《探索应用旁路部署：安全与高效的网络架构选择》(图文)

一、什么是应用旁路部署

旁路部署是指设备通过一根线接到网络中的交换机上，交换机将数据镜像后发给相应设备进行分析处理。很多安全设备如防毒墙、IDS、上网行为审计、流控等都可设计为旁路部署。
其实不只是防毒墙，IDS、上网行为审计、流控等很多安全设备都可以在部署的时候设计为在线部署或旁路部署。在线部署就是设备是串联方式接入到网络中的，数据交互是通过相应设备的；旁路部署是指只有一根线接到网络中，一般是交换机上，交换机将数据镜像后发给防毒墙等安全设备，安全设备进行分析处理。对于防毒墙一般来说，旁路部署目的为只检测网络中的病毒情况，在线部署也就是串接部署的话不但可以检测也可以起到实时阻止的作用。
旁路部署主要有旁路监听模式和旁路代理模式。旁路监听模式指安全设备部署于交换机旁路，通过配置交换机镜像功能，将进出口流量一模一样镜像一份给安全设备，原有流量走向不变。安全设备通过镜像流量对网络、应用系统状态进行监听、检测和分析。旁路代理模式时，设备相当于代理网关，需要更改网络配置，将所有的网络数据及访问流量指向旁路的安全设备，经过安全设备过滤后，再返回交换机。
常见的旁路部署的设备一般是 IDS、负载均衡、漏洞扫描等检测分析类的设备。旁路监听模式部署方式简单，设备上下线对网络没有任何影响。但是由于是镜像流量，安全设备只能看，很难对网络流量进行拦截、过滤等操作，功能稍微简单。旁路代理模式可以实现对网络流量的过滤、拦截、重分发功能，但是部署方式较为复杂，而且设备故障后，会对网络产生重大影响，故障恢复时间较长。

二、应用旁路部署的方式及案例

（一）微信 WiFi 认证的旁路软件 + 无线 AP 方式

1. 部署方案：旁路软件（WFilter ICF）通过镜像端口部署，这种部署方式对网络基本无影响。即使安装旁路监控软件的电脑出现死机断电等情况，也不会影响网络的正常运行。

2. 微信 WiFi 的具体实现：以 WFilter NGF 为例，采用网关部署方式演示微信 WiFi 具体实现。首先，要到公众平台里面启用微信 WiFi 功能，获取 appId 等信息。然后，在 “Web 认证” 中，启用 “营销认证” 和 “微信 WiFi”。当手机打开浏览器，访问任意的 http 网页时，就会显示认证页面，点击登录微信即可。

（二）前后端分别部署并挂载到微信公众号

1. 前端部署：在指定项目路径下打开 Terminal 进行项目打包，将打包好的代码和静态文件上传至服务器阿里云服务器，并放在 nginx 目录下的 html 文件夹中。接着，修改 nginx 配置文件，之后可根据公网 IP + 端口号或域名进行访问。

2. 后端部署：在 idea 开发工具下进行项目打包，将打包文件上传至服务器阿里云服务器并放在 Tomcat 目录下的 webapps 文件夹中，然后修改 Tomcat 配置文件。

3. 数据库迁移导入服务器：先将本机数据库中数据转储为 SQL 文件，上传至服务器后新建同名数据库并运行 SQL 文件。同时，创建新用户用于后端连接数据库。

4. 访问及挂载到微信公众号：启动 nginx 和 Tomcat，在浏览器输入公网 IP + 端口号或域名进行访问。通过申请微信公众号测试号并设置外网域名，将页面挂载到微信公众号上。

（三）上网行为管理（AC）、安全网关（SG）的旁路模式

1. 部署模式及接口保留地址：上网行为管理（AC）、安全网关（SG）在旁路模式下，manage 口（eth0）的 IP 地址为 128.127.125.252/29（248）。

2. 虚拟 IP 重定向：内网 PC 认证前的 HTTP 上网数据经过设备时，设备拦截并记录数据包信息。在 11.0 以后的版本，AC 新增了一个虚拟 ip 地址，当涉及到一些 AC 重定向的页面的时候可以通过虚拟 ip 弹出，隐藏设备真实的网桥 ip 地址。AC 回弹 portal 的重定向认证页面时，会将记录下来的数据包的源，目的 IP 反转，再从数据包进入的接口直接发出去，其中数据包中的数据字段会替换成设备虚拟 IP 的重定向 URL 地址。重定向数据包不需要查找 AC 的路由表，数据直接从流量入口发出即可。虚拟地址不能与设备网口在同一个网段，也不需要在内网设置路由。

3. 设备上网及网桥链路状态同步：设备更新上网可以通过给设备网桥配置其中一个 VLAN 中的可用 IP 来进行管理和上网更新规则库，也可以通过设备管理口配置一个 VLAN 中的可用 IP 来进行管理和上网更新规则库。网桥链路状态同步可以自动同步接口、链路状态，避免流量黑洞。

4. DMZ 重定向：内网 PC 认证前的 HTTP 上网数据经过设备时，设备拦截数据包并通过查找本身 DMZ 口的路由表，将 portal 的重定向认证页面从 DMZ 口发出，数据包中的数据字段会替换成 AC 的 DMZ 口 IP 的重定向 URL 地址（302 状态码！）。

5. 认证模式及支持功能：AC 路由模式、旁路模式（镜像）、认证模式（12.0），SG 路由模式、旁路模式（镜像）、网桥模式、认证模式单臂模式（代理）。截止标准版本 12.0.42，SG 单臂不支持的功能有：代理控制、SSL 内容识别加密邮件识别、QQ 白名单、邮件过滤、网络质量监测、WEB 访问质量检测、DHCP、网络协议扩展、光口 bypass 设置、二维码认证、微信认证、AD 域单点登录监听方式、第三方单点登录、数据库单点登录、深信服转发，端口映射，VPN，过滤规则，NAT 代理上网，链路负载，高可用主主，代理控制，无线模块。除以上功能外其他功能均支持。

6. 双机部署及 HA 同步属性同步：组双机只判断部署模式、网口、版本号。组双机前，必须保证两个设备的部署模式、LAN 口、WAN 口、DMZ 口设置是一样的（IP 可以不一样，但物理口 ethx 与 LANx/WANx/DMZx 的对应关系必须一样），否则是不会进行配置同步的（包括网络配置）。主备部署 KB 补丁包、定制包一致，SP 网关补丁可以不一致。主机设备亮绿灯，备机状态灯闪。HA 同步的属性包括网口配置（DMZ 口除外）、部署模式、静态路由、链路负载、DHCP、对象定义、用户认证相关（包括认证策略、外部认证服务器、单点登录、组和用户、用户绑定、IP/MAC 绑定等）、策略管理、流量管理、安全防护、无线配置、VPN 配置等。不同步的内容有序列号、页面定制、网关杀毒授权、应用识别 / URL 库升级序列号、多功能授权、数据中心日志、日志查看、病毒库、URL 库、应用识别库、准入内置规则库。同时，要检查 ha 口是否在同网段，相互能否通讯（1.1.1.1 是网桥 IP，虚拟 IP 不能使用！）。

（四）知乎应用的旁路部署

1. 知乎部署系统功能：知乎部署系统由工程效率团队打造，支持容器、物理机部署，办公网络预上线，金丝雀灰度验证，蓝绿部署等功能，每日部署次数多，上线时间短。

2. 物理机部署：初版部署系统采用 Fabric 作为基础，将 CI 产生的 Artifact 上传到物理机上解压，用 Supervisor 进行进程管理启动服务。每个应用对应多个服务（Unit），每个候选版本对应一个 Merge Request，部署拆分为多个阶段（Stage）。

3. 容器部署：知乎基于 Mesos 做了初版容器编排系统（Bay），部署系统很快支持容器部署。每个 Unit 对应一个容器组，用户可手动设置容器组数量和其他参数。

（五）H3C SecPath W2000-G [AK] 系列 Web 应用防火墙旁路监听部署配置举例

1. 组网需求：Web 应用防火墙通过交换机镜像接口侦听交换机业务接口的双向流量，实现监视访问 Web 应用服务器的流量并在出现攻击行为时实时报警。

2. 配置步骤：

• • 部署模式配置：登录 Web 应用防火墙，在系统配置 - 侦测模式中选择旁路监听模式，并预先指定一个固定的管理接口，并工作在路由模式。该接口不可以为 Bypass 接口。切换模式后需要重启设备以便使模式生效。旁路监听模式配置成功后，设备上的空闲透明模式配置的接口均可实现镜像流量监听。

• • 交换机配置：以组网图为例，在交换机上创建镜像组，并配置镜像口和监听口。命令以 H3C 交换机为例，如 system-view、mirroring-group 1 local、mirroring-group 1 mirroring-port gigabitethernet 1/0/6 both、mirroring-group 1 mirroring-port gigabitethernet 1/0/7 both、mirroring-group 1 monitor-port gigabitethernet 1/0/8。

• • 安全策略配置：点击左侧安全策略 - Web 安全策略，根据需要添加调整 Web 应用防护策略。点击添加按钮可以添加新 WAF 策略，点击策略右侧操作按键可以调整策略配置。调整完毕后点击确定。然后点击左侧安全策略 - 策略引用，将添加的 Web 应用策略与 Web 服务器进行关联。上联接口选择作为镜像口的接口，添加被保护服务器，在服务器列表里添加服务器地址和掩码，协议端口可根据业务情况进行填写和选择，填写完成后点击右侧的添加按钮即可添加到服务器列表中，可以添加多条服务器信息。添加完成后点击应用并返回上一级界面。

（六）绿盟 WAF 旁路部署案例

使用策略路由引流进行旁路部署，在交换机上配置访问网站的流量匹配规则，设置下一跳修改为 WAF，在流量的入方向应用策略路由，并添加工作组、设置路由、部署模式为旁路、设置 DNS、添加对应的防护网站等。

（七）汽车行业海外访问加速 —— 旁路部署案例

国内企业访问海外网站速度慢，采用旁路部署方案，将 SD-WAN 设备部署在防火墙下面，把需要加速的所有流量路由到 SDWANDE CPE 设备，相当于在内网中做了一个国际内网通道。

三、应用旁路部署的优势

（一）对网络影响小

旁路组网模式部署简单高效，不用改变原来的网络结构模式和配置，就可以实现网络设备的资源互联互通。例如蒲公英旁路组网，能够在不影响现有网络结构的情况下，轻松解决企业组网中存在的难题，完成异地虚拟局域网的组建。同时，连接设备后能自动生成旁路网络信息，无需繁杂设置步骤，简单易用。

（二）不影响网速

旁路部署主要是通过实时从交换机上复制数据包进行分析，对原始数据包不会造成延时，不会影响网速。旁路模式分析的是镜像端口拷贝过来的数据，不会像串联模式那样所有数据必须先经过监控系统，从而避免了对网速的影响。例如在校园网站安全管理中，通过在网络出口旁路部署自学习引擎，对镜像流量进行分析，既实现了对校内信息资产的主动发现识别，又不会影响网络速度。

（三）故障影响小

旁路监控设备一旦故障或者停止运行，不会影响现有网络。因为旁路设备不直接参与数据转发过程，即使出现故障，网络中的数据流量仍可正常通过其他路径传输。例如无线上网监控中，采用旁路监控部署方式，即使安装旁路监控软件的电脑出现死机断电等情况，也不会影响网络的正常运行。

（四）具备扩展性和灵活性

如蒲公英旁路组网具备一定的扩展性和灵活性，不会对原有的网络结构产生影响，能解决企业新增分支的问题。企业通过旁路组网的方式组建网络，方案部署设置简单高效，具备高扩展性，可根据业务需求进行快速的网络搭建，定制符合业务的专属网络。例如连锁火锅店采用旁路模式互通方案，以最高性价比解决用户门店互联问题，无需改变已有网络，灵活快速部署。税务系统旁路组网方案实现税务系统平台的信息化，提高各地分公司访问税务系统的效率，满足各规模项目的定制化需求。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。