今天早上,同事们都在转发《深信服CDP-对勒索病毒说no》的视频,视频演示了深信服CDP对中毒业务系统中重要文件的完美恢复,视频链接在此:https://v.qq.com/x/page/y0893tfo73k.html
然鹅,
当我在厕所观看完这个视频后,八个大字飘在头上“卧槽、天下武功 殊途同归”!
让我们把时间拉视频的3′10s,LIS系统保持着网络链接,却没有感染病毒?
这到底是为什么?
原来是因为该系统部署了分部式防火墙,通过分布式防火墙隔离了虚拟机的东西向流量传播的端口,而只放通某些特定业务需要的端口,如和LIS业务相关的流量。
实现这个效果的前提是业务流量使用了特定端口,那如果病毒使用常用端口进行传播怎么办?视频里面给出了一种方法是结合深信服EDR和分布式防火墙。
至此,上面提到的功能与我说的“天下武功殊途同归”没有半毛钱关系,
现在我们从虚拟层面跳到物理机层面,谈谈东西向流量防护在物理层面的接入交换机上能不能处理?该如何处理?
答案是:可以的!
那怎么做?
首先我们了解下传统厂商的接入层东西向流量防护的两大措施。
一、利用ACL封堵服务
如配置ACL封掉SMB服务(如wondows文件共享就是使用该协议,永恒之蓝病毒传播也是使用该协议的漏洞进行传播)。这种方式存在如下问题:
1、不知道放通了什么流量,如A访问了B,但是管理员并不知道;
2、一般接入层交换机的ACL表项少,封堵服务的数量有限;
3、用户不知道那些服务有风险,不清楚怎么关掉;
二、端口隔离
端口隔离也就是一刀切,关闭掉所有的服务。大多数情况下,IT部门可能不知道生产部门到底开通了那些业务,这种一刀切的方式,势必导致业务受损。
安视交换机如何做的?
下面有请安视交换机同学上场
嗯嗯,大家好,大家请坐。
这个嘛,也不难,我先放通所有服务,同时将东西向流量访问情况可视化,此时用户可以看到到底存在哪些服务,然后把这些服务拧出来进行放通,其他服务全部关闭。就像下面这个图。
那在平台侧长相如何呢?
平台,这就是厉害了。
1、所有服务详情及服务常使用的端口可视;
2、终端流量和服务访问日志可视;
3、内网安全状态可视;
这些可视化的界面,可以辅助IT管理员分析终端是否中毒,如A访问B看似是正常的,但同时A还访问了C、D、E,那基本可以判断,A中毒了,或者管理员要提高警惕了!
看起来好像很厉害的样子,
这些功能是如何做到的?
上这么多功能,交换机扛得住吗?
对转发性能有影响吗?控制器出了问题数据还能通吗?
首先我们要知道交换机其实是用芯片做转发,ACL功能也是芯片实现,而我们采用将关键流量镜像到控制器CPU,由CPU进行分析处理,决定是否方通,这是不会影响交换机转发性能的,同时就算控制器坏了,也只是安全功能丧失,不会影响数据的转发。
回过头来发现,深信服分布式防火墙和信锐安视交换机在东西向流量防护方面,还真是英雄所见略同啊!
价值点:
1、随着接入终端的越来越多,基于内网传播的高危漏洞(如永恒之蓝)层出不穷,大量利用这些漏洞的病毒(尤其是勒索病毒)在内网传播,对内网业务造成严重损失。安视交换机东西向流量防护功能帮助用户阻止病毒的传播,保护内网安全;
2、事实上,用户时想知道“到底谁在搞事的”,因为只通过阻断病毒传播而没有找出中毒设备,可能其他人通过U盘刚好插入到这台中毒设备,然后再通过U盘传播到其他终端。安视交换机流量可视化功能可帮助用户阻快速找出中毒设备,连根拔起!
3、等保2.0第三级安全要求中的安全计算环境中的入侵仿佛里面专门提到了“应关闭不需要的系统服务、默认共享和高位端口”结合深信服SIP,可以发现开启了不需要系统服务、共享和高危端口的终端,并列为风险跟踪,同时信锐安视交换机可以在交换机侧将这些不需要的终端服务、高危端口进行流量阻隔,以避免遭受到攻击危害。
写在最后,其实安视同学除了东西向流量安全防护功能之外,还有终端类型识别、端口可视化、网络质量可视化、配置可视化、安全联动等优势功能。
《全文完》