【51CTO.com綜合消息】在信息產業中，安全是一個令人尷尬的行當。計算、網絡、存儲等廠商可以驕傲地歷數近年來技術性能的突飛猛進，而安全產業在不斷地發展和投入之后，面對的卻是越來越多、越來越麻煩的安全問題。就像Facebook信息安全負責人MaxKelly在不久前一次網絡安全事故后談到的：“網絡攻擊與犯罪現在正變得前所未有的容易，發動一次攻擊就像是去超市購物一樣簡單。”

思科研究員兼首席網絡安全研究員PatrickPeterson在最近發布的安全報告中特別談到，因為商業利益原因導致的網絡攻擊在不斷攀升，低廉的犯罪成本再加上利益的驅動，使得僵尸網絡變得越來越難以控制。

而反觀安全防護技術，卻遲遲未能見到革命性的進展。以企業應用中最為常見的安全防護產品——防火墻來說，雖然也經過了幾代的發展，從軟件到硬件、從單核到多核，但其根本的被動防護的原理卻基本沒有改變，這也使得其面對變幻多端的僵尸“云”威脅時，總是一籌莫展難以應對。

人們不禁要問，出路究竟在哪里?

下一代防火墻“云”中來

“信息安全的出路，最終也需要從‘云’中尋找，而所謂的‘云’其實也就是互聯網。”郭慶的話開門見山，作為思科安全產品事業部的技術專家，郭慶顯然對網絡和安全都有著非常深刻的認識，“今天的安全問題之所以讓人困擾，根源就在于網絡的主要特征，正從傳輸向著智能化的‘云’計算演進，正是這一變化，使得新的安全威脅變得更加難以防范。”

郭慶認為，越來越龐大的互聯網正在逐步具備“智能”與“感知”的特性，而這些特性，也恰恰是今天的信息安全產品所需要具備的，也只有具備了這些特性，新一代的信息安全防護體系，才能真正發揮作用。

“現在很多安全產品都面臨著巨大的挑戰，比如‘防火墻無用論’在國外早已有人提出，并且贊同的聲音不少。”郭慶談道，“雖然這樣的言論有失偏頗，但也不無道理，回顧防火墻的發展歷史，從起初的軟件防火墻，發展到硬件防火墻、ASIC防火墻，再到今天熱鬧一時的UTM，盡管性能和功能上都有很大提升，但其最基本的原理大多仍然是檢測靜態的地址表。很顯然，對于不斷變化的僵尸網絡，這樣的防火墻即使性能再高，也難以施展，未來應該屬于新一代的防火墻——‘云’火墻”。

云安全的實質

“云”火墻最本質的特點，就是它的動態化和智能化，而其技術實現的途徑，就是充分利用“云”進行動態實時的威脅信息集中采樣與共享，從而最終實現主動應變的安全服務。”郭慶進一步解釋道，“思科擁有目前全球最龐大的安全威脅監測網絡SensorBase，這就是新一代防火墻的‘云端’。它可以持續收集互聯網上已知威脅的詳細信息，包括連續攻擊者、僵尸網絡收獲者、惡意爆發和黑網(DarkNets)等。通過將這些信息實時傳遞到‘云’火墻，可以在僵尸網絡等惡意攻擊者有機會損害重要資產之前及時過濾掉這些攻擊者。”

盡管“云”火墻相對傳統的防火墻技術有了很大的提升，但是距離建立起一套真正的現代信息安全防護體系還有著相當長的時間。不過，最重要的是，我們可以從中看到邁向未來安全的關鍵路標，而這也正是“云”安全的本質。

思科：安全防護技術進入“云”火墻時代

“云”安全概念給反病毒軟件廠商帶來了新的活力并迅速獲得了業界的認可，各家安全廠商都在實踐著自己的‘云’安全之路。現在，是時候讓防火墻做一些改變了。IT巨頭思科的做法是：把其防火墻升級到“云”火墻，實現動態防范、主動安全。

思科認為，“云”火墻的出現意味著第五代防火墻的誕生(前四代分別是：軟件防火墻、硬件防火墻、ASIC防火墻、UTM)。云火墻的4大特征包括：防僵尸網絡/木馬，防止網絡內部主機感染;“云”檢測——全球IPS聯動;“云”接入——SSL VPN;“云”監控——唯一支持Netflow的防火墻，實現了NOC和SOC的二合一。

“云”火墻的“大腦”是SensorBase，而SensorBase的前身是SenderBase。在以8.3億美元收購IronPort之后，思科得到了SenderBase。作為全球最大的郵件流量監控網絡，SenderBase能夠提供全球安全威脅實時視圖和電子郵件的“信用報告服務”。思科將SenderBase改名為SensorBase，并在SensorBase中加入了僵尸網絡主控數據庫，使其能夠敏感監控僵尸網絡的動態。同時，SensorBase還增加了動態策略，如果某個互聯網地址有問題就會被阻斷。

思科安全專家表示，SensorBase是“云”火墻出現的前提。思科會爭取做到每15分鐘更新一次SensorBase的信息，并同步到所有“云”火墻中。各種安全信息不但可以從SensorBase傳到“云”火墻，還可以從“云”火墻傳到SensorBase，“云”火墻中的IPS可以在第一時間把攻擊同步給SensorBase，SensorBase再同步給其他“云”火墻。

“云”安全成功的關鍵是要有足夠多的信息收集點和計算能力，而這些正是思科的優勢。思科在全球有70多萬個傳感器，幾乎所有的全球性互聯網服務提供商的網絡中都有思科的傳感器;有超過500家的第三方安全機構給思科提供及時的安全消息。

“云”火墻看上去是一個全新的產品，但實際上用戶獲得“云”火墻的方法很簡單，只要把ASA防火墻的軟件升級到8.2版本即可，而無須改變硬件。SensorBase所產生的更新量也很小，每次只有70K。

思科“云”火墻創造不同

兩年前，美國超級計算機中心安全技術部門的計算機安全經理Abe Singer表示，防火墻的最大問題就是對于企業內部人員做出的威脅舉動無能為力。由于認為防火墻沒什么用處，Singer沒有使用防火墻而采用其他方法來保證網絡安全。Singer的話有一定道理，隨著針對應用層攻擊的增多，網絡層防火墻的地位愈發有些尷尬。

“云”安全是當前最熱門的安全概念，而思科把“云”安全和防火墻結合到了一起，推出了第五代防火墻——“云”火墻，不僅能夠在第一時間發現僵尸網絡主控網站、掛馬網站，并阻止用戶訪問這些網站;而且在用戶的電腦成為“肉雞”或者被掛馬時，能夠阻斷該電腦發送給外部主控網站的信息。可以說，“云”火墻解決了Singer所批評的防火墻的最大問題。

“云”火墻的關鍵特征是動態防范和主動安全，而SensorBase作為“云”火墻的“大腦”監控著僵尸網絡的變化，加上思科遍布全球的傳感器和眾多的安全信息提供方，使得“云”火墻能夠在最短的時間內了解全世界網絡中惡意威脅的動態并提供防范措施，從而為安全防護技術帶來了革命性的進展。

【編輯推薦】

1. “云”火墻讓Cisco防火墻能夠與眾不同
2. 有防火墻網絡安全就可以高枕無憂？
3. 為什么Windows防火墻不夠安全