2.1 传统安全解决方案

传统安全解决方案中的“传统”二字并不代表过时或老套。相反，传统安全解决方案是整个信息安全框架的基石，没有传统安全解决方案，云安全以及云原生安全就没有根基。

传统安全解决方案包括围绕网络边界管控的安全设备、传统数据中心及云平台中的安全服务，以及面向终端的安全方案。

2.1.1 以网络边界设备为核心的安全控制

如果把网络通路比作一条条的道路，把网络通路上运送的比特流比作道路上的车辆和货物，那么整个网络安全边界就如同古代的城池。

• 城池有内城、外城。内城是城市的核心，外城是城市的附属地带。

• 有城墙和多道城门，城门口对出入的货物有检查和登记措施。

• 对进出的人员也有检查，看他们有没有带违禁物品、是不是登记在案的犯人。

• 对城中居民平时的活动也有限制，检查有没有私自联系外邦、与危险人物接触等。

• 针对一些特殊商品的交易，比如铁和马，设置专门的集市来集中管控。

上面所说的古代城池的结构，对应到了网络边界设备的功能和用途。

内外城的划分就如同将整个业务区划分为公共业务区和核心业务区。公共业务区承载了对外提供的服务，核心业务区是政企内部的业务网络。在业务区的网络出入口都设置防火墙，用来对进出的业务流量进行安全控制。两个业务区中间用网闸进行隔离控制，对进出的业务流量进行安全扫描和安全分析，同时记录日志。通过上网行为管理，对网络内部的用户行为进行安全管控。针对关键的服务器，比如对外提供服务的Web服务器，采用专门的Web应用防火墙WAF来进行安全防护。

下面针对这些常见的网络边界安全设备的工作及部署方式进行简要的说明。

1.防火墙

防火墙是最基础和最常见的安全设备之一，它核心的功能是基于网络安全策略的访问控制。通过网络安全策略控制源IP地址、源端口、时间段、用户、网址、应用、目的IP地址、目的端口等属性，通过配置策略，允许或阻止满足这些属性的网络通道的连通性。防火墙安全策略原理如图2-1所示。

此外，NAT、VPN、日志审计等网络安全相关的功能通常也是防火墙必备的功能。

2.入侵防御系统和入侵检测系统

入侵防御系统（Intrusion Prevention System, IPS）能够监视网络或网络设备的网络资料传输行为，通过即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为来增强网络安全，提供了有效的、防火墙无法提供的应用层安全防护功能。IPS的重点功能是阻拦已知攻击和为已知漏洞提供虚拟补丁，但是为了避免误报，IPS几乎没有对未知攻击的防御能力。

入侵检测系统（Intrusion Detection System, IDS）是一种积极主动的安全防护技术，通过对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

IPS是一个在线设备，流量必须实时通过IPS设备，对时延要求高，不能影响实际业务。但IDS是个旁路设备，通过流量镜像获取数据进行分析，对网络和业务没有直接影响。

IPS和IDS设备部署在防火墙后面，通常的部署方式如图2-2所示。

在图2-2中，通过防火墙的业务请求流量再经过IPS做应用层安全防护。

3.网闸

网闸在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过，其信息流一般为通用应用服务。

隔离网闸的一个基本特征就是内网与外网永远不连接，内网和外网在同一时间最多只有一个同隔离设备建立数据连接（可以两个都不连接，但不能两个都连接），网闸工作原理如图2-3所示。

4.上网行为管理设备

上网行为管理设备一般部署在网络的出口，对内部网络连接到互联网的数据进行采集、分析和识别，实时记录内网用户的上网行为，过滤不良信息。并对相关的上网行为，以及发送和接收的信息内容进行过滤、控制、存储、分析和查询。

上网行为管理设备的功能主要有：应用访问控制、内容过滤、网址过滤、网页搜索过滤、应用审计，如图2-4所示。

5.Web应用防火墙WAF

与传统防火墙不同，Web应用防火墙（Web Application Firewall, WAF）工作在应用层，专门针对Web应用进行安全防护，用以解决防火墙等设备束手无策的Web应用安全问题。

WAF通常部署在Web服务器的下一跳，基于对Web应用业务和逻辑的深刻理解，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性。对非法的请求予以实时阻断，能够解决诸如数据盗取、网页篡改、网站挂马、虚假信息传播等问题。

以一个医院的业务系统为例，医院的网络整体分为医院办公网和医院业务网两个区域，网络边界安全设备部署结构如图2-5所示。

在图2-5中，医院的两个区之间通过网闸实现内外网隔离。在办公网和业务网分别部署防火墙、WAF、终端管理等网络安全设备。

2.1.2 云安全服务

云安全是IT安全在云计算场景下的天然延伸。在云计算场景下，安全通常以云服务的形态提供。

传统的网络边界管控设备，在云环境下演化为云端的虚拟化安全设备，例如防火墙在云计算中就以云防火墙的形态体现。

云防火墙与传统物理防火墙有一点本质的不同。云计算中心内部有大量的使用用户，在传统隔离了的网络环境中，这些用户之间的安全信息是隔离的。而在云计算环境下，这些庞大的用户群足以覆盖互联网的每个角落，只要某个网站被挂马或某个新木马病毒出现，就会立刻被截获并被全网感知，所以云防火墙能够结合大量用户的实时情报进行实时入侵防护。通过云防火墙，企业机构得以对其内网VPC边界、虚拟主机边界、云边界进行网络安全防护。

除了云防火墙之外，包括云堡垒机、漏洞扫描服务、云WAF等云服务也是云安全的重要组成部分。云堡垒机不仅拥有传统4A安全管控的基本功能特性，包括身份认证、账户管理、权限控制、操作审计4大功能，还拥有高效运维、工单申请等特色功能。通过统一运维登录口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。通过云堡垒机可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动，保障网络和数据不受外部或内部用户的入侵和破坏，便于集中告警、及时处理及事后审计定责。

云漏洞扫描服务是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务，可以提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后，提供扫描报告详情，用于查看漏洞明细、修复建议等信息。云漏洞扫描服务的功能比较全面，包括常规的Web网站扫描、主机扫描（包括本地主机和云主机扫描）、应用扫描、中间件扫描等多功能、全方位的安全漏洞扫描。

云WAF通过对HTTP（S）请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。云WAF具有配置简单易用、防御功能全面、特征库更新快等优势。

在云安全中，云身份服务的重要性比在传统数据中心要高。云身份服务通过统一账号、统一认证、集中授权，结合操作权限和资源访问权限管控，同时配合丰富的记录和审计能力，提供完善的身份管理和鉴权服务。云身份服务采用多种认证策略，包括采用静态和动态密码的双因子认证，并支持对接身份提供商，实现通过企业管理系统账户来认证和使用云服务。

此外，在云计算环境中，也提供传统的安全服务，包括等保咨询、安全评估、安全培训、应急响应等服务。这些也是安全服务在云生态中的技术和业务延伸。

2.1.3 终端安全

前面讲述的安全管理主要是从数据中心（包括传统数据中心和云环境下的数据中心）的角度入手，通过控制网络边界以及结合上网行为和审计等操作来进行的安全管控。另外一个大的安全隐患是在终端上，终端包括个人计算机、移动终端和其他设备（比如POS机和物联网设备等）。

随着移动互联网的成熟以及社会IT信息化水平的不断进步，大量的终端出现并无时无刻不通过有线或无线网络，从政企业务内网或互联网，灵活地接入办公网络和访问企业应用和资源。终端不是安全乐土，相反，终端的不安全因素，如病毒、系统漏洞等问题给网络带来越来越大的安全隐患，用户手中的终端成了网络攻击者的温床。

近年来，企业为保障各项工作不中断，远程协同办公的模式成为优先选择。远程办公带来便利的同时，也意味着大量外网不可信终端会接入企业内网。在毫无安全防护的情况下，这些终端很容易成为网络犯罪组织侵入企业内网的跳板，严重威胁企业内部网络的安全。网络犯罪组织会利用社会工程学及公众的恐慌或从众心理，通过APT、钓鱼邮件、恶意链接、木马后门、勒索病毒等方式发起攻击，受害者往往无法感知到攻击的存在，造成信息泄露等重大安全事件。

常用的终端安全产品和方案有：防病毒程序、终端接入控制系统、终端安全管理系统等。通过在终端上部署客户端程序，把端点安全状态与网络准入控制技术相结合，阻止不安全或者不满足企业安全策略的终端接入网络。防病毒程序是最为常见的终端安全软件，它伴随着操作系统运行，基于病毒特征库，对计算机上的可疑文件进行计算后与特征库比对，得出判断结果。

终端接入控制系统对接入企业网络的终端身份进行合法性认证，只有合法用户才允许接入。同时根据用户身份、接入时间、接入地点、终端类型、终端来源、接入方式等信息精细匹配用户，控制用户能够访问的数据和资源。终端接入控制系统还对用户终端的安全性（包括杀毒软件安装、补丁更新、密码强度等）进行扫描，在接入网络前完成终端安全状态的检查。对终端不安全状态能够与网络准入设备进行联动，当发现不安全终端接入网络的时候，能够对这些终端实现一定程度的阻断，防止这些终端对业务系统造成危害。并结合终端安全管理系统提供的自动补丁管理、远程管理等能力，主动帮助这些终端完成安全状态的自修复。

物联网和工业互联网为未来IT产业发展提供了巨大的空间，大量的工业设备以及可穿戴设备接入网络，IoT的数据在云平台中保存和计算，针对IoT终端的安全防护是终端安全整体方案中的一个重要课题。

物联网应用系统一般包括物联网终端、通信网络和物联网服务端三部分。相比传统个人计算机，物联网终端通常资源有限，同时受成本、体积、功耗等影响，难以配置实施较为复杂的安全措施，安全防护能力较差，这是物联网终端的先天缺陷。此外，物联网终端使用周期较长，地理位置分布广泛，厂商不能及时修复漏洞或更新系统，长期暴露在网络中易于受到攻击，这也是物联网终端面临的主要隐患。同时，一些物联网终端和应用开发者缺乏安全意识，使用了不安全的系统配置，同时身份认证强度和访问控制力度也存在差距，这也是物联网终端存在的常见不足。某些物联网终端遭到破坏后，完整性状态发生变化，但未经过安全评估便接入网络或服务端，这也给整个系统或平台带来安全风险。

由于物联网终端数量庞大、种类繁多，覆盖各领域，渗透各行业，同时安全防护能力不高，因此大部分攻击都是从物联网终端发起的。对于通用智能终端，一般硬件配置高，存储空间大，具有操作系统，支持多种网络接入方式。因此，可嵌入可信计算模块，实施完整的可信计算功能，并结合机密计算等技术进一步提升其自身的安全防护能力。对于简单功能终端，通常硬件配置不高，系统主频和存储受限，有的甚至没有操作系统，仅支持有限的网络接入方式。这类终端可以引入轻量级可信计算能力，实现完整性度量、远程认证、安全更新等功能，有效提升系统安全防护水平。