“云”防火墙时代 揭晓新功能新特点

安全
云防火墙是一个最新的概念,最早由IT巨头思科提出,他们的做法是:把其防火墙升级到“云”火墙,实现动态防范、主动安全。

云防火墙是一个最新的概念,最早由IT巨头思科提出,他们的做法是:把其防火墙升级到“云”火墙,实现动态防范、主动安全。

思科认为,云火墙的出现意味着第五代防火墙的诞生(前四代分别是:软件防火墙、硬件防火墙、ASIC防火墙、UTM)。云火墙的4大特征包括:防僵尸网络/木马,防止网络内部主机感染;云检测--全球IPS联动;云接入—SSL VPN;云监控--唯一支持Netflow的防火墙,实现了NOC和SOC 的二合一。

云火墙的“大脑”是SensorBase,SensorBase的前身是SenderBase。在思科以8.3亿美元收购IronPort之 后,思科得到了SenderBase,SenderBase是全球最大的邮件流量监控网络,提供全球安全威胁实时视图和电子邮件的“信用报告服务”。思科 将SenderBase改名为SensorBase,并在SensorBase中加入了僵尸网络主控数据库,使其能够敏感监控僵尸网络的动态。 SensorBase还增加了动态策略,如果某个互联网地址有问题就会被阻断。

思科安全专家表示,SensorBase是云火墙出现的前提。思科会争取做到每15分钟更新一次SensorBase的信息,并同步到所有云 火墙。各种安全信息不但可以从SensorBase传到云火墙,还可以从云火墙传到SensorBase,云火墙中的IPS可以在第一时间把攻击同步给 SensorBase,SensorBase再同步给其他云火墙。

云安全成功的关键是要有足够多的信息收集点和计算能力,而这些正是思科的优势。思科在全球有70多万个传感器,几乎所有的全球性互联网服务提 供商的网络中都有思科的传感器;有超过500家的第三方安全机构给思科提供及时的安全消息;思科监控着世界上超过30%的Email流量。

对于SensorBase,中国用户可能会有这样的疑虑:SensorBase是全球性的网络,但能够及时分析有地域特色的威胁吗?其实用户不用担心,因为SensorBase的地址库中有30%是国内地址,这是相当高的比例。

云火墙看上去是一个全新的产品,但实际上用户获得云火墙的方法很简单,只要把ASA防火墙的软件升级到8.2版本即可,硬件无须改变。SensorBase所产生的更新量也很小,每次只有70K。

为什么要激活云防火墙,本来对于企业来说,花钱购买防火墙是一种边界安全的思想和理念,但是有没有仔细想过,这里面有些文章。

因为防火墙都是默认信任内网,而怀疑外网,因此 防护墙的安全策略基本都是宽出严进的法则,这种默认的黄金法则有的时候是致命的。
 

【编辑推荐】

  1. 选择硬件防火墙时你应注意的十件事
  2. 深入理解防火墙 有效屏蔽外界的攻击
  3. 防火墙功能分类及其局限性介绍分析
责任编辑:赵宁宁 来源: IT168
相关推荐

2010-09-03 11:50:03

2021-06-25 18:31:37

云防火墙

2010-09-15 17:20:44

2020-02-20 11:03:05

云防火墙安全运维

2018-04-03 12:06:02

2010-09-14 09:30:55

2010-08-17 16:54:45

2020-11-18 13:03:10

云防火墙安全运营云安全

2010-09-14 13:10:36

2009-09-25 11:25:39

2010-12-08 09:31:50

下一代防火墙

2010-12-21 18:04:26

2010-09-14 13:08:52

2010-12-08 09:29:27

下一代防火墙

2023-04-25 10:34:08

2010-09-14 13:34:03

2012-12-10 10:40:25

2010-08-30 11:28:13

2010-09-25 17:05:51

2011-05-18 11:06:46

点赞
收藏

51CTO技术栈公众号