信息安全威脅多樣化和復雜化的趨勢日益明顯，現有單一的安全防護體系及被動的策略難以有效應對。聯想網御集成所有已部署的病毒/攻擊檢測計算資源形成主動云防御系統，為用戶提供高效的整體網絡安全解決方案。

一、主動云防護系統示意圖

二、基于安全設備云的安全防護

主動云防御系統主要包含3個部分：安全防護集群、安全檢測集群、主動云防御服務器。安全防護集群由連接到主動云防護系統中的所有安全設備組 成，負責從服務器下載并執行安全防護列表；安全檢測集群主要由分布式部署的UTM、IPS、AVG等設備和惡意網站探測服務器組成，負責實時檢測攻擊、病 毒、木馬等惡意行為，并上傳到服務器，安全檢測集群中設備也可能屬于安全防護集群；主動云防御服務器負責采集信息，并自動驗證、歸并為安全防護列表下發到 安全防護集群。

整個系統工作流程可以劃分為安全防護列表收集流程和安全防護列表過濾流程，其中，安全防護列表收集流程執行在惡意網站探測服務器、UTM、IPS、AVG設備群、主動云防御服務器上，具體工作流程如下：

惡意網站探測服務器采用網絡爬蟲的方式，遍歷各個網站上的頁面，并下載頁面上鏈接指向的文件資源，然后利用商用病毒檢測工具進行多重檢測，如果在某個文件中檢測到病毒，則把該文件對應鏈接的URL信息和病毒名稱傳送到主動云防御服務器。

AVG和UTM設備中的病毒檢測模塊，對通過該設備的網絡流量進行分析和應用報文重組，然后進行病毒檢測，如果發現病毒，則把該病毒對應的URL存入事件歸并與關聯模塊中的事件隊列中。最后定時向主動云防御服務器提交已歸并的病毒名稱、URL等信息。

AVG和UTM設備中的入侵檢測模塊，對通過該設備的網絡流量進行協議分析和統計，判斷該流量中是否包含入侵攻擊行為，如果發現入侵攻擊，則 把該攻擊對應的攻擊名稱、地址等信息存入事件歸并與關聯模塊中的事件隊列中。最后定時向主動云防御服務器提交已歸并的入侵攻擊名稱、地址等信息。

主動云防御服務器收集上述3種病毒和攻擊信息，首先進行合并，剔出重復冗余的信息，然后進行校驗，剔出老化或失效的地址、誤報信息、內部網絡 地址等無效信息，最后整理成包含病毒或木馬的URL列表和發起攻擊的地址和服務端口的安全防護列表。主動云防御服務器定時把該列表下發給所有云防護系統內 的網關設備。

安全防護列表過濾流程包含兩個部分：網關設備從主動云防御服務器上獲取安全防護列表，并在經過該設備的流量中攔截針對惡意站點URL的資源請求，以及來自 具有攻擊企圖的IP地址的網絡訪問。因為檢查惡意站點URL所需要的計算和存儲空間遠小于檢查整個文件是否包含病毒所用的資源，檢查攻擊企圖IP地址所需 要的計算和存儲空間遠小于檢查整個報文是否包含入侵攻擊所用的資源，所以，通過云防護系統，所有已部署的網關設備均具有病毒和攻擊防護功能，用戶網絡信息 安全可以得到最大化的保障。

三、基于全局和本地相結合的主動防護

在云防護架構的基礎上，通過全局惡意網站掃描和本地網絡系統漏洞掃描，整個系統實現了攻守兼備的主動防護功能。全局惡意網站掃描系統能主動搜 索包含病毒的URL信息，并下發到各個設備中進行提前阻斷。在本地，UTM、IPS、防火墻等產品均內置漏洞掃描功能，在部署時，可以通過針對用戶關鍵服 務器的主動漏洞掃描，完成用戶安全狀態評估，并根據用戶環境自動生成安全防護列表。

四、系統價值

首先，主動云防御系統通過共享所有設備的檢測能力，提高了對網絡安全威脅的檢測效率。對于整個系統而言，一個“掛馬網頁”僅需要完整檢測一 遍，整個網絡中其他所有安全設備就會自動阻斷該網頁的下載請求。被檢測到的網絡威脅越多，設備中可以節省的安全就越多，形成良性循環，從而最終為用戶提供 更快的檢測速度和更好的網絡服務質量。

其次，主動云防御系統通過主動掃描本地漏洞和全局的病毒、木馬網站，把病毒和入侵等安全防護由被動轉變為主動。以入侵防護為例，傳統的入侵防 御功能必須要在包含入侵行為的數據報文部分或全部到達網關后，才能進行檢測和阻斷，主動云防御系統可以提前阻斷對可能發起攻擊的地址的網絡請求。

最后，主動云防御系統整合了所有設備的檢測能力，消除了安全檢測的盲點，提高了整體安全性。和執行實時病毒掃描或攻擊行為分析相比，下載并執 行安全防護列表所占用的計算資源基本可以忽略，對于配置很弱的低端防火墻和性能要求嚴格的高端安全設備，都可以通過這個系統，獲得病毒和入侵的防護能力。

五、總結

聯想網御的云防御系統，利用云中廣泛的信息反饋節點，大范圍地跟蹤安全風險，并將防護能力快速分發到各個防護節點，集合其全局和本地兩種主動 風險探測的功能，能夠實現大范圍的主動監控和防護，對各種威脅進行實時響應，最終加強了對網絡攻擊、病毒/木馬、網絡釣魚等復雜網絡威脅的響應能力，提高 了用戶的網絡整體安全性。