从深信服CDP-对勒索病毒说no到天下武功殊途同归

今天早上，同事们都在转发《深信服CDP-对勒索病毒说no》的视频，视频演示了深信服CDP对中毒业务系统中重要文件的完美恢复，视频链接在此：https://v.qq.com/x/page/y0893tfo73k.html

然鹅，

当我在厕所观看完这个视频后，八个大字飘在头上“卧槽、天下武功 殊途同归”！

让我们把时间拉视频的3′10s，LIS系统保持着网络链接，却没有感染病毒？

                                                      这到底是为什么？

原来是因为该系统部署了分部式防火墙，通过分布式防火墙隔离了虚拟机的东西向流量传播的端口，而只放通某些特定业务需要的端口，如和LIS业务相关的流量。

实现这个效果的前提是业务流量使用了特定端口，那如果病毒使用常用端口进行传播怎么办？视频里面给出了一种方法是结合深信服EDR和分布式防火墙。

至此，上面提到的功能与我说的“天下武功殊途同归”没有半毛钱关系,

现在我们从虚拟层面跳到物理机层面，谈谈东西向流量防护在物理层面的接入交换机上能不能处理？该如何处理？

                                      答案是：可以的！

那怎么做？

首先我们了解下传统厂商的接入层东西向流量防护的两大措施。

一、利用ACL封堵服务

如配置ACL封掉SMB服务（如wondows文件共享就是使用该协议，永恒之蓝病毒传播也是使用该协议的漏洞进行传播）。这种方式存在如下问题：

1、不知道放通了什么流量，如A访问了B，但是管理员并不知道；

2、一般接入层交换机的ACL表项少，封堵服务的数量有限；

3、用户不知道那些服务有风险，不清楚怎么关掉；

二、端口隔离

端口隔离也就是一刀切，关闭掉所有的服务。大多数情况下，IT部门可能不知道生产部门到底开通了那些业务，这种一刀切的方式，势必导致业务受损。

安视交换机如何做的？

下面有请安视交换机同学上场

嗯嗯，大家好，大家请坐。

这个嘛，也不难，我先放通所有服务，同时将东西向流量访问情况可视化，此时用户可以看到到底存在哪些服务，然后把这些服务拧出来进行放通，其他服务全部关闭。就像下面这个图。

 

那在平台侧长相如何呢？

平台，这就是厉害了。

1、所有服务详情及服务常使用的端口可视；

2、终端流量和服务访问日志可视；

3、内网安全状态可视；

这些可视化的界面，可以辅助IT管理员分析终端是否中毒，如A访问B看似是正常的，但同时A还访问了C、D、E，那基本可以判断，A中毒了，或者管理员要提高警惕了！

看起来好像很厉害的样子，

这些功能是如何做到的？

上这么多功能，交换机扛得住吗？

对转发性能有影响吗？控制器出了问题数据还能通吗？

首先我们要知道交换机其实是用芯片做转发，ACL功能也是芯片实现，而我们采用将关键流量镜像到控制器CPU，由CPU进行分析处理，决定是否方通，这是不会影响交换机转发性能的，同时就算控制器坏了，也只是安全功能丧失，不会影响数据的转发。

回过头来发现，深信服分布式防火墙和信锐安视交换机在东西向流量防护方面，还真是英雄所见略同啊！

价值点：

1、随着接入终端的越来越多，基于内网传播的高危漏洞（如永恒之蓝）层出不穷，大量利用这些漏洞的病毒（尤其是勒索病毒）在内网传播，对内网业务造成严重损失。安视交换机东西向流量防护功能帮助用户阻止病毒的传播，保护内网安全；

2、事实上，用户时想知道“到底谁在搞事的”，因为只通过阻断病毒传播而没有找出中毒设备，可能其他人通过U盘刚好插入到这台中毒设备，然后再通过U盘传播到其他终端。安视交换机流量可视化功能可帮助用户阻快速找出中毒设备，连根拔起！

3、等保2.0第三级安全要求中的安全计算环境中的入侵仿佛里面专门提到了“应关闭不需要的系统服务、默认共享和高位端口”结合深信服SIP，可以发现开启了不需要系统服务、共享和高危端口的终端，并列为风险跟踪，同时信锐安视交换机可以在交换机侧将这些不需要的终端服务、高危端口进行流量阻隔，以避免遭受到攻击危害。

写在最后，其实安视同学除了东西向流量安全防护功能之外，还有终端类型识别、端口可视化、网络质量可视化、配置可视化、安全联动等优势功能。

                                                                           《全文完》