揭秘旁路(lù)部署：網絡安全新策略(圖文(wén))

旁路(lù)部署是(shì)一(yī)種網絡安全策略，通(tōng)過"✘¶"将設備以特定方式接入網絡，對(duì)流量進行(xín"​β×g)統計(jì)、掃描或記錄，而不(bù)進行(xíngε  )轉發。其原理(lǐ)基于對(duì)交換機(jī$¥¶¶)流量的(de)鏡像，設備對(duì)鏡像過來(lái)的(de)☆≤✘數(shù)據進行(xíng)處理(lǐ)，實現(xiàn)™>≈☆安全防護功能(néng)。
在實際應用(yòng)中，旁路(lù)部署通(t↔∏$'ōng)常使用(yòng)網線将交換機(♣€ jī)的(de)接口與設備的(de)接口φ•Ω®連接。例如(rú)，将交換機(jī)的(de) e0 接口與設備的(♥↑de) e1 接口連接，設備以旁路(lù)模式部署在網絡中。此± ∞時(shí)，e1 為(wèi)設備的(de)旁路(lù)接​§口，e2 為(wèi)設備的(de)旁路(lù)控制(zhì)接口≥‍∞‌，e0 為(wèi)交換機(jī)的(de)鏡像接口。在本設備↕ ¥∑上(shàng)配置旁路(lù)模式之前，需要​✘φ(yào)在主幹網絡的(de)交換機(jī♠<)上(shàng)配置，使交換機(jī)通(tōng♠↕↔)過 e0 接口将網絡流量鏡像到(dào) e1 上(shà¥δng)，從(cóng)而使設備能(néng)夠對(duì) e€σ↑ 1 接收到(dào)的(de)流量進行(xíng)統計(j‍✘‌ì)、掃描和(hé)記錄。
以防火(huǒ)牆的(de)旁路(lù)↑'£♦部署為(wèi)例，一(yī)般部署在旁路(lα÷&ù)的(de)防火(huǒ)牆不(bù)帶阻斷功能(£≤néng)，僅對(duì)網絡中的(de)流量進行(xíng)✘δ€檢測，如(rú)發現(xiàn)入侵流量，可(kě)通↕↔ ₹(tōng)過向直路(lù)設備發送控制(zhì)報(bào)文(w₩×én)來(lái)進行(xíng)處理(lǐ)。對(duì)于僅有(y↓→‌ǒu)審計(jì)需求的(de)情況，旁路(lù)模式更加有(y←‌ǒu)效合理(lǐ)，因為(wèi)它不(bù)會(huì)♦"對(duì)網絡流量進行(xíng)轉發，&β‍γ同時(shí)網絡流量也(yě)不(bù)會(huì)受到(dào)設備本身₩™♣<(shēn)故障的(de)影(yǐng)響。♣φ
在等保 2.0 建設中，旁路(lù)部署也(yě)發揮了(le)重要(yào)§♣作(zuò)用(yòng)。例如(rú)，在等保∑↕≠'二級和(hé)等保三級場(chǎng)景中，采用(yòng)旁路(lù)部&←署的(de)等保一(yī)體(tǐ)機(jī)解₹✔決方案，不(bù)改變用(yòng)戶原有(yǒu)網絡拓撲結 ↓構，內(nèi)置合規模闆，覆蓋多(duō)個(gè)控制≈↔(zhì)點，通(tōng)過安全網元組件(jiàn)↕∏實現(xiàn)南(nán)北(běi)向和(£δ‌hé)東(dōng)西(xī)向安全防護，滿足不(>π₩®bù)同等級的(de)安全防護需求，且多(duō)個 φ(gè)安全網元組件(jiàn)整體(tǐ)交付，安全組網、統一π★β↓(yī)運維更簡單便捷。

二、旁路(lù)部署的(de)應用(yòng)場(chǎng→€σ✔)景

（一(yī)）審計(jì)場(chǎng)景

旁路(lù)部署非常适用(yòng)于對(duì)網♦✘絡流量進行(xíng)審計(jì)。例如(rú)，在企業(yè)網絡中，A☆ ‌C/SG 旁路(lù)模式主要(yào)用(yòng)于将交換機(jī)流量鏡€'像到(dào)設備上(shàng)，設備通(t✘± ±ōng)過鏡像過來(lái)的(de)數(shù)據進行(xíng)審計(∞₩♥☆jì)。在這(zhè)種模式下(xià)，可(kě)以實現(xiàn)用(y₽§♣×òng)戶認證、流量和(hé)行(xín 'Ωg)為(wèi)的(de)審計(jì)、基于 TCP$₽α 應用(yòng)的(de)上(shàng)網權限策略、移動♠₩€終端管理(lǐ)（終端識别）、終端提醒功能(n>γ★éng)、準入功能(néng)、跨三層識别 MAC 等功能(n∑↔εéng)。
數(shù)據庫審計(jì)也(yě)常♠≠≤®采用(yòng)旁路(lù)部署方式，所有(yǒu)​γφ訪問(wèn)數(shù)據庫的(de)流量∑©被鏡像到(dào)審計(jì)系統進行(xíng)分(fēn)析數(shù)•£據包，審計(jì)系統能(néng)夠實∑←ε時(shí)監控所有(yǒu)訪問(wèn)數(shù)據庫的₩>✔(de)行(xíng)為(wèi)，包括用(yòng)戶的(d∞‌e)登錄、查詢、插入、更新和(hé)删除等操作(zuò)，并記錄每一(yī)次₹£數(shù)據庫操作(zuò)的(de)詳細信息，為(wèi)後續的(de)±¶安全分(fēn)析和(hé)追溯提供基礎。同時(shí)←€，數(shù)據庫審計(jì)系統還(hái)能•σ→×(néng)根據審計(jì)要(yào)求，導出符合标β₽準的(de)安全審計(jì)報(bào)表，有(yǒu)助¶★§于企業(yè)滿足法規要(yào)求和(hé)內(nèi)部審計(↓↔jì)工(gōng)作(zuò)。

（二）防護場(chǎng)景

旁路(lù)部署在不(bù)改變網絡環境的(de)情況下(xià)，能( αnéng)夠實現(xiàn)防護功能(néng)，避免設備對(♦♠duì)網絡造成中斷風(fēng)險。比如(rú)防火(huǒ)牆設備旁路×&(lù)部署，內(nèi)網接三層交換機(jī)，配置防火₹ (huǒ)牆設備能(néng)夠對(duì)服務¶→器(qì)進行(xíng) IPS 防護、WEB∏Ω< 應用(yòng)防護以及防止敏感信息的(de>γ)洩露。将設備接在交換機(jī)的(de)鏡像口，保證外(wài)網用(y÷✔>±òng)戶訪問(wèn)服務器(qì)的(de)數(shù)據經過此交換機(®<£₩jī)，并且設置鏡像口的(de)時(shí)候需要(y£&¥βào)同時(shí)鏡像上(shàng)下(xià)行(xín÷'₹≤g)的(de)數(shù)據，從(cóng ≠)而實現(xiàn)對(duì)服務器(qì)的(de₩"♠ )保護。
在網絡入侵防護系統中，旁路(lù)部署可(kě)采™₩★×用(yòng)不(bù)影(yǐng)響業(yè)務 λ的(de)同時(shí)，提供雙向流量逐包檢測，γ φ↔通(tōng)過向源 IP 和(hé)目的(de) IP ‌​λ發送 RST 包幹擾網絡鏈接，達到(dào)對(duìε&•×)攻擊 IP 的(de)阻斷效果。對(duì)于一(yī)些↑$÷(xiē)在日(rì)常運維期間(jiān)出®< $現(xiàn)的(de) 0Day、1Day 以及 CVE 漏洞，§♠旁路(lù)部署的(de)防護系統可(kě)提✔¶≤‍供部分(fēn)七層防護能(néng)力，先攔截阻斷再推進修複☆→，臨時(shí)緩解漏洞影(yǐng)響，保障業(yè)務系統安 ✔>£全。此外(wài)，針對(duì) IPv6 時(sh&λα∏í)代的(de)秒(miǎo)撥 IP 攻擊，旁路(lù)α★©σ部署的(de)防護系統可(kě)通(tōng)過 AI+算δ♦(suàn)法聚合分(fēn)析攻擊指紋，構  ✘Ω建精準防護模型，識别并封禁如(rú)薅羊毛等秒(miǎo)撥 IP♥₩ 攻擊。

三、旁路(lù)部署的(de)工(gōng)作(zuò)原理(lǐ) ∏ ♦

路(lù)部署通(tōng)過将設備與交換機(jī)連接，接收鏡像流量，從♣‍¥ (cóng)而實現(xiàn)對(duì)網絡流量的(de)統™÷計(jì)、掃描或記錄。在這(zhè)個(gè)過程中，設備并不γ∞(bù)對(duì)流量進行(xíng)轉發，因此不(bù)會(huì↓π₹↑)對(duì)網絡的(de)正常運行(xíng)造成影(yǐng)響。
以華三防火(huǒ)牆旁路(lù)部署為(wèi)例，防火"φσ(huǒ)牆通(tōng)過子(zǐ)接口形式與交ε♠×$換機(jī)連接。當網絡流量經過交換機(jī)時(shí)，交換機(jī)← λα将流量鏡像到(dào)防火(huǒ)牆的(de)接口上(shàng)。↔♥ε防火(huǒ)牆接收到(dào)鏡像流量後，利用(yò♦ ng)安全策略對(duì)流量進行(xíng)分(fēn)析。如(rú)Ω¶± 果發現(xiàn)異常流量，可(kě)以通(tōng)過向直路₩₩(lù)設備發送控制(zhì)報(bào)文(wén)來(lái)進行(x≥♠↕íng)處理(lǐ)。
在實現(xiàn)旁路(lù)部署的(de)過‌$程中，可(kě)利用(yòng) NQA+track 等技(jì)術(sh≥"♠>ù)實現(xiàn)故障時(shí)的(de)路(lù)由切換，确保網φ↕§&絡穩定性。例如(rú)，在華三防火(huǒ)牆旁路(lù)部署中，通(t×☆☆ōng)過設置 NQA（網絡質量分(fēn)析）來(lái)監測網絡的®​(de)狀态。當 NQA 檢測到(dào)下(xià)一(yī)跳φ✘(tiào)不(bù)可(kě)達時(shí)，通↔♥(tōng)過 Track 通(tōng)知(zhī)靜(j₹ε↕ìng)态路(lù)由模塊該監測結果，以便靜(jìn±λ ₩g)态路(lù)由模塊将該條路(lù)由置為(wèi)無效€α​，确保報(bào)文(wén)不(bù)再通(tōng)過該靜(jìng)☆≠ε态路(lù)由轉發。同時(shí)，寫一(yī)條備用(yòn♦•>g)的(de)路(lù)由優先級略低(dī)，當↕¶↕π主路(lù)由出現(xiàn)故障時(sh€®δ í)，備用(yòng)路(lù)由可(kě)以∑≈自(zì)動接管，保證網絡的(de)正常運行→↓↑(xíng)。
此外(wài)，在旁路(lù)部署中，還(hái)可(kě)&↓$以通(tōng)過設置訪問(wèn)控制(zh♣•ì)列表（ACL）、密鑰認證等方式來(lái)提高(g↑®§āo)網絡的(de)安全性。例如(rú)，企業(yè)可(kě)以采≥∏£用(yòng) ACL 的(de)方式來(lái)限制(zhì)←≈ OSPF 路(lù)由器(qì)之間(jiān)的(de)互聯↔☆​，阻止未經授權的(de)路(lù)由器(qì)進入網絡，£≥₽★有(yǒu)效減少(shǎo)旁路(lù)部署中¶<的(de)安全風(fēng)險。
總之，旁路(lù)部署通(tōng)過接收鏡像流量，結合多(duō)種技(j£☆£↔ì)術(shù)手段，實現(xiàn)了(le)對(duì)₽ε網絡流量的(de)有(yǒu)效管理(lǐ)和(hé)安全防>‌護，同時(shí)确保了(le)網絡的(★'de)穩定性和(hé)可(kě)靠性。

四、旁路(lù)部署的(de)優點

（一(yī)）靈活方便

旁路(lù)部署模式部署起來(lái)極為(wèi≥¥<>)靈活方便。這(zhè)主要(yào)是(shì★→)因為(wèi)它隻需要(yào)在交換機(jī)上(sh©×Ωàng)面配置鏡像端口即可(kě)實現(xiàn)對(duì)網§♥★≤絡的(de)監控等功能(néng)。與串聯模式不(bù)同，★π€串聯模式通(tōng)常要(yào)作(zuò)∏€>為(wèi)網關或者網橋，這(zhè)就(jiù)需要(yào)對(d✔↓σσuì)現(xiàn)有(yǒu)網絡結構進行(xíng)變動，→$♣而這(zhè)種變動往往較為(wèi)複雜(zá)，可(kě>≥)能(néng)涉及到(dào)多(duō)個(gè)設備的(de)調整和(h§↔ ☆é)重新布線等工(gōng)作(zuò)。相(xiàn™γg)比之下(xià)，旁路(lù)部署無需進行(xíng≥↕π)如(rú)此大(dà)規模的(de)網絡結構調整，大(dà)大(dà)∏∏↕降低(dī)了(le)部署的(de)難度和(hé)成本。

（二）無網絡延時(shí)

旁路(lù)模式在分(fēn)析數(shù)據時(shí)，是(shì)π®對(duì)鏡像端口拷貝過來(lái)的(de)數(shù)據進行(xí∏∑&ng)處理(lǐ)，這(zhè)就(jiù)意味著(z​₹₩‍he)對(duì)原始傳遞的(de)數(shù)據包不(bù)會(huì)造®₩成延時(shí)，從(cóng)而不(bù)會(huì)對★₹ >(duì)網速造成任何影(yǐng)響。在串聯模式中，所有(yǒ≈€☆∞u)的(de)數(shù)據必須先經過監控系統，經過γ<®✔監控系統的(de)分(fēn)析檢查之後，才>γ能(néng)夠發送到(dào)各個(gè)客戶端，這(zhè'δ​$)個(gè)過程會(huì)對(duì)網速有(yǒu)β≠≠一(yī)定的(de)延時(shí)。例如(rú)÷★，在一(yī)些(xiē)對(duì)網絡實時(shí)性要(yà"•∞o)求較高(gāo)的(de)場(chǎn'πg)景，如(rú)在線遊戲、視(shì)頻(pín)會(hu↓£•ì)議(yì)等，旁路(lù)部署的(d♦¥δ•e)優勢就(jiù)尤為(wèi)明(míng±ε)顯。沒有(yǒu)網絡延時(shí)可(kě)以确♥→×保這(zhè)些(xiē)應用(yòng)→​的(de)流暢運行(xíng)，提升用(yò "♠ng)戶體(tǐ)驗。

（三）故障無影(yǐng)響

旁路(lù)監控設備一(yī)旦故障或者停止運行(x‍ φ↓íng)，不(bù)會(huì)影(yǐ↔≥≠ng)響現(xiàn)有(yǒu)網絡的(de)正常運行(xíng)。這(z‍γ¥hè)是(shì)因為(wèi)旁路(lù)設φ¶備隻是(shì)在網絡的(de)邊緣進行(x↑γ≠íng)監聽(tīng)和(hé)分(fēn)析，并不(bù)參與網絡的 βλ(de)核心數(shù)據傳輸。而串聯監控設備如(rú)果出現(xiàn)✔®故障，會(huì)導緻網絡中斷，形成網絡單點故障。在實際的(de)網絡環境< ♠中，網絡的(de)穩定性至關重要(yào)。旁路(lù)部署的(d→♠☆e)這(zhè)一(yī)優點可(kě)以有(yǒu)效降低(§♥dī)因監控設備故障而導緻的(de)網絡中斷風(fēn'εg)險，保障網絡的(de)持續穩定運行(xí≥βng)。例如(rú)，在企業(yè)的(δ&​de)關鍵業(yè)務系統中，網絡的(de)中斷可(kě)能(néng)✘↑±會(huì)導緻嚴重的(de)經濟損失和(± €hé)業(yè)務停滞，旁路(lù)部署可(kě)以在一(yī)定程度上(sh¶π≈àng)避免這(zhè)種風(fēng)險。

墨者安全 防護盾
墨者安全作(zuò)為(wèi)專業(yè)↕₽φ級别安全防護專家(jiā)，在應對(duì) Webshell ™♣≥∑風(fēng)險隐患方面展現(xiàn)出了≠×☆(le)卓越的(de)能(néng)力。其擁有(yǒu)♥>‌全面的(de)檢測機(jī)制(zhì)，能(ε≥néng)夠精準識别 Webshell 的(d®₩♠≥e)各種類型和(hé)變體(tǐ)，無論€₽是(shì)複雜(zá)的(de)大(dà)馬，還(hΩ♥ái)是(shì)隐蔽的(de)內(nè≈÷i)存馬，都(dōu)難逃其敏銳的(de)監測。
墨者安全防護盾具備強大(dà)的(de)實時(shí)監控功能(nénλΩg)，對(duì)服務器(qì)的(de)各項活動進行(xíδ​≥ng) 7*24 小(xiǎo)時(shí)不(bù)間(jiā♣€★n)斷的(de)監視(shì)。一(yī)旦發現(xiàn)任何可(kě)Ω←γ&疑的(de) Webshell 活動迹象'™"，立即發出警報(bào)，并迅速采取隔離(∑∑♣lí)和(hé)清除措施，将風(fēng)險扼殺在萌芽狀态。
在防護策略上(shàng)，墨者安全防護盾采用(yòng)了(le)多≈♦ £(duō)層次的(de)防禦體(tǐ)系。不(bù)僅能(néng)夠在網絡♥ ​層面阻擋外(wài)部的(de)惡意訪問(wèn)和(hé)★×"攻擊，還(hái)能(néng)深入系統內(nèi)部，‌¶∏δ對(duì)服務器(qì)的(de)文(wén)件(jià  ↔n)系統、進程等進行(xíng)深度檢查和(hé)保護，确保 Websφ•αhell 無法植入和(hé)運行(xíng)。
同時(shí)，墨者安全防護盾擁有(yǒu)快(kuài)速的(de)​φ☆應急響應能(néng)力。當 Webshell 攻擊事(shì)♠♦件(jiàn)發生(shēng)時(shí)，專業(yè)的(de)安γ>↓ 全團隊能(néng)夠迅速介入，進行(xíng)深入的(de)分•∏(fēn)析和(hé)處理(lǐ)，最大(dà)程‍> ♣度減少(shǎo)攻擊帶來(lái)的(de)損失，