云火墻

1、網(wǎng)絡(luò)與信息安全——云火墻,張淑征,防火墻,防火墻可以是軟件，也可以是硬件，它能夠檢查來自 Internet 或網(wǎng)絡(luò)的信息，然后根據(jù)防火墻設(shè)置阻止或允許這些信息通過計(jì)算機(jī)。防火墻有助于防止黑客或惡意軟件（如蠕蟲）通過網(wǎng)絡(luò)或 Internet 訪問計(jì)算機(jī)。防火墻還有助于阻止計(jì)算機(jī)向其他計(jì)算機(jī)發(fā)送惡意軟件。,防火墻的工作原理,,防火墻采用的主要技術(shù),包過濾技術(shù)代理服務(wù)技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)虛擬專用網(wǎng)VPN技術(shù)審計(jì)技術(shù)信息加密技術(shù),傳

2、統(tǒng)的企業(yè)網(wǎng)絡(luò)邊界,,,,,,,攻擊者,客戶,合作伙伴,移動(dòng)與協(xié)同工作打破了企業(yè)Internet邊界,,,,,攻擊者,客戶,合作伙伴,云計(jì)算打破了企業(yè)數(shù)據(jù)中心邊界,,,攻擊者,Home Office,咖啡店,客戶,機(jī)場(chǎng),合作伙伴,,一個(gè)沒有邊界的網(wǎng)絡(luò)已形成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,攻擊者,Home Office,咖啡店,客戶,機(jī)場(chǎng),合作伙伴,任何時(shí)間,任何地點(diǎn),任何設(shè)備,任何資源

3、,世界都將互聯(lián)成為我們的園區(qū),,,,,,,,,,,任何人,,,信息技術(shù) ，安全威脅與防御體系的演進(jìn),,,,過去,現(xiàn)在,,,,集中計(jì)算 云計(jì)算,有邊界網(wǎng)絡(luò) 無邊界網(wǎng)絡(luò),外部入侵DDoS 內(nèi)部木馬僵尸利用,網(wǎng)絡(luò)應(yīng)用 內(nèi)容數(shù)

4、據(jù),,邊界單點(diǎn) 全網(wǎng)多點(diǎn),固定靜態(tài)特征 移動(dòng)動(dòng)態(tài)變化,,,信息技術(shù),安全威脅,防御體系,,,現(xiàn)在: 無邊界網(wǎng)絡(luò)安全場(chǎng)景,,,Home Office,攻擊者,咖啡店,客戶,機(jī)場(chǎng),合作伙伴,傳統(tǒng)防火墻的不足,對(duì)來自內(nèi)部主動(dòng)發(fā)起鏈接的攻擊一般無法阻止防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞已不能滿足“云”計(jì)算時(shí)代，人們對(duì)網(wǎng)絡(luò)安全的客

5、觀需求,云火墻,云火墻是動(dòng)態(tài)的，它會(huì)根據(jù)云的數(shù)據(jù)中心實(shí)時(shí)收集到的互聯(lián)網(wǎng)上攻擊的地址和URL來更新自己的策略表。如發(fā)現(xiàn)有很多計(jì)算機(jī)感染了，云火墻會(huì)自動(dòng)和這些主機(jī)的鏈接中斷，而當(dāng)感染消失后，云火墻也會(huì)動(dòng)態(tài)地解除中斷。這樣，防護(hù)變成了主動(dòng)，做到防患于未然。,第五代防火墻演進(jìn)圖 – “云”火墻,,,Web2.0時(shí)代2006,混合威脅IPS+AVSSLVPN強(qiáng)調(diào)- 深度,,,互聯(lián)網(wǎng)時(shí)代2000,性能威脅NAT/64Byte強(qiáng)調(diào) –

6、 性能,,,網(wǎng)絡(luò)時(shí)代1996,網(wǎng)絡(luò)威脅IPSECVPN強(qiáng)調(diào)- 一體化,,,云時(shí)代2009,僵尸木馬Netflow異常強(qiáng)調(diào)- 動(dòng)態(tài),,,PC時(shí)代1990,主機(jī)威脅狀態(tài)防火墻強(qiáng)調(diào) - -控制,,,,,今天,,,,,,第一代軟件防火墻,第二代硬件防火墻,第三代ASIC防火墻,第四代統(tǒng)一威脅UTM,第五代“云”火墻,,云防火墻的4大特征,云上數(shù)據(jù)中心動(dòng)態(tài)更新策略利用IPS模塊建立信譽(yù)的關(guān)聯(lián)協(xié)作提供虛擬云端的

7、移動(dòng)安全接入支持Netflow技術(shù)對(duì)云中的流量進(jìn)行監(jiān)控,云上數(shù)據(jù)中心動(dòng)態(tài)更新策略,這是云火墻最大的特點(diǎn)，也是它被稱為云”的原因。云上數(shù)據(jù)中心是云火墻的核心，是在互聯(lián)網(wǎng)部署的云端數(shù)據(jù)庫(kù)。它會(huì)在全球收集各種惡意URL，各種掛馬地址，每隔一定時(shí)間就會(huì)動(dòng)態(tài)更新給全球的客戶端用戶。,利用IPS模塊建立信譽(yù)的關(guān)聯(lián)協(xié)作,在云火墻中，如果用戶的IP曾有過很多威脅、網(wǎng)絡(luò)安全的事情，則每次行為都會(huì)被記錄到信譽(yù)分值中，隨著信譽(yù)值降低，該用戶今后再次被檢測(cè)到

8、惡意攻擊后，就會(huì)被網(wǎng)絡(luò)自動(dòng)關(guān)閉鏈接。,提供虛擬云端的移動(dòng)安全接入,隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來，移動(dòng)網(wǎng)絡(luò)的安全接入成為關(guān)注焦點(diǎn)。云計(jì)算通過SSLVPN技術(shù)，實(shí)現(xiàn)了移動(dòng)接入者的安全保護(hù)。SLVPN即指采用SSL ( Security Socket Layer)協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型的安全解決技術(shù)。,支持Netflow技術(shù)對(duì)云中的流量進(jìn)行監(jiān)控,對(duì)于網(wǎng)絡(luò)中異常流量的監(jiān)控一直是網(wǎng)絡(luò)安全和網(wǎng)絡(luò)防護(hù)的重要手段之一。在云火墻中，采用Netflow

9、V9技術(shù)，實(shí)現(xiàn)通過云火墻就可以檢測(cè)流量，網(wǎng)管人員通過云火墻就可以管理網(wǎng)絡(luò)，實(shí)現(xiàn)了NOC(網(wǎng)絡(luò)管理平臺(tái))和SOC(安全管理平臺(tái))的二合一。,云火墻工作原理,,SensorBase,SensorBase也稱為云中心，SensorBase的前身是SenderBase，SenderBase是全球最大的郵件流量監(jiān)控網(wǎng)絡(luò)，提供全球安全威脅實(shí)時(shí)視圖和電子郵件的“信用報(bào)告服務(wù)”。思科將SenderBase改名為SensorBase，并在Sensor-B

10、ase中加入了僵尸網(wǎng)絡(luò)主控?cái)?shù)據(jù)庫(kù)，使其能夠敏感監(jiān)控僵尸網(wǎng)絡(luò)的動(dòng)態(tài)。,云火墻優(yōu)勢(shì),云火墻由防火墻發(fā)展而來，但它有以往防火墻所沒有的特點(diǎn)。防火墻的策略是靜態(tài)的，用戶或網(wǎng)管設(shè)定以后，不會(huì)自動(dòng)更改。因此，對(duì)于攻擊，它是完全被動(dòng)的防御，不知攻擊會(huì)出現(xiàn)在哪里，以什么形式發(fā)生。它只會(huì)不斷將病毒特征更新到本地，隨著更新的特征越來越多，同時(shí)打開這么多的特征，對(duì)本地的設(shè)備壓力會(huì)很大?，F(xiàn)在來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬，在這樣的情況下，