關(guān)于服務(wù)層“云”安全部分，是我們此次講座的重點，下面我們詳細的討論一下。

1、云火墻的由來

隨著Web2.0時代到來，各種網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)應(yīng)用層出不窮。攻擊者可利用的攻擊手段也更加先進。傳統(tǒng)的手動靜態(tài)的防護，已經(jīng)很難對抗大規(guī)模的網(wǎng)絡(luò)攻擊和病毒疫情。對此，思科推出了最新的安全防護模式，協(xié)同防護。

我們知道，在網(wǎng)絡(luò)中，如果一個地方發(fā)生了攻擊，那么其他地方也可能有類似的疫情發(fā)生。于是，一旦發(fā)現(xiàn)某處發(fā)生攻擊，立即通知其他地方統(tǒng)一的阻止和部署，這就是云火墻的核心思想——將防護攻擊變成動態(tài)的、協(xié)同的、主動的。

2、云火墻和防火墻不同

很多人會疑惑，云火墻和防火墻有什么區(qū)別?熟悉防火墻的朋友都知道，防火墻的策略是靜態(tài)的，用戶或網(wǎng)管設(shè)定以后，不會自動更改。因此，對于攻擊，它是完全被動的防御，不知道攻擊會出現(xiàn)在哪里，以什么形式發(fā)生。

而云火墻是動態(tài)的，它會根據(jù)SensorBase(云上的數(shù)據(jù)中心)上實時收集到的互聯(lián)網(wǎng)上攻擊的地址和URL來更新自己的策略表。簡單說，目前有一大片的主機感染了，云火墻會自動將和這些主機的鏈接中斷，而當感染消失后，云火墻也會動態(tài)的解除中斷。這樣，防護變成了主動，真正好的防護，正是防患于未然。

3、云火墻自身的特點

1、基于SensorBase動態(tài)更新策略。

這是云火墻最大的特點，也是它稱為“云”的原因。Sensorbase是云火墻的核心，思科今年在互聯(lián)網(wǎng)部署的云端數(shù)據(jù)庫。它會在全球收集各種惡意URL，各種掛馬地址，每15分鐘，它會動態(tài)更新給全球的客戶端用戶。

2、利用IPS(入侵防御系統(tǒng))模塊建立信譽的關(guān)聯(lián)協(xié)作。

人要有信譽，互聯(lián)網(wǎng)也是一樣。在云火墻中，如果你的IP過去做過很多威脅網(wǎng)絡(luò)安全的事情，你的每次行為都會被記錄到信譽分值中，隨著你的信譽值降低，你今后再次被檢測到惡意攻擊后，就會被網(wǎng)絡(luò)自動關(guān)閉鏈接。當然，如果你的信譽恨好，偶爾一次發(fā)生惡意事件(中毒等等)，網(wǎng)絡(luò)僅僅會給你一個報警，而不會強行終止你的網(wǎng)絡(luò)訪問。

3、提供虛擬云端的移動安全接入。

隨著移動互聯(lián)網(wǎng)時代的到來，移動網(wǎng)絡(luò)的安全接入成為關(guān)注焦點。云計算通過SSLVPN技術(shù)，實現(xiàn)了移動接入者的安全保護。從概念角度來說，SSL VPN即指采用SSL (Security Socket Layer)協(xié)議來實現(xiàn)遠程接入的一種新型的安全解決技術(shù)。

4、支持Netflow，對云中的流量進行監(jiān)控。

對于網(wǎng)絡(luò)中異常流量的監(jiān)控一直是網(wǎng)絡(luò)安全和網(wǎng)絡(luò)防護的重要手段之一。在云火墻中，思科采用Netflow V9技術(shù)，實現(xiàn)通過云火墻就可以檢測流量，網(wǎng)管人員通過云火墻就可以管理網(wǎng)絡(luò)。

4、云火墻熱門問題解答：

問題一：云火墻如何防范零日攻擊?

答：零日攻擊的溢出會出現(xiàn)在哪里并不清楚，所以很難防范。但是，一旦零日攻擊發(fā)生后，它會產(chǎn)生很大效果，例如蠕蟲泛濫等。云火墻一旦發(fā)現(xiàn)這種異常情況后，會將疫情報告給云中心(SensorBase)，然后轉(zhuǎn)發(fā)給整個網(wǎng)絡(luò)，來協(xié)同防范。

問題二：云火墻與UTM(統(tǒng)一威脅網(wǎng)關(guān))有什么區(qū)別?

答：UTM等網(wǎng)關(guān)集成設(shè)備，都是靜態(tài)的。不斷的將病毒特征更新到本地，隨著更新的特征越來越多，同時打開這么多的特征，對本地的設(shè)備壓力會很大。而在云火墻，只有在有攻擊的時候，才自動將策略更新給設(shè)備，沒有攻擊的時候，取消策略。作為設(shè)備端，只需要開通缺省配置就可以了。這也正是云火墻動態(tài)更新的好處。而且，大家要注意一點，云火墻每15分鐘向客戶端更新的不是病毒特征，而是防護策略。

問題三：云火墻的策略管控是強制的么?例如，一個知名網(wǎng)站被掛馬，難道就不能去這個網(wǎng)站了么?

答：云火墻雖然會自動更新你的防護策略，但你可以通過云火墻的白名單和黑名單功能，自行設(shè)置某些網(wǎng)站的信任程度。

網(wǎng)絡(luò)安全技術(shù)的發(fā)展是隨著網(wǎng)絡(luò)進步而永不停止的……
 

【編輯推薦】

1. 云安全應(yīng)用，瀏覽器“云”安全時代
2. 認識云計算和全新一代云安全2.0技術(shù)
3. 關(guān)于云安全定義的六種見解