思科：下一代防火墙将“云”中不知归去

僵尸成“云”

如果想要进一步说明情况的恶化，除了不断见诸报端的安全事件，我们还可以试着问这样一个问题：和过去相比，今天，成为一名黑客，或者发动一场网络攻击，究竟是更困难还是更容易了呢?答案显然是后者，就像Facebook信息安全负责人MaxKelly在不久前一次网络安全事故后谈到的：“网络攻击与犯罪现在正变得前所未有的容易，发动一次攻击就像是去超市购物一样简单。”

不单是Facebook，类似的抱怨在今天的网站中早已屡见不鲜。就在7月份，炙手可热的Twitter网被人搞得频繁断线，造成用户无法登录;美国政府网站也遭到大规模DDoS攻击，导致长时间瘫痪;而针对各种商业网站的攻击更是屡见不鲜。

为什么越来越多的商业竞争者喜欢采用这种方式打击对手?亚马逊战略研究员JeffBarr说的这句话也许就是答案：“对于依赖网络实现业务运营的企业来说，这样的网络攻击就如同在路上挨了一闷棍，在晕倒的时间里什么都有可能发生。而且重要的是，你很难找到究竟是谁给了你这一棍。”

思科研究员兼首席网络安全研究员PatrickPeterson在最近发布的安全报告中特别谈到，因为商业利益原因导致的网络攻击在不断攀升，低廉的犯罪成本再加上利益的驱动，使得僵尸网络变得越来越难以控制。

就拿最近一段时间大名鼎鼎的Conficker蠕虫来说，这个最早于2008年11月20日被发现的，以微软的Windows操作系统为攻击目标的计算机蠕虫病毒，到了今年年初，就被《纽约时报》报道其至少感染了900万台计算机，而杀毒软件厂商F-Secure更声称感染达到了惊人的1500 万台。

直到今天，虽然相关补丁已经出现很久，但凭借多个变种版本，Conficker蠕虫仍将数百万个系统控制在其魔掌之下，缔造了迄今为止规模最大的僵尸之“云”。这些僵尸网络被以极为低廉的价格，租借给怀有不同目的的犯罪分子，利用这些资源实施网络拒绝服务攻击，或者通过SaaS模型散布垃圾邮件和恶意软件。

而反观安全防护技术，却迟迟未能见到革命性的进展。以企业应用中最为常见的安全防护产品——防火墙来说，虽然也经过了几代的发展，从软件到硬件、从单核到多核，但其根本的被动防护的原理却基本没有改变，这也使得其面对变幻多端的僵尸“云”威胁时，总是一筹莫展难以应对。

人们不禁要问，出路究竟在哪里?

下一代防火墙“云”中来

“信息安全的出路，最终也需要从‘云’中寻找，而所谓的‘云’其实也就是互联网。”郭庆的话开门见山，作为思科安全产品事业部的技术专家，郭庆显然对网络和安全都有着非常深刻的认识，“今天的安全问题之所以让人困扰，根源就在于网络的主要特征，正从传输向着智能化的云计算演进，正是这一变化，使得新的安全威胁变得更加难以防范。”

郭庆认为，越来越庞大的互联网正在逐步具备“智能”与“感知”的特性，而这些特性，也恰恰是今天的信息安全产品所需要具备的，也只有具备了这些特性，新一代的信息安全防护体系，才能真正发挥作用。

“现在很多安全产品都面临着巨大的挑战，比如‘防火墙无用论’在国外早已有人提出，并且赞同的声音不少。”郭庆谈道，“虽然这样的言论有失偏颇，但也不无道理，回顾防火墙的发展历史，从以CheckPoint为代表的软件防火墙，发展到硬件防火墙、ASIC防火墙，再到今天热闹一时的UTM，尽管性能和功能上都有很大提升，但其最基本的原理大多仍然是检测静态的地址表。很显然，对于不断变化的僵尸网络，这样的防火墙即使性能再高，也难以施展，未来应该属于新一代的防火墙——‘云’火墙”。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友