二、基于安全设备云的安全防护

　　主动云防御系统主要包含3个部分：安全防护集群、安全检测集群、主动云防御服务器。安全防护集群由连接到主动云防护系统中的所有安全设备组成，负责从服务器下载并执行安全防护列表;安全检测集群主要由分布式部署的UTM、IPS、AVG等设备和恶意网站探测服务器组成，负责实时检测攻击、病毒、木马等恶意行为，并上传到服务器，安全检测集群中设备也可能属于安全防护集群;主动云防御服务器负责采集信息，并自动验证、归并为安全防护列表下发到安全防护集群。

　　整个系统工作流程可以划分为安全防护列表收集流程和安全防护列表过滤流程，其中，安全防护列表收集流程执行在恶意网站探测服务器、UTM、IPS、AVG设备群、主动云防御服务器上，具体工作流程如下：

　　恶意网站探测服务器采用网络爬虫的方式，遍历各个网站上的页面，并下载页面上链接指向的文件资源，然后利用商用病毒检测工具进行多重检测，如果在某个文件中检测到病毒，则把该文件对应链接的URL信息和病毒名称传送到主动云防御服务器。

　　AVG和UTM设备中的病毒检测模块，对通过该设备的网络流量进行分析和应用报文重组，然后进行病毒检测，如果发现病毒，则把该病毒对应的URL存入事件归并与关联模块中的事件队列中。最后定时向主动云防御服务器提交已归并的病毒名称、URL等信息。

　　AVG和UTM设备中的入侵检测模块，对通过该设备的网络流量进行协议分析和统计，判断该流量中是否包含入侵攻击行为，如果发现入侵攻击，则把该攻击对应的攻击名称、地址等信息存入事件归并与关联模块中的事件队列中。最后定时向主动云防御服务器提交已归并的入侵攻击名称、地址等信息。

　　主动云防御服务器收集上述3种病毒和攻击信息，首先进行合并，剔出重复冗余的信息，然后进行校验，剔出老化或失效的地址、误报信息、内部网络地址等无效信息，最后整理成包含病毒或木马的URL列表和发起攻击的地址和服务端口的安全防护列表。主动云防御服务器定时把该列表下发给所有云防护系统内的网关设备。

　　安全防护列表过滤流程包含两个部分：网关设备从主动云防御服务器上获取安全防护列表，并在经过该设备的流量中拦截针对恶意站点URL的资源请求，以及来自具有攻击企图的IP地址的网络访问。因为检查恶意站点URL所需要的计算和存储空间远小于检查整个文件是否包含病毒所用的资源，检查攻击企图IP地址所需要的计算和存储空间远小于检查整个报文是否包含入侵攻击所用的资源，所以，通过云防护系统，所有已部署的网关设备均具有病毒和攻击防护功能，用户网络信息安全可以得到最大化的保障。