年度回顾：云火墙与云安全

关于服务层“云”安全部分，是我们此次讲座的重点，下面我们详细的讨论一下。

1、云火墙的由来

随着Web2.0时代到来，各种网络服务和网络应用层出不穷。攻击者可利用的攻击手段也更加先进。传统的手动静态的防护，已经很难对抗大规模的网络攻击和病毒疫情。对此，思科推出了最新的安全防护模式，协同防护。

我们知道，在网络中，如果一个地方发生了攻击，那么其他地方也可能有类似的疫情发生。于是，一旦发现某处发生攻击，立即通知其他地方统一的阻止和部署，这就是云火墙的核心思想——将防护攻击变成动态的、协同的、主动的。

2、云火墙和防火墙不同

很多人会疑惑，云火墙和防火墙有什么区别?熟悉防火墙的朋友都知道，防火墙的策略是静态的，用户或网管设定以后，不会自动更改。因此，对于攻击，它是完全被动的防御，不知道攻击会出现在哪里，以什么形式发生。

而云火墙是动态的，它会根据SensorBase(云上的数据中心)上实时收集到的互联网上攻击的地址和URL来更新自己的策略表。简单说，目前有一大片的主机感染了，云火墙会自动将和这些主机的链接中断，而当感染消失后，云火墙也会动态的解除中断。这样，防护变成了主动，真正好的防护，正是防患于未然。

3、云火墙自身的特点

1、基于SensorBase动态更新策略。

这是云火墙最大的特点，也是它称为“云”的原因。Sensorbase是云火墙的核心，思科今年在互联网部署的云端数据库。它会在全球收集各种恶意URL，各种挂马地址，每15分钟，它会动态更新给全球的客户端用户。

2、利用IPS(入侵防御系统)模块建立信誉的关联协作。

人要有信誉，互联网也是一样。在云火墙中，如果你的IP过去做过很多威胁网络安全的事情，你的每次行为都会被记录到信誉分值中，随着你的信誉值降低，你今后再次被检测到恶意攻击后，就会被网络自动关闭链接。当然，如果你的信誉恨好，偶尔一次发生恶意事件(中毒等等)，网络仅仅会给你一个报警，而不会强行终止你的网络访问。

3、提供虚拟云端的移动安全接入。

随着移动互联网时代的到来，移动网络的安全接入成为关注焦点。云计算通过SSL科学技术，实现了移动接入者的安全保护。从概念角度来说，SSL 科学即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型的安全解决技术。

4、支持Netflow，对云中的流量进行监控。

对于网络中异常流量的监控一直是网络安全和网络防护的重要手段之一。在云火墙中，思科采用Netflow V9技术，实现通过云火墙就可以检测流量，网管人员通过云火墙就可以管理网络。

4、云火墙热门问题解答：

问题一：云火墙如何防范零日攻击?

答：零日攻击的溢出会出现在哪里并不清楚，所以很难防范。但是，一旦零日攻击发生后，它会产生很大效果，例如蠕虫泛滥等。云火墙一旦发现这种异常情况后，会将疫情报告给云中心(SensorBase)，然后转发给整个网络，来协同防范。

问题二：云火墙与UTM(统一威胁网关)有什么区别?

答：UTM等网关集成设备，都是静态的。不断的将病毒特征更新到本地，随着更新的特征越来越多，同时打开这么多的特征，对本地的设备压力会很大。而在云火墙，只有在有攻击的时候，才自动将策略更新给设备，没有攻击的时候，取消策略。作为设备端，只需要开通缺省配置就可以了。这也正是云火墙动态更新的好处。而且，大家要注意一点，云火墙每15分钟向客户端更新的不是病毒特征，而是防护策略。

问题三：云火墙的策略管控是强制的么?例如，一个知名网站被挂马，难道就不能去这个网站了么?

答：云火墙虽然会自动更新你的防护策略，但你可以通过云火墙的白名单和黑名单功能，自行设置某些网站的信任程度。

网络安全技术的发展是随着网络进步而永不停止的……

【编辑推荐】