現(xiàn)在網(wǎng)絡(luò)安全受重視程度不言而喻，各個企事業(yè)單位甚至個人用戶都很注重網(wǎng)絡(luò)安全的防護(hù)，以企業(yè)為例，企業(yè)最基本的網(wǎng)絡(luò)安全需求（三級）就包括了結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查S3、入侵防范、惡意代碼防護(hù)以及網(wǎng)絡(luò)設(shè)備防護(hù)這些層面，所需要的網(wǎng)絡(luò)安全設(shè)備繁多，而且各自分工，各司其職，企業(yè)會在這些設(shè)備上花費大量的精力和財力，因為他們是維護(hù)網(wǎng)絡(luò)安全的主力。那他們真的每時每刻都能高效運轉(zhuǎn)么？

企業(yè)希望高價購進(jìn)的網(wǎng)絡(luò)安全設(shè)備能夠發(fā)揮應(yīng)有的能效，“能”是指設(shè)備在運轉(zhuǎn)中能夠發(fā)揮其應(yīng)有的安全防護(hù)能力，盡職分析，盡能保護(hù)；“效”是指安全設(shè)備運行的效率，能及時有效的完成分析或防護(hù)的任務(wù)?？梢哉f，網(wǎng)絡(luò)安全設(shè)備能夠做到“物盡其用”也是節(jié)省時間和人力物力成本的重要方面。Ixia是應(yīng)用性能和安全彈性解決方案供應(yīng)商，其專為企業(yè)提供的ThreatARMOR可以幫助企業(yè)提高網(wǎng)絡(luò)安全架構(gòu)中核心設(shè)備的能效。ThreatARMOR如何做到的呢？

ThreatARMOR的“能”成就已有企業(yè)網(wǎng)絡(luò)安全架構(gòu)的能力

ThreatARMOR是Ixia可視性架構(gòu)中的創(chuàng)新新品，是提升企業(yè)網(wǎng)絡(luò)安全架構(gòu)效率的產(chǎn)品解決方案，是讓企業(yè)縮小其日益擴大的網(wǎng)絡(luò)攻擊面的防御系統(tǒng)。其實可以這么說，ThreatARMOR是對企業(yè)現(xiàn)有安全基礎(chǔ)架構(gòu)的自然補充。ThreatARMOR在整個安全架構(gòu)的兩端部署，可以減少安全威脅報警的數(shù)量，以此釋放關(guān)鍵網(wǎng)絡(luò)安全設(shè)備資源來著重解決關(guān)鍵性的安全問題。

ThreatARMOR的工作原理就是在網(wǎng)絡(luò)安全架構(gòu)外圍攔截下一目了然的惡意IP地址，更少的攻擊和更少的SIEM報警使得流入這些安全設(shè)施的流量更值得分析，讓企業(yè)已有的主體安全架構(gòu)更專注于高級網(wǎng)絡(luò)安全威脅。這里所說的“外圍攔截”與防火墻作用下的攔截不同，主流防火墻依靠識別內(nèi)容引擎、病毒或者其他特征來攔截有威脅的流量，是將流量“掰開揉碎”來分析的，而很多已知的惡意IP地址會明顯占用其能力，讓防火墻的過濾消耗很多資源，正如Ixia中國區(qū)總經(jīng)理張煒的理解一樣：“ThreatARMOR更像是一個干粗活的，把雜亂的工作給助理也就是ThreatARMOR來做，關(guān)鍵的員工如防火墻才能發(fā)揮應(yīng)有的價值。”

　　ThreatARMOR設(shè)備的部署

具體來說，ThreatARMOR安全設(shè)備部署在邊界內(nèi)部和網(wǎng)絡(luò)，發(fā)現(xiàn)受感染的內(nèi)部系統(tǒng)并阻止與僵尸網(wǎng)絡(luò)控制器的通信，同時減少來自已知不正常網(wǎng)站和特定國家的入站防火墻和SIEM負(fù)載，來自這些網(wǎng)站的加密連接也可以自動阻止。由于Ixia的應(yīng)用與威脅情報研究中心（ATI）的支持，ThreatARMOR不使用特征碼，不會出現(xiàn)誤報。對于任何被阻止的網(wǎng)站，都會可視化的像管理人員展現(xiàn)例如惡意軟件分發(fā)或釣魚攻擊這樣的惡意活動的證據(jù)，同時展示最近的確認(rèn)日期，甚至可以截屏分享。

ThreatARMOR的“效”讓企業(yè)已有的網(wǎng)絡(luò)安全架構(gòu)更有效率

現(xiàn)在的網(wǎng)絡(luò)安全問題日益嚴(yán)重，攻擊形勢多種多樣且從不間斷，網(wǎng)絡(luò)攻擊面正在不斷擴大，在此情況下，雖然我們?yōu)榱司S護(hù)網(wǎng)絡(luò)的安全進(jìn)行了很多努力，但隨著互聯(lián)網(wǎng)邊界越來越模糊，以及包括APT在內(nèi)的新型攻擊技術(shù)的出現(xiàn)，我們的安全架構(gòu)雖然也在不斷變大，防護(hù)網(wǎng)絡(luò)安全的效率無從談起。

網(wǎng)絡(luò)流量的分析價值

Ixia的解決方式是讓企業(yè)的網(wǎng)絡(luò)攻擊面縮小，ThreatARMOR產(chǎn)品的推出正是基于這種想法，其最終的目標(biāo)是提高企業(yè)整個安全系統(tǒng)的使用效率。Ixia應(yīng)用和安全業(yè)務(wù)發(fā)展總監(jiān)孫震解釋說：“被攻擊者和攻擊目標(biāo)，以及所有受到攻擊的通路我們叫做攻擊面?；贗P連接會產(chǎn)生攻擊面，從各個角落攻擊你的網(wǎng)絡(luò)，只要你的通路可達(dá)原則上都可以攻擊你，所以這個攻擊面是很大的。”

正如前文所說，ThreatARMOR依托于Ixia的ATI，通過云+端的方式，分別驗證每個網(wǎng)站并每五分鐘通過云更新一次，阻截已知的威脅流量，提升企業(yè)已有安全設(shè)備的處理效率。孫震解釋到：“ThreatARMOR通過把那些已知的惡意IP地址全部過濾掉，這樣可以消除30%的報警，為企業(yè)節(jié)約近6300小時，這相當(dāng)于3個工程師的工作量。”

孫震總結(jié)說，ThreatARMOR給企業(yè)帶來的價值有三。第一，阻止企業(yè)網(wǎng)絡(luò)中不需要流量的流入和流出，不僅可以把外部的流量基于IP進(jìn)行攔截，內(nèi)部如果IP地址是被掛馬或者僵尸化，也可以進(jìn)行攔截，縮小企業(yè)的攻擊面。第二，提高企業(yè)原有安全設(shè)施的工作效率。第三，Ixia的ATI庫為ThreatARMOR提供云+端的支撐，以數(shù)據(jù)驅(qū)動安全，使ThreatARMOR更加了解流量的來去，更準(zhǔn)確的實施攔截。

　　易于配置

據(jù)悉，ThreatARMOR為實現(xiàn)運營的彈性和故障防護(hù)，采用雙冗余電源和內(nèi)置旁路模式的以太網(wǎng)接口等特性的設(shè)計，在1GbE電口和10GbE光口上確保網(wǎng)絡(luò)可用性，并依托于Ixia的ATI庫持續(xù)獲得威脅情報和Rap Sheet更新。同時，ThreatARMOR不關(guān)心原有設(shè)備的細(xì)節(jié)，可以實現(xiàn)與這些設(shè)備的無縫融合，部署非常便捷，通過清晰地報告攔截行動輕松地支持IT合規(guī)審計。如果未來ThreatARMOR以軟件形式或云的形式交付應(yīng)用的話，將會更受青睞。當(dāng)然，相信在不遠(yuǎn)的將來一定會實現(xiàn)的。