“云”防火墙来了!劲爆大揭秘

ZDNet软件频道 时间:2009-11-04 作者: | 网界网 我要评论()
本文关键词:云计算 云服务 云安全 Windows
云防火墙是一个最新的概念,最早由IT巨头思科提出,他们的做法是:把其防火墙升级到“云”火墙,实现动态防范、主动安全。

  云防火墙是一个最新的概念,最早由IT巨头思科提出,他们的做法是:把其防火墙升级到“云”火墙,实现动态防范、主动安全。

  思科认为,云火墙的出现意味着第五代防火墙的诞生(前四代分别是:软件防火墙、硬件防火墙、ASIC防火墙、UTM)。云火墙的4大特征包括:防僵尸网络/木马,防止网络内部主机感染;云检测--全球IPS联动;云接入—SSL VPN;云监控--唯一支持Netflow的防火墙,实现了NOC和SOC 的二合一。

  云火墙的“大脑”是SensorBase,SensorBase的前身是SenderBase。在思科以8.3亿美元收购IronPort之后,思科得到了SenderBase,SenderBase是全球最大的邮件流量监控网络,提供全球安全威胁实时视图和电子邮件的“信用报告服务”。思科将SenderBase改名为SensorBase,并在SensorBase中加入了僵尸网络主控数据库,使其能够敏感监控僵尸网络的动态。SensorBase还增加了动态策略,如果某个互联网地址有问题就会被阻断。

  

  思科安全专家表示,SensorBase是云火墙出现的前提。思科会争取做到每15分钟更新一次SensorBase的信息,并同步到所有云火墙。各种安全信息不但可以从SensorBase传到云火墙,还可以从云火墙传到SensorBase,云火墙中的IPS可以在第一时间把攻击同步给 SensorBase,SensorBase再同步给其他云火墙。

  云安全成功的关键是要有足够多的信息收集点和计算能力,而这些正是思科的优势。思科在全球有70多万个传感器,几乎所有的全球性互联网服务提供商的网络中都有思科的传感器;有超过500家的第三方安全机构给思科提供及时的安全消息;思科监控着世界上超过30%的Email流量。

  对于SensorBase,中国用户可能会有这样的疑虑:SensorBase是全球性的网络,但能够及时分析有地域特色的威胁吗?其实用户不用担心,因为SensorBase的地址库中有30%是国内地址,这是相当高的比例。

  云火墙看上去是一个全新的产品,但实际上用户获得云火墙的方法很简单,只要把ASA防火墙的软件升级到8.2版本即可,硬件无须改变。SensorBase所产生的更新量也很小,每次只有70K。

  

  为什么要激活云防火墙,本来对于企业来说,花钱购买防火墙是一种边界安全的思想和理念,但是有没有仔细想过,这里面有些文章。

  因为防火墙都是默认信任内网,而怀疑外网,因此 防护墙的安全策略基本都是宽出严进的法则,这种默认的黄金法则有的时候是致命的。

  具体来说 大家可否知道你信任的内网可能伤害你最深(马其诺防线也最容易被从内部攻破),内网主机感染的病毒、蠕虫、木马程序后,直接导致了大量的内网主机被感染后沦为黑客的奴隶,主动的发起的恶意请求(携带了大量了你个人的私密信息,和企业的机密)而却被我们信任防火墙堂而皇之的送到外网,与黑客帝国的主控端程序交互。

  也就是说,网络犯罪和信息泄露就发生在我们门卫的眼皮底下,而且很可能我们在不知不觉中成为了黑客的帮凶!!!这个是多么可笑的事情啊,但是就是每天都发生在我们身边。

  而随着互联网应用和信息安全的发展需要,下一代防御理念也必须提升。因此 我要说为什么不思考一下用相同的钱让购买的产品做更多的事情呢?

  

  最好的做法是,让防火墙可以自主的自动的自适应的怀疑和检查内网始发的流量,不要轻易的相信任何流量(尽管他来之于我们的内网),这个就是网络这个江湖的基本生存法则。自动屏蔽这些恶意的访问连接,让内网的僵尸或者傀儡主机、挂马程序永远的失去与母体的联系,最终等待被随后更新的杀毒软件杀死!!!

  这种可以动态冷冻恶意行为的产品,业界称之为 FULL CONTROLL的防火墙! 即自适应的双向控制。

  而为了防范恶意的程序会窃取我们个人乃至于企业的信息一样,我们必须有一张覆盖全球的情报网(数据库),而情报网就像一把大伞,发送这些情报信息给我们部署在各个角落的卫士(防火墙、IPS、邮件安全网关......),有了这些信息卫士就可以轻松的找到潜伏在我们我们企业内网和主机中的内鬼!

  总结一下,曾经有哲人说过,有一种的防火墙花了钱也没有把事情做好,有另外一种的防火墙花了钱只是做了该做的事情,还有一种新形势的的云防火墙花了钱却做了更多的事情。还用犹豫什么?选择云防火墙吧!!!

  

云计算

云服务

云安全

Windows

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134