或服务器，攻击来源少，传统架构可有效防护。

能力门槛高

随着电脑应用的普及、技术的提高，网民安全意识的提升。对黑客的技术、资源都有较高要求，而有此能力的人缺少做黑客的动机。

在这种环境下，大规模的网络安全事故几乎消声觅迹。

传统防护方案

可能低估了黑客本事，也许过于依赖环境的约束，传统网络防护的结构并未有过较大改变。

提到网络安全，多少都要提到防护纵深，没有纵深的防护是不完善的。现有大多数网安产品，防护业务独立；纵深层次分明，但都是串起来各干各的，俗称“串糖葫芦式组合方案”。这种方案我们常面对以下面的问题。

执行效率低

经过的一个报文，数个功能模块、设备收上来、检查处理、发出去，做了大量重复工作；当遭受攻击的时候，处理时延较大，防护效果不够理想。

运行使用烦

Win7升Win10很多人一时都没适应过来，可想而知，操作一堆不同种类的防护设备是多么复杂，而出现问题还要分析日志、部署整体的防护策略。。。

升级拓展难

纵深层次分明，如抗DDoS在前排，waf在后排。拓展能力时资源分配困难，出现如waf能力加强，但仍被DDoS攻击打垮这种“头重脚轻”的情况。出现新型防护设备时，也难与融入之前的体系结构内。

“串糖葫芦式组合方案”，看起来大家都是顶尖高手，各司其职，但又“各怀鬼胎”，出了问题常互相推卸责任。而敌人来自世界各地各个行业，小到手机、摄像头，大到货车、邮轮，目标明确。

所以依托传统的防护解决方案，不易满足新的防护需求。

王婆卖瓜一下

通过美国被物联网攻击的案例，反思下云端卫士的纵深优势，拍脑袋定个名字“内融合式组合方案”。我们的各个防护功能动起来，互相帮助，降低上面问题的影响。

功能融合

在一台设备上即可做到纵深防御，方便了我们各个节点的部署，更提高了资源的利用率，针对不同的攻击流量，调整合适的资源分配。

但以往的多功能防护设备，多是以虚拟机为单位，通过虚拟交换机（如ovs）来做流量调度。本质上是将多台设备虚拟化，整合在一台设备内。外面看是一个，里面还是“串糖葫芦”。

防护处理并行化

要摆脱“糖葫芦”的束缚，流量调度不能依赖传统虚拟交换机，需要更高效的内部通道。我们借鉴了dpdk的无锁队列，配合共享内存为不同防护功能提供了交互通道。

转发方面参考了SDN的部分理念，报文引擎实现了基于IP和“策略标签”的转发机制。报文引擎也具备与SDN交换机协作的能力。

由于都在同设备内，数据的访问采用共享内存方式，不仅没有拷贝成本，还做到一份报文副本，多个安全功能进行检测。

因此，我们做到了防护任务动态编排，各防护功能并行化处理，以及出口流量的再调度。

防护功能组件化

作为运营商的合作伙伴，云端卫士重视NFV技术理念。但作为安全服务，业务对性能和系统环境都有较高要求，我们没有使用传统的虚拟化方案。

以虚拟机作为防护功能的载体，管理维护成本过大，性能损失也较严重；处理逻辑的并行化，内存的共享，违背虚拟机的隔离特性；操作系统定制，且运行环境可控，体现不出虚拟化的部署优势。

我们将每个防护功能，抽象为一个进程任务，资源也按进程为单位做分配规划。因此一台云端卫士设备，具有哪些防护能力，可以进行灵活的分配，启对应数量的进程即可。

依托架构的改进，一台云端卫士防护设备，可根据防护策略启用不同的安全能力（抗DDoS、WAF、漏扫等）。没有传统虚拟化的束缚，功能性能损耗降低、调度灵活、响应迅速。

做到了以上两点，在面对物联网的低级攻击（DDoS）时，我们可将防御战线前移，所有进程转为DDoS清洗服务，最大程度降低损失。

未完待续

关于上面的内容，更多是针对美国断网事件的反思。有人会想到技术难点，做WAF没协议栈怎么行？其实整个架构，是我们在做安全协议栈的过程中设计实现的。

不过篇幅有限，下次有机会将介绍下安全组件的开发、部署测试套件以及协议栈开放的API用例。

“云端卫士”是中盈优创资讯科技有限公司旗下的系列安全产品的主品牌，为客户提供全系列、一体化、可运营的安全产品，包括网络攻击追踪溯源系统、网络攻击检测分析系统、网络流量态势感知系统、安全威胁态势感知系统、安全运营支撑系统、分布式抗拒绝服务攻击系统等。