從深信服CDP 對勒索病毒說no到天下武功殊途同歸

2021-09-24 22:49:53 字數 2260 閱讀 5240

原來是因為該系統部署了分部式防火牆,通過分布式防火牆隔離了虛擬機器的東西向流量傳播的埠,而只放通某些特定業務需要的埠,如和lis業務相關的流量。

至此,上面提到的功能與我說的「天下武功殊途同歸」沒有半毛錢關係,

現在我們從虛擬層面跳到物理機層面,談談東西向流量防護在物理層面的接入交換機上能不能處理?該如何處理?

首先我們了解下傳統廠商的接入層東西向流量防護的兩大措施。

一、利用acl封堵服務

如配置acl封掉smb服務(如wondows檔案共享就是使用該協議,永恆之藍病毒傳播也是使用該協議的漏洞進行傳播)。這種方式存在如下問題:

1、不知道放通了什麼流量,如a訪問了b,但是管理員並不知道;

2、一般接入層交換機的acl表項少,封堵服務的數量有限;

3、使用者不知道那些服務有風險,不清楚怎麼關掉;

二、埠隔離

埠隔離也就是一刀切,關閉掉所有的服務。大多數情況下,it部門可能不知道生產部門到底開通了那些業務,這種一刀切的方式,勢必導致業務受損。

下面有請安視交換機同學上場

這個嘛,也不難,我先放通所有服務,同時將東西向流量訪問情況視覺化,此時使用者可以看到到底存在哪些服務,然後把這些服務擰出來進行放通,其他服務全部關閉。就像下面這個圖。

平台,這就是厲害了。

這些視覺化的介面,可以輔助it管理員分析終端是否中毒,如a訪問b看似是正常的,但同時a還訪問了c、d、e,那基本可以判斷,a中毒了,或者管理員要提高警惕了!

看起來好像很厲害的樣子,

這些功能是如何做到的?

上這麼多功能,交換機扛得住嗎?

對**效能有影響嗎?控制器出了問題資料還能通嗎?

首先我們要知道交換機其實是用晶元做**,acl功能也是晶元實現,而我們採用將關鍵流量映象到控制器cpu,由cpu進行分析處理,決定是否方通,這是不會影響交換機**效能的,同時就算控制器壞了,也只是安全功能喪失,不會影響資料的**。

回過頭來發現,深信服分布式防火牆和信銳安視交換機在東西向流量防護方面,還真是英雄所見略同啊!

1、隨著接入終端的越來越多,基於內網傳播的高危漏洞(如永恆之藍)層出不窮,大量利用這些漏洞的病毒(尤其是勒索病毒)在內網傳播,對內網業務造成嚴重損失。安視交換機東西向流量防護功能幫助使用者阻止病毒的傳播,保護內網安全;

2、事實上,使用者時想知道「到底誰在搞事的」,因為只通過阻斷病毒傳播而沒有找出中毒裝置,可能其他人通過u盤剛好插入到這台中毒裝置,然後再通過u盤傳播到其他終端。安視交換機流量視覺化功能可幫助使用者阻快速找出中毒裝置,連根拔起!

3、等保2.0第**安全要求中的安全計算環境中的入侵彷彿裡面專門提到了「應關閉不需要的系統服務、預設共享和高位埠」結合深信服sip,可以發現開啟了不需要系統服務、共享和高危埠的終端,並列為風險跟蹤,同時信銳安視交換機可以在交換機側將這些不需要的終端服務、高危埠進行流量阻隔,以避免遭受到攻擊危害。

寫在最後,其實安視同學除了東西向流量安全防護功能之外,還有終端型別識別、埠視覺化、網路質量視覺化、配置視覺化、安全聯動等優勢功能。

《全文完》

深信服面試

深信服面試python開發工程師,不得不說,這是最難的一次。小華為 果然名不虛傳。還想體驗一下加班到底有多嚴重,可是不給機會呀,可能是無緣吧!1.直接通過 進行連線 優缺點 使用這種方式進行字串連線的操作效率低下,因為python中使用 拼接兩個字串時會生成乙個新的字串,生成新的字串就需要重新申請記...

深信服python面試咋樣 面試深信服的感受

這篇文章是乙個學員寫的。一面 50分鐘左右 1.extern 用法 2.虛函式與純虛函式的區別 3.兩個浮點數如何做比較 4.結構體能直接使用memcmp比較嗎 5.printf如何實現可變參的 6.如果判斷單鏈表是否有環 如何判斷兩個單鏈表是否相交,如果找到相交節點。7.說說單鏈表和雙向鍊錶 8....

深信服筆試題

題很多,共8頁 1.sort int array,int n 排序,讓小於等於0的數放在左邊,大於0得數放在右邊,要求時間複雜度為o n 2.假設有1001個棋子,你和乙個人拿這些棋子,誰拿到最後乙個,算誰贏,每次只能拿1,2,4個棋子。你先出手,是否有把握必贏,如果沒有,說明為什麼。3.編寫ato...