科普：一文读懂各种拟态防御网络设备

【编者按】4月12日，基于我国首创的网络空间拟态防御理论设计开发的成套网络设备，在河南省景安网络科技股份有限公司完成全球首次线上体系化部署，标志着我国“自主可控、安全可信”的新一代信息技术产品，在实用化与产业化进程中又迈出了里程碑式的一步。那么，拟态防御网络设备都有哪些呢？让小编带您一一了解。

1、拟态域名服务器

域名服务系统（DNS）是网络空间各类业务服务的“查号台”，用于实现网络域名到IP地址的翻译转换。域名服务是一种网络应用层资源的寻址服务，是其他网络应用服务的基础。攻击者可以基于域名协议及相关服务或防护系统的脆弱性，利用通信协议和软硬件的未知漏洞后门，通过篡改域名缓存数据或协议报文等技术手段实现域名劫持，冒名顶替包括政府、金融、公安、电子商务等网站在内的任何网站，实施虚假信息发布、木马病毒无感植入和机密数据窃取等恶意攻击。

拟态域名服务器以遏制域名解析服务漏洞后门的可利用性、建立内生安全防御机制、大幅提高攻击者的攻击难度和代价为出发点，可以在不改变现有域名协议和地址解析设施的基础上，通过拟态防御设备的增量部署，能够有效防御针对域名系统的域名投毒、域名劫持攻击等各种已知和未知域名攻击，能够提供安全可靠的域名解析服务。

2、拟态路由器

路由是网络信息交互的“大脑”，决定网络数据从源到目的地端到端的路径。路由器是信息高速公路的“立交桥”，依靠路由计算为网络数据选路导航，支撑网络信息交互。在整个互联网研究领域中，路由器特别是核心路由器的相关技术始终处于核心地位，其发展历程和方向是互联网发展的缩影，同时也是网络空间攻防对抗的关键点和制高点。作为一种网络专用设备，路由器一般没有防火墙、防病毒等相关安全防护手段，大多数路由器对恶意攻击基本不设防或无法设防。而且由于设计与实现环节的代码量极大，其潜在的漏洞众多。一旦攻击者控制了路由器，就可发起大规模的中间人攻击，进行敏感数据窃取或篡改。此外，通过对路由器的攻击，可实现对网络的大规模致瘫。

拟态路由器在其架构中引入多个异构冗余的路由执行体，通过对各个执行体维护的路由表项进行共识裁决，生成拟态路由器的路由表；通过对执行体的策略调度，可以实现拟态路由器对外呈现特征的不确定变化。在满足一定差异化设计的前提下，不同的执行体存在完全相同漏洞或后门的概率极低，攻击者即使控制了部分执行体，其恶意行为也很容易被拟态裁决机制所阻断，从而极大地提高路由器应对网络攻击的能力。

3、拟态web虚拟机

web是网络提供服务的主要窗口，为网络提供最为广泛的业务应用。web服务器相当于网络的“便利店”，web云服务相当于网络的“商场/超市”。

web虚拟机与普通web服务器一样，为网络用户提供网上信息浏览服务。随着云计算和虚拟化技术的发展，越来越多的传统web服务器开始采用虚拟机的形式部署在云环境中，以大幅降低网站的建设和维护成本。web虚拟机使得众多中小企业甚至个人用户也能在互联网上提供网站服务。除了要面对传统针对web服务架构的篡改网页、植入后门等瘫痪目标服务器或窃取用户敏感信息的安全威胁以外，web虚拟机还要面对由虚拟层引入的其它安全风险。盗用账号、注入、跨站、缓冲区溢出以及执行任意命令等是web服务器比较常见的安全漏洞，侧信道攻击、虚拟管理层漏洞是由虚拟环境引入的新的安全风险。

拟态web虚拟机利用云平台部署空间上的优势，构建功能等价、多样化、动态化的异构虚拟web服务器池，采用动态执行体调度、数据库指令异构化、多余度（共识）表决等技术，建立多维动态变换的运行空间，阻断攻击链，大幅增加传统web服务和虚拟环境中的漏洞及后门利用难度，在不影响web服务性能的前提下，保证服务功能的安全可信。

4、拟态云服务器

云服务器是在虚拟机的基础上进行了升级，虚拟机的弊端在于其最大配置受限于服务器本身的配置，而且如果要更改虚拟机的配置，需要关机进行操作，这对于持续性访问比较高的网站是无法接受的。云服务器是将N台服务器的资源进行整合，将N台服务器的资源整合为一个资源池，用户可以创建相比与虚拟机更大配置的资源，而且可以实时更改配置，不需要进行关机操作，即便资源池本身的容量不够，也可以直接再重新上线多台服务器，对整个资源池进行扩容。

拟态化的云服务器通过构建功能等价的异构云服务器池的方法，采用动态执行体调度、多余度（共识）表决、异常发现、线上（下）清洗等技术，及时阻断基于执行体软硬件漏洞后门等的“差模”攻击，使得蓄意攻击难以奏效。

5、拟态防火墙

防火墙是设置于网络关口的传统安全设备，为网络各类业务应用提供“安检准入”服务。防火墙是一种由软件和硬件设备组合而成的、部署在内部网与外部网之间、专用网与公共网之间的网络安全系统。防火墙是网络边界的第一道防线，也是众多网络安全产品中应用最为广泛的一种。通过部署防火墙产品，可以保护内部网免受非法用户的侵入，它能允许管理员“同意”的人和数据进入你的网络，同时将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。防火墙对数据流进行过滤与控制时，其自身的协议栈或者支撑系统可能存在健壮性漏洞、未知漏洞、后门等有可能被高水平黑客利用，出现“防火墙不防火”的境况。

针对防火墙产品在web管理层面、数据流处理层面可能存在的漏洞后门，运用拟态防御技术，以动态异构冗余架构（DHR）为指导,对传统防火墙架构进行改造后，可以在管理、数据层面增加网络攻击者的攻击难度，有效防御“安检准入”中的内鬼侵扰，提供切实可信的准入控制保障。

声明：本文来自网信军民融合，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。