联想网御主动云防御系统　整体力量去防护

【赛迪网-IT技术报道】信息安全威胁多样化和复杂化的趋势日益明显，现有单一的安全防护体系及被动的策略难以有效应对。联想网御集成所有已部署的病毒/攻击检测计算资源形成主动云防御系统，为用户提供高效的整体网络安全解决方案。

一、主动云防护系统示意图

二、基于安全设备云的安全防护

主动云防御系统主要包含3个部分：安全防护集群、安全检测集群、主动云防御服务器。安全防护集群由连接到主动云防护系统中的所有安全设备组成，负责从服务器下载并执行安全防护列表；安全检测集群主要由分布式部署的UTM、IPS、AVG等设备和恶意网站探测服务器组成，负责实时检测攻击、病毒、木马等恶意行为，并上传到服务器，安全检测集群中设备也可能属于安全防护集群；主动云防御服务器负责采集信息，并自动验证、归并为安全防护列表下发到安全防护集群。

整个系统工作流程可以划分为安全防护列表收集流程和安全防护列表过滤流程，其中，安全防护列表收集流程执行在恶意网站探测服务器、UTM、IPS、AVG设备群、主动云防御服务器上，具体工作流程如下：

恶意网站探测服务器采用网络爬虫的方式，遍历各个网站上的页面，并下载页面上链接指向的文件资源，然后利用商用病毒检测工具进行多重检测，如果在某个文件中检测到病毒，则把该文件对应链接的URL信息和病毒名称传送到主动云防御服务器。

AVG和UTM设备中的病毒检测模块，对通过该设备的网络流量进行分析和应用报文重组，然后进行病毒检测，如果发现病毒，则把该病毒对应的URL存入事件归并与关联模块中的事件队列中。最后定时向主动云防御服务器提交已归并的病毒名称、URL等信息。

AVG和UTM设备中的入侵检测模块，对通过该设备的网络流量进行协议分析和统计，判断该流量中是否包含入侵攻击行为，如果发现入侵攻击，则把该攻击对应的攻击名称、地址等信息存入事件归并与关联模块中的事件队列中。最后定时向主动云防御服务器提交已归并的入侵攻击名称、地址等信息。

主动云防御服务器收集上述3种病毒和攻击信息，首先进行合并，剔出重复冗余的信息，然后进行校验，剔出老化或失效的地址、误报信息、内部网络地址等无效信息，最后整理成包含病毒或木马的URL列表和发起攻击的地址和服务端口的安全防护列表。主动云防御服务器定时把该列表下发给所有云防护系统内的网关设备。

安全防护列表过滤流程包含两个部分：网关设备从主动云防御服务器上获取安全防护列表，并在经过该设备的流量中拦截针对恶意站点URL的资源请求，以及来自具有攻击企图的IP地址的网络访问。因为检查恶意站点URL所需要的计算和存储空间远小于检查整个文件是否包含病毒所用的资源，检查攻击企图IP地址所需要的计算和存储空间远小于检查整个报文是否包含入侵攻击所用的资源，所以，通过云防护系统，所有已部署的网关设备均具有病毒和攻击防护功能，用户网络信息安全可以得到最大化的保障。

三、基于全局和本地相结合的主动防护

在云防护架构的基础上，通过全局恶意网站扫描和本地网络系统漏洞扫描，整个系统实现了攻守兼备的主动防护功能。全局恶意网站扫描系统能主动搜索包含病毒的URL信息，并下发到各个设备中进行提前阻断。在本地，UTM、IPS、防火墙等产品均内置漏洞扫描功能，在部署时，可以通过针对用户关键服务器的主动漏洞扫描，完成用户安全状态评估，并根据用户环境自动生成安全防护列表。

四、系统价值

首先，主动云防御系统通过共享所有设备的检测能力，提高了对网络安全威胁的检测效率。对于整个系统而言，一个“挂马网页”仅需要完整检测一遍，整个网络中其他所有安全设备就会自动阻断该网页的下载请求。被检测到的网络威胁越多，设备中可以节省的安全就越多，形成良性循环，从而最终为用户提供更快的检测速度和更好的网络服务质量。

其次，主动云防御系统通过主动扫描本地漏洞和全局的病毒、木马网站，把病毒和入侵等安全防护由被动转变为主动。以入侵防护为例，传统的入侵防御功能必须要在包含入侵行为的数据报文部分或全部到达网关后，才能进行检测和阻断，主动云防御系统可以提前阻断对可能发起攻击的地址的网络请求。

最后，主动云防御系统整合了所有设备的检测能力，消除了安全检测的盲点，提高了整体安全性。和执行实时病毒扫描或攻击行为分析相比，下载并执行安全防护列表所占用的计算资源基本可以忽略，对于配置很弱的低端防火墙和性能要求严格的高端安全设备，都可以通过这个系统，获得病毒和入侵的防护能力。

五、总结

联想网御的云防御系统，利用云中广泛的信息反馈节点，大范围地跟踪安全风险，并将防护能力快速分发到各个防护节点，集合其全局和本地两种主动风险探测的功能，能够实现大范围的主动监控和防护，对各种威胁进行实时响应，最终加强了对网络攻击、病毒/木马、网络钓鱼等复杂网络威胁的响应能力，提高了用户的网络整体安全性。