揭秘旁路部署：网络安全新策略(图文)

旁路部署是一种网络安全策略，通过将设备以特定方式接入网络，对流量进行统计、扫描或记录，而不进行转发。其原理基于对交换机流量的镜像，设备对镜像过来的数据进行处理，实现安全防护功能。
在实际应用中，旁路部署通常使用网线将交换机的接口与设备的接口连接。例如，将交换机的 e0 接口与设备的 e1 接口连接，设备以旁路模式部署在网络中。此时，e1 为设备的旁路接口，e2 为设备的旁路控制接口，e0 为交换机的镜像接口。在本设备上配置旁路模式之前，需要在主干网络的交换机上配置，使交换机通过 e0 接口将网络流量镜像到 e1 上，从而使设备能够对 e1 接收到的流量进行统计、扫描和记录。
以防火墙的旁路部署为例，一般部署在旁路的防火墙不带阻断功能，仅对网络中的流量进行检测，如发现入侵流量，可通过向直路设备发送控制报文来进行处理。对于仅有审计需求的情况，旁路模式更加有效合理，因为它不会对网络流量进行转发，同时网络流量也不会受到设备本身故障的影响。
在等保 2.0 建设中，旁路部署也发挥了重要作用。例如，在等保二级和等保三级场景中，采用旁路部署的等保一体机解决方案，不改变用户原有网络拓扑结构，内置合规模板，覆盖多个控制点，通过安全网元组件实现南北向和东西向安全防护，满足不同等级的安全防护需求，且多个安全网元组件整体交付，安全组网、统一运维更简单便捷。

二、旁路部署的应用场景

（一）审计场景

旁路部署非常适用于对网络流量进行审计。例如，在企业网络中，AC/SG 旁路模式主要用于将交换机流量镜像到设备上，设备通过镜像过来的数据进行审计。在这种模式下，可以实现用户认证、流量和行为的审计、基于 TCP 应用的上网权限策略、移动终端管理（终端识别）、终端提醒功能、准入功能、跨三层识别 MAC 等功能。
数据库审计也常采用旁路部署方式，所有访问数据库的流量被镜像到审计系统进行分析数据包，审计系统能够实时监控所有访问数据库的行为，包括用户的登录、查询、插入、更新和删除等操作，并记录每一次数据库操作的详细信息，为后续的安全分析和追溯提供基础。同时，数据库审计系统还能根据审计要求，导出符合标准的安全审计报表，有助于企业满足法规要求和内部审计工作。

（二）防护场景

旁路部署在不改变网络环境的情况下，能够实现防护功能，避免设备对网络造成中断风险。比如防火墙设备旁路部署，内网接三层交换机，配置防火墙设备能够对服务器进行 IPS 防护、WEB 应用防护以及防止敏感信息的泄露。将设备接在交换机的镜像口，保证外网用户访问服务器的数据经过此交换机，并且设置镜像口的时候需要同时镜像上下行的数据，从而实现对服务器的保护。
在网络入侵防护系统中，旁路部署可采用不影响业务的同时，提供双向流量逐包检测，通过向源 IP 和目的 IP 发送 RST 包干扰网络链接，达到对攻击 IP 的阻断效果。对于一些在日常运维期间出现的 0Day、1Day 以及 CVE 漏洞，旁路部署的防护系统可提供部分七层防护能力，先拦截阻断再推进修复，临时缓解漏洞影响，保障业务系统安全。此外，针对 IPv6 时代的秒拨 IP 攻击，旁路部署的防护系统可通过 AI+算法聚合分析攻击指纹，构建精准防护模型，识别并封禁如薅羊毛等秒拨 IP 攻击。

三、旁路部署的工作原理

路部署通过将设备与交换机连接，接收镜像流量，从而实现对网络流量的统计、扫描或记录。在这个过程中，设备并不对流量进行转发，因此不会对网络的正常运行造成影响。
以华三防火墙旁路部署为例，防火墙通过子接口形式与交换机连接。当网络流量经过交换机时，交换机将流量镜像到防火墙的接口上。防火墙接收到镜像流量后，利用安全策略对流量进行分析。如果发现异常流量，可以通过向直路设备发送控制报文来进行处理。
在实现旁路部署的过程中，可利用 NQA+track 等技术实现故障时的路由切换，确保网络稳定性。例如，在华三防火墙旁路部署中，通过设置 NQA（网络质量分析）来监测网络的状态。当 NQA 检测到下一跳不可达时，通过 Track 通知静态路由模块该监测结果，以便静态路由模块将该条路由置为无效，确保报文不再通过该静态路由转发。同时，写一条备用的路由优先级略低，当主路由出现故障时，备用路由可以自动接管，保证网络的正常运行。
此外，在旁路部署中，还可以通过设置访问控制列表（ACL）、密钥认证等方式来提高网络的安全性。例如，企业可以采用 ACL 的方式来限制 OSPF 路由器之间的互联，阻止未经授权的路由器进入网络，有效减少旁路部署中的安全风险。
总之，旁路部署通过接收镜像流量，结合多种技术手段，实现了对网络流量的有效管理和安全防护，同时确保了网络的稳定性和可靠性。

四、旁路部署的优点

（一）灵活方便

旁路部署模式部署起来极为灵活方便。这主要是因为它只需要在交换机上面配置镜像端口即可实现对网络的监控等功能。与串联模式不同，串联模式通常要作为网关或者网桥，这就需要对现有网络结构进行变动，而这种变动往往较为复杂，可能涉及到多个设备的调整和重新布线等工作。相比之下，旁路部署无需进行如此大规模的网络结构调整，大大降低了部署的难度和成本。

（二）无网络延时

旁路模式在分析数据时，是对镜像端口拷贝过来的数据进行处理，这就意味着对原始传递的数据包不会造成延时，从而不会对网速造成任何影响。在串联模式中，所有的数据必须先经过监控系统，经过监控系统的分析检查之后，才能够发送到各个客户端，这个过程会对网速有一定的延时。例如，在一些对网络实时性要求较高的场景，如在线游戏、视频会议等，旁路部署的优势就尤为明显。没有网络延时可以确保这些应用的流畅运行，提升用户体验。

（三）故障无影响

旁路监控设备一旦故障或者停止运行，不会影响现有网络的正常运行。这是因为旁路设备只是在网络的边缘进行监听和分析，并不参与网络的核心数据传输。而串联监控设备如果出现故障，会导致网络中断，形成网络单点故障。在实际的网络环境中，网络的稳定性至关重要。旁路部署的这一优点可以有效降低因监控设备故障而导致的网络中断风险，保障网络的持续稳定运行。例如，在企业的关键业务系统中，网络的中断可能会导致严重的经济损失和业务停滞，旁路部署可以在一定程度上避免这种风险。

墨者安全 防护盾
墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，