從深信服CDP 對勒索病毒說no到天下武功殊途同歸

原來是因為該系統部署了分部式防火牆，通過分布式防火牆隔離了虛擬機器的東西向流量傳播的埠，而只放通某些特定業務需要的埠，如和lis業務相關的流量。

至此，上面提到的功能與我說的「天下武功殊途同歸」沒有半毛錢關係,

現在我們從虛擬層面跳到物理機層面，談談東西向流量防護在物理層面的接入交換機上能不能處理？該如何處理？

首先我們了解下傳統廠商的接入層東西向流量防護的兩大措施。

一、利用acl封堵服務

如配置acl封掉smb服務（如wondows檔案共享就是使用該協議，永恆之藍病毒傳播也是使用該協議的漏洞進行傳播）。這種方式存在如下問題：

1、不知道放通了什麼流量，如a訪問了b，但是管理員並不知道；

2、一般接入層交換機的acl表項少，封堵服務的數量有限；

3、使用者不知道那些服務有風險，不清楚怎麼關掉；

二、埠隔離

埠隔離也就是一刀切，關閉掉所有的服務。大多數情況下，it部門可能不知道生產部門到底開通了那些業務，這種一刀切的方式，勢必導致業務受損。

下面有請安視交換機同學上場

這個嘛，也不難，我先放通所有服務，同時將東西向流量訪問情況視覺化，此時使用者可以看到到底存在哪些服務，然後把這些服務擰出來進行放通，其他服務全部關閉。就像下面這個圖。

平台，這就是厲害了。

這些視覺化的介面，可以輔助it管理員分析終端是否中毒，如a訪問b看似是正常的，但同時a還訪問了c、d、e，那基本可以判斷，a中毒了，或者管理員要提高警惕了！

看起來好像很厲害的樣子，

這些功能是如何做到的？

上這麼多功能，交換機扛得住嗎？

對**效能有影響嗎？控制器出了問題資料還能通嗎？

首先我們要知道交換機其實是用晶元做**，acl功能也是晶元實現，而我們採用將關鍵流量映象到控制器cpu，由cpu進行分析處理，決定是否方通，這是不會影響交換機**效能的，同時就算控制器壞了，也只是安全功能喪失，不會影響資料的**。

回過頭來發現，深信服分布式防火牆和信銳安視交換機在東西向流量防護方面，還真是英雄所見略同啊！

1、隨著接入終端的越來越多，基於內網傳播的高危漏洞（如永恆之藍）層出不窮，大量利用這些漏洞的病毒（尤其是勒索病毒）在內網傳播，對內網業務造成嚴重損失。安視交換機東西向流量防護功能幫助使用者阻止病毒的傳播，保護內網安全；

2、事實上，使用者時想知道「到底誰在搞事的」，因為只通過阻斷病毒傳播而沒有找出中毒裝置，可能其他人通過u盤剛好插入到這台中毒裝置，然後再通過u盤傳播到其他終端。安視交換機流量視覺化功能可幫助使用者阻快速找出中毒裝置，連根拔起！

3、等保2.0第**安全要求中的安全計算環境中的入侵彷彿裡面專門提到了「應關閉不需要的系統服務、預設共享和高位埠」結合深信服sip，可以發現開啟了不需要系統服務、共享和高危埠的終端，並列為風險跟蹤，同時信銳安視交換機可以在交換機側將這些不需要的終端服務、高危埠進行流量阻隔，以避免遭受到攻擊危害。

寫在最後，其實安視同學除了東西向流量安全防護功能之外，還有終端型別識別、埠視覺化、網路質量視覺化、配置視覺化、安全聯動等優勢功能。

《全文完》