免疫網絡

免疫網絡是企業信息網絡的一種安全形式。

“免疫”是生物醫學的名詞，它指的是人體所具有的“生理防禦、自身穩定與免疫監視”的特定功能。

就像我們耳熟能詳的電腦病毒一樣，在電腦行業，“病毒”就是對醫學名詞形象的借用。同樣，“免疫”也被借用於説明計算機網絡的一種能力和作用。免疫就是讓企業的內部網絡也像人體一樣具備“防禦、穩定、監視”的功能。這樣的網絡就稱之為免疫網絡。

免疫網絡的主要理念是自主防禦和管理，它通過源頭抑制、羣防羣控、全網聯動使網絡內每一個節點都具有安全功能，在面臨攻擊時調動各種安全資源進行應對。

它具有安全和網絡功能融合、全網設備聯動、可信接入、深度防禦和控制、精細帶寬管理、業務感知、全網監測評估等主要特徵。

它與防火牆、入侵檢測系統、防病毒等“老三樣”組成的安全網絡相比，突破了被動防禦、邊界防護的侷限，着重從內網的角度解決攻擊問題，應對目前網絡攻擊複雜性、多樣性、更多從內網發起的趨勢，更有效地解決網絡威脅。

同時，安全和管理密不可分。免疫網絡對基於可信身份的帶寬管理、業務感知和控制，以及對全網安全問題和工作效能的監測、分析、統計、評估，保證了企業網絡的可管可控，大大提高了通信效率和可靠性。

巡路免疫網絡解決方案不是一個單獨的產品，而是一套由軟硬件、內網安全協議、安全策略構成的完整組件。

1、 對終端身份的嚴格管理。終端MAC取自物理網卡而非系統，有效防範了MAC克隆和假冒；將真實MAC與真實IP一一對應；再通過免疫驅動對本機數據進行免疫封裝；真實MAC、真實IP、免疫標記三者合一，這個技術手段其他方案少有做到。所以，巡路免疫方案能解決二級路由下的終端偵測和管理、IP-MAC完全克隆、對終端身份控制從系統到封包等其他解決不了或解決不徹底的問題。

2、 終端驅動實現的是雙向的控制。他不僅僅抵禦外部對本機的威脅，更重要的是抑制從本機發起的攻擊。這和個人防火牆桌面系統的理念顯著不同。在受到ARP欺騙、骷髏頭、CAM攻擊、IP欺騙、虛假IP、虛假MAC、IP分片、DDoS攻擊、超大Ping包、格式錯誤數據、發包頻率超標等協議病毒攻擊時，能起到主動干預的作用，使其不能發作。

3、 羣防羣控是明顯針對內網的功能。每一個免疫驅動都具有感知同一個網段內其他主機非法接入、發生攻擊行為的能力，並告知可能不在同一個廣播域內的免疫運營中心和網關，從而由免疫網絡對該行為進行相應處理。

4、 提供的2-7層的全面保護，還能夠對各層協議過程的監控和策略控制。深入到2層協議的控制，是巡路免疫網絡解決方案的特有功能。而能夠對各層協議過程的監控和策略控制，更是它的獨到之處。現在普遍的解決方案，基本上是路由器負責 3層轉發，防火牆、UTM等進行3層以上的管理，唯獨缺少對“局域網至關重要的二層管理”，免疫驅動恰恰在這個位置發揮作用。而上網行為管理這類的軟硬件，在應用層進行工作，對2、3層的協議攻擊更是無能為力。

5、 對未知的協議攻擊，能夠有效發揮作用，是真正的主動防禦。

6、 免疫接入網關在NAT過程中，採取了專用算法，摒棄了其他接入路由器、網關產品需要IP-MAC映射的NAT轉發算法，將安全技術融於網絡處理過程，使ARP對免疫接入網關的欺騙不起作用。這叫做ARP先天免疫，這樣的技術融合還很多。

7、 具有完善的全網監控手段，對內網所有終端的病毒攻擊、異常行為及時告警，對內外網帶寬的流量即時顯示、統計和狀況評估。監控中心可以做到遠程操作。

免疫牆技術屬於網絡安全行業中的內網安全和管理領域。

以太網有協議漏洞，不擅長管理，這是網絡問題頻發的技術根源。免疫牆技術針對和解決的就是這個問題。

因此，免疫牆技術研究的是如何填補以太網協議的先天漏洞、如何對業務進行規範化、策略化管理。“網絡問題網絡解決”是免疫牆技術的指導思想。免疫牆的技術範圍要拓展到網絡的最末端，深入到協議的最底層、盤查到外網的出入口、總覽到內網的最全貌，就是希望通過網絡本身對網絡病毒全面抵禦，同時完善對業務的管理，使網絡可控、可管、可防、可觀。

目前網絡威脅呈現出複雜性和動態性的特徵，黑客日益聚焦於混合型攻擊，結合各種有害代碼來探測和攻擊系統漏洞，並使之成為殭屍或跳板，再進一步發動大規模組合攻擊。攻擊速度超乎想象，已經按小時和分鐘來計算，出現了所謂大量的零日或零小時攻擊的新未知攻擊。

很多從內網發起的攻擊，不會採用以真實身份單獨進行，而是通過內網的欺騙串聯，偽造身份多點進行。

現有的各種網絡安全技術中，防火牆技術可以在一定程度上解決一些網絡安全問題。防火牆產品主要包括包過濾防火牆，狀態檢測包過濾防火牆和應用層代理防火牆，但是防火牆產品存在着侷限性。其最大的侷限性就是防火牆自身不能保證其准許放行的數據是否安全。同時，防火牆還存在着一些弱點：一、不能防禦來自內部的攻擊：來自內部的攻擊者是從網絡內部發起攻擊的，他們的攻擊行為不通過防火牆，而防火牆只是隔離內部網與因特網上的主機，監控內部網和因特網之間的通信，而對內部網上的情況不作檢查，因而對內部的攻擊無能為力；二、不能防禦繞過防火牆的攻擊行為：從根本上講，防火牆是一種被動的防禦手段，只能守株待兔式地對通過它的數據報進行檢查，如果該數據由於某種原因沒有通過防火牆，則防火牆就不會採取任何的措施；三、不能防禦完全新的威脅：防火牆只能防禦已知的威脅，但是人們發現可信賴的服務中存在新的侵襲方法，可信賴的服務就變成不可信賴的了；四、防火牆不能防禦數據驅動的攻擊：雖然防火牆掃描分析所有通過的信息，但是這種掃描分析多半是針對IP地址和端口號或者協議內容的，而非數據細節。這樣一來，基於數據驅動的攻擊，比如病毒，可以附在諸如電子郵件之類的東西上面進入你的系統中並發動攻擊。

國家信息化專家諮詢委員會專家沈昌祥院士認為，首先，由老三樣（防火牆、入侵監測和病毒防範）為主要構成的傳統信息安全系統，是以防外為重點，而與目前信息安全主要“威脅”源自內部的實際狀況不相符合。其次，從組成信息系統的服務器、網絡、終端三個層面上來看，現有的保護手段是逐層遞減的。人們往往把過多的注意力放在對服務器和網絡設備的保護上，而忽略了對終端的保護。第三，惡意攻擊手段變化多端，而老三樣是採取封堵的辦法，例如，在網絡層（IP）設防，在外圍對非法用户和越權訪問進行封堵。而封堵的辦法是捕捉黑客攻擊和病毒入侵的特徵信息，其特徵是已發生過的滯後信息，不能科學預測未來的攻擊和入侵。

“老三樣，堵漏洞、做高牆、防外攻，防不勝防。” 沈院士這樣概括目前信息安全的基本狀況。老三樣在目前網絡安全應用上已經明顯過時了。