面对复杂多变的网络威胁，该如何有效地进行防御？这个问题似乎没有一个标准答案，但唯有不断地改变，才能找到更加有效的方法。

在近日召开的锐捷网络2019年合作伙伴大会上，一款能够虚拟大量IP、动态改变网络拓扑，给攻击者呈现“网络迷宫”的RG-DDP动态防御系统被揭开面纱。它到底有什么魔力，为什么会被称为“病毒克星”呢？

勒索软件愈演愈烈，传统防毒愈发吃力

近几年，越来越多的病毒让网络安全技术演化的方向受到了前所未有的关注。比特币等数字加密货币让黑产获利变得简单，致使勒索软件、挖矿病毒攻击频传，灾情遍布全球。然而，在各大安全防护厂商积极提升防御之术的时候，恶意攻击者也对自身技艺持续更新，不断演进出新型或变种网络病毒。在这场旷日持久的鏖战中，基于“已知安全特征”的传统防毒系统逐渐败下阵来，始终跟随病毒演进而被动处理的方式让用户苦不堪言，危机四伏风声鹤唳。

需要特别指出的是，主机中毒后的处理属于事后行为，困难重重代价过大，要经过感知、查杀、加固、定位源头等复杂的一系列处理过程，尤其对于勒索病毒爆发后除非交付赎金，否则恢复的概率几乎为零。所以，摆脱基于“已知安全特征”的传统防毒系统，并且在事前防御监测的安全体系就显得十分重要。

构建网络迷宫，在“扫描阶段”消除危机

锐捷推出RG-DDP动态防御系统的目标就旨在跳出这个怪圈，其工作机制更像“反乌托邦科幻三部曲”中的《移动迷宫》。在这部被好莱坞拍摄的科幻片中，迷宫呈现的巨石形态会出现不断变化，在真假难辨中，寻找出口(攻击目标)则变得异常艰难。那么，RG-DDP又是如何保护网内安全和定位病毒攻击的呢？

配图：电影《移动迷宫The Maze Runner》剧照

对于网络型传播的蠕虫病毒，在病毒传播阶段会包含两个步骤：1、扫描主机和端口，发现可利用主机和端口;2、网络扫描阶段不涉及业务交互，无法区分是不是真实IP和端口。

RG-DDP会虚拟出千万个虚拟IP，这其中只有少量真实主机IP，我们发现，正常业务终端是不会访问这些虚拟IP的，而频繁访问虚拟IP的极高概率是病毒或攻击( 广播组播类或合法探测类业务可纳入白名单不告警)，病毒或网络攻击者在找到真正资产和漏洞前就被RG-DDP捕获了。

(RG-DDP在192.168.0.X网段虚拟出的部分IP)

安全技术不断演进，锐捷采用了一种全新的防御思维模式，通过构建一个虚拟的、动态的、随机变幻的局域网环境来提升攻击难度，进而可以将危险消灭在萌芽状态。如RG-DDP串联部署(可选部署在旁路和串联模式)的方式在感知攻击问题后，可以直接阻断。

(检测到3个攻击源，RG-DDP串联阻断攻击)