“祸起萧墙” | 安视交换机如何成为内网安全的贴身保镖？

我国自春秋末期就有祸起萧墙的典故，在鲁国的季康子准备出兵攻打附庸国颛臾时，孔子的学生冉有和子路咨询孔子的意见。孔子点评道：“远方的人不归服，国家支离破碎却不去解决，反而想在国境内使用武力，这样的话真正担心的应该是萧墙内部了吧。（《祸起萧墙》译文）”自此后人就常以祸起萧墙来比喻祸乱常常出自内部。

对于网络安全其实也同样如此，比如携带了病毒的硬盘接入了内网的一台电脑，那么与该电脑数据传递势必会感染病毒，而很多病毒也都是通过内网终端来传播，成功绕开了出口安全设备。所以对内网的安全建设，一直是用户在安全建设中容易忽略之处，也是困难之处。

信锐技术秉承着让联接更安全、更简单、更有价值的使命，在安视交换机上发布了东西向流量安全功能，仅需要两个步骤，即可为用户打造更安全可靠的内网环境。

1、设置观察/保护区域、观察/保护角色

根据业务需求，在管理平台设置观察区域/角色、保护区域/角色。

观察区域/角色：默认放通所有访问，并且可以根据认证角色、接入位置、服务类型等设置访问黑名单；

保护区域/角色：严格管控所有访问，并且可根据认证角色、接入位置、服务类型等设置访问白名单。

2、设置攻击源定位条件

通过管理平台可设置攻击源定位的条件，包括触发条件、ARP扫描异常阈值、TCP扫描异常阈值、终端异常访问行为、检测到异常行为后的处理方式、告警方式等。

东西向流量安全功能效果

完成攻击源定位设置后即可在内网中对各个区域和角色实现东西向流量安全的防护，对异常的终端访问进行拦截。并且在平台界面上可直观查看到各个区域的拦截终端、拦截访问、风险服务访问、攻击访问等情况（图一）。

平台可详细记录内网之间的互访行为(图二)。包含访问终端和被访问终端的时间、用户、角色、MAC地址、IP地址、接入位置、服务类型、风险情况等。实现记录访问动作、呈现互访结果。

图一：平台界面示意图

东西向流量安全功能优势

安视交换机的东西向安全功能，可以实现对内网风险终端、异常访问的拦截，避免病毒或攻击行为在内网横向传播，帮助用户以上帝视角来查看整个网络。通过全方位的边缘网络流量防控体系，帮助用户持续关注网络流量情况，持续净化网络流量杂质，持续提升广大用户的安全运营能力，有效避免网络安全“祸起萧墙”。

安视交换机作为信锐技术主要产品板块之一，致力于为用户提供安全、可视、智感的全系列交换机产品，助力扬子江药业、优速物流、汤臣倍健、GXG男装等行业用户实现信息化转型和业务价值创新，目前已有超过40W台设备稳定在网运行。随着信锐产品的不断创新及研发能力的提升，未来，这一数字还将持续增长。