在信息產業中，安全是一個令人尷尬的行當。計算、網絡、存儲等廠商可以驕傲地歷數近年來技術性能的突飛猛進，而安全產業在不斷地發展和投入之后，面對的卻是越來越多、越來越麻煩的安全問題。

僵尸成“云”

如果想要進一步說明情況的惡化，除了不斷見諸報端的安全事件，我們還可以試著問這樣一個問題：和過去相比，今天，成為一名黑客，或者發動一場網絡攻擊，究竟是更困難還是更容易了呢？答案顯然是后者，就像Facebook信息安全負責人MaxKelly在不久前一次網絡安全事故后談到的：“網絡攻擊與犯罪現在正變得前所未有的容易，發動一次攻擊就像是去超市購物一樣簡單。”

不單是Facebook，類似的抱怨在今天的網站中早已屢見不鮮。就在7月份，炙手可熱的Twitter網被人搞得頻繁斷線，造成用戶無法登錄；美國政府網站也遭到大規模DDoS攻擊，導致長時間癱瘓；而針對各種商業網站的攻擊更是屢見不鮮。

為什么越來越多的商業競爭者喜歡采用這種方式打擊對手？亞馬遜戰略研究員JeffBarr說的這句話也許就是答案：“對于依賴網絡實現業務運營的企業來說，這樣的網絡攻擊就如同在路上挨了一悶棍，在暈倒的時間里什么都有可能發生。而且重要的是，你很難找到究竟是誰給了你這一棍。”

思科研究員兼首席網絡安全研究員PatrickPeterson在最近發布的安全報告中特別談到，因為商業利益原因導致的網絡攻擊在不斷攀升，低廉的犯罪成本再加上利益的驅動，使得僵尸網絡變得越來越難以控制。

就拿最近一段時間大名鼎鼎的Conficker蠕蟲來說，這個最早于2008年11月20日被發現的，以微軟的Windows操作系統為攻擊目標的計算機蠕蟲病毒，到了今年年初，就被《紐約時報》報道其至少感染了900萬臺計算機，而殺毒軟件廠商F-Secure更聲稱感染達到了驚人的1500萬臺。

直到今天，雖然相關補丁已經出現很久，但憑借多個變種版本，Conficker蠕蟲仍將數百萬個系統控制在其魔掌之下，締造了迄今為止規模最大的僵尸之“云”。這些僵尸網絡被以極為低廉的價格，租借給懷有不同目的的犯罪分子，利用這些資源實施網絡拒絕服務攻擊，或者通過SaaS模型散布垃圾郵件和惡意軟件。

而反觀安全防護技術，卻遲遲未能見到革命性的進展。以企業應用中最為常見的安全防護產品——防火墻來說，雖然也經過了幾代的發展，從軟件到硬件、從單核到多核，但其根本的被動防護的原理卻基本沒有改變，這也使得其面對變幻多端的僵尸“云”威脅時，總是一籌莫展難以應對。

人們不禁要問，出路究竟在哪里？

下一代防火墻“云”中來

“信息安全的出路，最終也需要從‘云’中尋找，而所謂的‘云’其實也就是互聯網?！惫鶓c的話開門見山，作為思科安全產品事業部的技術專家，郭慶顯然對網絡和安全都有著非常深刻的認識，“今天的安全問題之所以讓人困擾，根源就在于網絡的主要特征，正從傳輸向著智能化的云計算演進，正是這一變化，使得新的安全威脅變得更加難以防范?！?

郭慶認為，越來越龐大的互聯網正在逐步具備“智能”與“感知”的特性，而這些特性，也恰恰是今天的信息安全產品所需要具備的，也只有具備了這些特性，新一代的信息安全防護體系，才能真正發揮作用。

“現在很多安全產品都面臨著巨大的挑戰，比如‘防火墻無用論’在國外早已有人提出，并且贊同的聲音不少?！惫鶓c談道，“雖然這樣的言論有失偏頗，但也不無道理，回顧防火墻的發展歷史，從以CheckPoint為代表的軟件防火墻，發展到硬件防火墻、ASIC防火墻，再到今天熱鬧一時的UTM，盡管性能和功能上都有很大提升，但其最基本的原理大多仍然是檢測靜態的地址表。很顯然，對于不斷變化的僵尸網絡，這樣的防火墻即使性能再高，也難以施展，未來應該屬于新一代的防火墻——‘云’火墻”。

那么，這種從“云”中而來的防火墻究竟具備什么樣的特性？與傳統的防火墻產品相比又有怎樣的區別呢？

“云”火墻最本質的特點，就是它的動態化和智能化，而其技術實現的途徑，就是充分利用“云”進行動態實時的威脅信息集中采樣與共享，從而最終實現主動應變的安全服務?！惫鶓c進一步解釋道，“思科擁有目前全球最龐大的安全威脅監測網絡SensorBase，這就是新一代防火墻的‘云端’（如圖2所示）。

它可以持續收集威脅的更新信息。這種更新的信息包括互聯網上已知威脅的詳細信息，連續攻擊者、僵尸網絡收獲者、惡意爆發和黑網（DarkNets）等。通過將這些信息實時傳遞到‘云’火墻，可以在僵尸網絡等惡意攻擊者有機會損害重要資產之前及時過濾掉這些攻擊者。”

云安全的實質

由于現在互聯網信息呈爆炸趨勢，每天新出現的數據以TB計算，如此巨量的網頁、視頻、郵件、文件，任何一個商業公司都無法把它們都全部、實時地標明安全等級，并存儲在數據庫里供用戶進行安全查詢。

不過，盡管“云”火墻相對傳統的防火墻技術有了很大的提升，但是距離建立起一套真正的現代信息安全防護體系還有著相當的距離。不過，最重要的是，我們可以從中看到邁向未來安全的關鍵路標，而這也正是云安全的本質。

以云計算為代表的現代信息體系正變得日益龐大和復雜，對于這類復雜多變的體系，現代模糊數學的創始人扎德有一條經典的互克原理：“在足夠復雜的系統里面，當某種量描述得越精確，那么這種量描述的意義越模糊?！睋Q句話說，在一個復雜的系統中，所有的因素都相互制約影響。

因此對反映系統的量確定得越具體，那么這個量對系統的描述就越不準確。這是系統自身固有的矛盾，與測量方法和理論沒有關系。就如同一個人無法抓住自己頭發把自己提起來，這與他如何用力以及力氣大小無關一樣。

正因為這樣的矛盾，使得云時代的安全防護重心，逐步遠離過去那種對性能或功能的片面追求，而是轉向更著重于基于網絡之云的智慧感知與靈活應對。

最后，記者想借用思科首席安全研究員PatrickPeterson的一個比喻，在Twitter攻擊事件后，PatrickPeterson形容僵尸網絡強大的威力對于這些網站而言，就像是“用手雷去攻擊蚊子”。

同樣的，如果你仍然堅持在傳統的安全思路下花費重金、提升處理性能，就如同希望這只蚊子有一天能強壯到抵御手雷一樣，那將是一條真正的不歸路。

【編輯推薦】

1. 巧妙設置防火墻“護駕”共享文件安全
2. 專題：Linux防火墻
3. 最新防火墻技術