【51CTO.com綜合消息】在信息產(chǎn)業(yè)中，安全是一個令人尷尬的行當。計算、網(wǎng)絡(luò)、存儲等廠商可以驕傲地歷數(shù)近年來技術(shù)性能的突飛猛進，而安全產(chǎn)業(yè)在不斷地發(fā)展和投入之后，面對的卻是越來越多、越來越麻煩的安全問題。就像Facebook信息安全負責人MaxKelly在不久前一次網(wǎng)絡(luò)安全事故后談到的：“網(wǎng)絡(luò)攻擊與犯罪現(xiàn)在正變得前所未有的容易，發(fā)動一次攻擊就像是去超市購物一樣簡單?！?/P>

思科研究員兼首席網(wǎng)絡(luò)安全研究員PatrickPeterson在最近發(fā)布的安全報告中特別談到，因為商業(yè)利益原因?qū)е碌木W(wǎng)絡(luò)攻擊在不斷攀升，低廉的犯罪成本再加上利益的驅(qū)動，使得僵尸網(wǎng)絡(luò)變得越來越難以控制。

而反觀安全防護技術(shù)，卻遲遲未能見到革命性的進展。以企業(yè)應(yīng)用中最為常見的安全防護產(chǎn)品——防火墻來說，雖然也經(jīng)過了幾代的發(fā)展，從軟件到硬件、從單核到多核，但其根本的被動防護的原理卻基本沒有改變，這也使得其面對變幻多端的僵尸“云”威脅時，總是一籌莫展難以應(yīng)對。

人們不禁要問，出路究竟在哪里?

下一代防火墻“云”中來

“信息安全的出路，最終也需要從‘云’中尋找，而所謂的‘云’其實也就是互聯(lián)網(wǎng)。”郭慶的話開門見山，作為思科安全產(chǎn)品事業(yè)部的技術(shù)專家，郭慶顯然對網(wǎng)絡(luò)和安全都有著非常深刻的認識，“今天的安全問題之所以讓人困擾，根源就在于網(wǎng)絡(luò)的主要特征，正從傳輸向著智能化的‘云’計算演進，正是這一變化，使得新的安全威脅變得更加難以防范?！?/P>

郭慶認為，越來越龐大的互聯(lián)網(wǎng)正在逐步具備“智能”與“感知”的特性，而這些特性，也恰恰是今天的信息安全產(chǎn)品所需要具備的，也只有具備了這些特性，新一代的信息安全防護體系，才能真正發(fā)揮作用。

“現(xiàn)在很多安全產(chǎn)品都面臨著巨大的挑戰(zhàn)，比如‘防火墻無用論’在國外早已有人提出，并且贊同的聲音不少?！惫鶓c談道，“雖然這樣的言論有失偏頗，但也不無道理，回顧防火墻的發(fā)展歷史，從起初的軟件防火墻，發(fā)展到硬件防火墻、ASIC防火墻，再到今天熱鬧一時的UTM，盡管性能和功能上都有很大提升，但其最基本的原理大多仍然是檢測靜態(tài)的地址表。很顯然，對于不斷變化的僵尸網(wǎng)絡(luò)，這樣的防火墻即使性能再高，也難以施展，未來應(yīng)該屬于新一代的防火墻——‘云’火墻”。

云安全的實質(zhì)

“云”火墻最本質(zhì)的特點，就是它的動態(tài)化和智能化，而其技術(shù)實現(xiàn)的途徑，就是充分利用“云”進行動態(tài)實時的威脅信息集中采樣與共享，從而最終實現(xiàn)主動應(yīng)變的安全服務(wù)?！惫鶓c進一步解釋道，“思科擁有目前全球最龐大的安全威脅監(jiān)測網(wǎng)絡(luò)SensorBase，這就是新一代防火墻的‘云端’。它可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細信息，包括連續(xù)攻擊者、僵尸網(wǎng)絡(luò)收獲者、惡意爆發(fā)和黑網(wǎng)(DarkNets)等。通過將這些信息實時傳遞到‘云’火墻，可以在僵尸網(wǎng)絡(luò)等惡意攻擊者有機會損害重要資產(chǎn)之前及時過濾掉這些攻擊者?！?/P>

盡管“云”火墻相對傳統(tǒng)的防火墻技術(shù)有了很大的提升，但是距離建立起一套真正的現(xiàn)代信息安全防護體系還有著相當長的時間。不過，最重要的是，我們可以從中看到邁向未來安全的關(guān)鍵路標，而這也正是“云”安全的本質(zhì)。

思科：安全防護技術(shù)進入“云”火墻時代

“云”安全概念給反病毒軟件廠商帶來了新的活力并迅速獲得了業(yè)界的認可，各家安全廠商都在實踐著自己的‘云’安全之路?，F(xiàn)在，是時候讓防火墻做一些改變了。IT巨頭思科的做法是：把其防火墻升級到“云”火墻，實現(xiàn)動態(tài)防范、主動安全。

思科認為，“云”火墻的出現(xiàn)意味著第五代防火墻的誕生(前四代分別是：軟件防火墻、硬件防火墻、ASIC防火墻、UTM)。云火墻的4大特征包括：防僵尸網(wǎng)絡(luò)/木馬，防止網(wǎng)絡(luò)內(nèi)部主機感染;“云”檢測——全球IPS聯(lián)動;“云”接入——SSL VPN;“云”監(jiān)控——唯一支持Netflow的防火墻，實現(xiàn)了NOC和SOC的二合一。

“云”火墻的“大腦”是SensorBase，而SensorBase的前身是SenderBase。在以8.3億美元收購IronPort之后，思科得到了SenderBase。作為全球最大的郵件流量監(jiān)控網(wǎng)絡(luò)，SenderBase能夠提供全球安全威脅實時視圖和電子郵件的“信用報告服務(wù)”。思科將SenderBase改名為SensorBase，并在SensorBase中加入了僵尸網(wǎng)絡(luò)主控數(shù)據(jù)庫，使其能夠敏感監(jiān)控僵尸網(wǎng)絡(luò)的動態(tài)。同時，SensorBase還增加了動態(tài)策略，如果某個互聯(lián)網(wǎng)地址有問題就會被阻斷。

思科安全專家表示，SensorBase是“云”火墻出現(xiàn)的前提。思科會爭取做到每15分鐘更新一次SensorBase的信息，并同步到所有“云”火墻中。各種安全信息不但可以從SensorBase傳到“云”火墻，還可以從“云”火墻傳到SensorBase，“云”火墻中的IPS可以在第一時間把攻擊同步給SensorBase，SensorBase再同步給其他“云”火墻。

“云”安全成功的關(guān)鍵是要有足夠多的信息收集點和計算能力，而這些正是思科的優(yōu)勢。思科在全球有70多萬個傳感器，幾乎所有的全球性互聯(lián)網(wǎng)服務(wù)提供商的網(wǎng)絡(luò)中都有思科的傳感器;有超過500家的第三方安全機構(gòu)給思科提供及時的安全消息。

“云”火墻看上去是一個全新的產(chǎn)品，但實際上用戶獲得“云”火墻的方法很簡單，只要把ASA防火墻的軟件升級到8.2版本即可，而無須改變硬件。SensorBase所產(chǎn)生的更新量也很小，每次只有70K。

思科“云”火墻創(chuàng)造不同

兩年前，美國超級計算機中心安全技術(shù)部門的計算機安全經(jīng)理Abe Singer表示，防火墻的最大問題就是對于企業(yè)內(nèi)部人員做出的威脅舉動無能為力。由于認為防火墻沒什么用處，Singer沒有使用防火墻而采用其他方法來保證網(wǎng)絡(luò)安全。Singer的話有一定道理，隨著針對應(yīng)用層攻擊的增多，網(wǎng)絡(luò)層防火墻的地位愈發(fā)有些尷尬。

“云”安全是當前最熱門的安全概念，而思科把“云”安全和防火墻結(jié)合到了一起，推出了第五代防火墻——“云”火墻，不僅能夠在第一時間發(fā)現(xiàn)僵尸網(wǎng)絡(luò)主控網(wǎng)站、掛馬網(wǎng)站，并阻止用戶訪問這些網(wǎng)站;而且在用戶的電腦成為“肉雞”或者被掛馬時，能夠阻斷該電腦發(fā)送給外部主控網(wǎng)站的信息?？梢哉f，“云”火墻解決了Singer所批評的防火墻的最大問題。

“云”火墻的關(guān)鍵特征是動態(tài)防范和主動安全，而SensorBase作為“云”火墻的“大腦”監(jiān)控著僵尸網(wǎng)絡(luò)的變化，加上思科遍布全球的傳感器和眾多的安全信息提供方，使得“云”火墻能夠在最短的時間內(nèi)了解全世界網(wǎng)絡(luò)中惡意威脅的動態(tài)并提供防范措施，從而為安全防護技術(shù)帶來了革命性的進展。

【編輯推薦】

1. “云”火墻讓Cisco防火墻能夠與眾不同
2. 有防火墻網(wǎng)絡(luò)安全就可以高枕無憂？
3. 為什么Windows防火墻不夠安全