云安全引发云火墙时代

随着云安全对来自网络危胁的力拼，现在越来越多的安全厂商开始关注这一新名词。而对于如今的防火墙来说，则也需要改进。

 防火墙需要加入云理念

两年前，美国超级计算机中心安全技术部门的计算机安全经理Abe Singer表示，防火墙有一个“可怕的真相”：防火墙有性能问题，容易因为一连串的故障而受到攻击，修改网络一个地方的规则会在网络的另一个地方造成安 全漏洞。他认为，防火墙的最大问题是：对于企业内部人员做出的威胁举动，防火墙无能为力。由于认为防火墙没什么用处，Singer没有使用防火墙而采用其 他方法来保证网络安全。

图一

 Singer的话有一定道理，而且随着针对应用层的攻击的增多，网络层防火墙的地位愈发有些尴尬。现在，是时候让防火墙做一些改变了。云安全是当前最热门的安全概念，而思科公司就把云安全和防火墙结合到了一起，推出了第五代防火墙–云火墙。

云火墙可以防僵尸网络和木马。一方面，云火墙能够第一时间发现僵尸网络主控网站、挂马网站，从而阻止用户访问这些网站；另一方面，如果用户电脑成为“肉鸡 ”或者被挂马，云火墙能够阻断该电脑发送给外部主控网站的信息。可以说，云火墙解决了Singer所批评的防火墙的最大问题。SenderBase不但监 控全球的邮件流量，还监控着僵尸网络的变化。

作为第五代防火墙，云火墙的关键特征是：动态防范、主动安全。

思科云火墙观点

思科认为，云火墙的出现意味着第五代防火墙的诞生(前四代分别是：软件防火墙、硬件防火墙、ASIC防火墙、UTM)。云火墙的4大特征包括：防僵尸网络/木马，防止网络内部主机感染;云检测–全球IPS联动;云接入?SSL VPN;云监控–唯一支持Netflow的防火墙，实现了NOC和SOC的二合一。

云火墙的“大脑”是SensorBase，SensorBase的前身是SenderBase。在思科以8.3亿美元收购IronPort之后，思科得到了SenderBase，SenderBase是全球最大的邮件流量监控网络，提供全球安全威胁实时视图和电子邮件的“信用报告服务”。思科将SenderBase改名为SensorBase，并在SensorBase中加入了僵尸网络主控数据库，使其能够敏感监控僵尸网络的动态。SensorBase还增加了动态策略，如果某个互联网地址有问题就会被阻断。

图二

思科安全专家表示，SensorBase是云火墙出现的前提。思科会争取做到每15分钟更新一次SensorBase的信息，并同步到所有云火墙。各种安 全信息不但可以从SensorBase传到云火墙，还可以从云火墙传到SensorBase，云火墙中的IPS可以在第一时间把攻击同步给 SensorBase，SensorBase再同步给其他云火墙。

云安全成功的关键是要有足够多的信息收集点和计算能力，而这些正是思科的优势。思科在全球有70多万个传感器，几乎所有的全球性互联网服务提供商的网络中都有思科的传感器;有超过500家的第三方安全机构给思科提供及时的安全消息;思科监控着世界上超过30%的Email流量。

对于SensorBase，中国用户可能会有这样的疑虑：SensorBase是全球性的网络，但能够及时分析有地域特色的威胁吗?其实用户不用担心，因为SensorBase的地址库中有30%是国内地址，这是相当高的比例。

云火墙看上去是一个全新的产品，但实际上用户获得云火墙的方法很简单，只要把ASA防火墙的软件升级到8.2版本即可，硬件无须改变。SensorBase所产生的更新量也很小，每次只有70K。

后记

云火墙让思科的防火墙有别于竞争对手的产品，创造了新的卖点。不仅如此，云火墙还将改变防火墙以往”卖盒子”的销售模式，思科的设想是：未来，对云火墙从SensorBase接受到的信息收取一定的服务费。

由于思科有遍布全球的传感器和众多的安全信息提供方，因此云火墙能在最短的时间内了解全世界网络中恶意威胁的动态并提供防范措施。