1 信息安全威脅

    隨著Intemet的飛速發展以及我國政府信息化為代表的電子政務的蓬勃發展，網絡已經得到廣泛的普及，業界電子商務的開展，海量的網絡信息，日趨豐富的網絡功能使得網絡走進千家萬戶。網絡信息帶來了生活效率質的飛躍，但病毒和黑客等對網絡信息安全造成的威脅，也極大地引起人們的關注和思考。信息安全性要求和政府辦公效率問題一度使人們陷入兩難境地。企事業網絡應用中最為常見的安全防護產品一防火墻，雖然經過了幾代的發展，從軟件到硬件、從單核到多核，但其根本的被動防護的原理卻基本沒有改變，這也使得其面對變幻多端的威脅時，總是一籌莫展難以應對。

2 防火墻

    防火墻是一類防范措施的總稱，它使得內部網絡與Intemet之間或者與其他外部網絡互相隔離、限制網絡互訪，用來保護內部網絡。簡單防火墻可以只用路由器實現，復雜的可以用主機甚至一個子網來實現。設置防火墻是為了在內部網與外部網之間設立唯一的通道，簡化網絡的安全管理。

    防火墻可以過濾掉不安全服務和非法用戶、控制對特殊站點的訪問、提供監視Intemet安全和預警的方便端點。但是由于互連網的開放性，有許多防范功能的防火墻也有一些防范不到的地方，如：

    1)防火墻不能防范不經由防火墻的攻擊。例如，如果允許從受保護網內部不受限制的向外撥號，一些用戶可以形成與Intemet的直接連接，從而繞過防火墻，造成一個潛在的后門攻擊渠道。

    2)防火墻不能防止感染了病毒的軟件或文件的傳輸，這只能在每臺主機上裝反病毒軟件。

    3)防火墻不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Intemet主機上并被執行而發起攻擊時，就會發生數據驅動攻擊。

    防火墻經歷了軟件防火墻、硬件防火墻、ASIC防火墻、UTM(統一威脅網關)四個時代，雖然性能逐步加強、功能逐步完善，但是它們都是被動防御為主，在保護信息安全方面都顯不足。而云火墻采用了主動防御的思想，它是防火墻的進一步發展，它把防火墻提升到一個新的高度，給網絡安全帶來了新的生機。云火墻的出現，意味著第五代防火墻的誕生。圖1所示為五代防火墻的演進圖。

    圖1 防火墻的演進

3 云火墻技術

    隨著Web2．0時代到來，各種網絡服務和網絡應用層出不窮。攻擊者可利用的攻擊手段也更加先進。傳統的手動靜態的防護，已經很難對抗大規模的網絡攻擊和病毒疫情。在網絡中，如果一個端點發生了攻擊，那么其他端點也可能有類似的問題發生。對此網絡應該采用最新的安全防護模式——協同防護：一旦發現某處發生攻擊，立即通知其他地方統一阻止和部署。這就是云火墻的核心思想，將防護攻擊變成動態的、協同的、主動的。

    防火墻的策略是靜態的，用戶或網管設定以后，不會自動更改，是完全被動地防御攻擊，不知道攻擊會出現在哪里，以什么形式發生。而云火墻是動態的，它會根據云的數據中心實時收集到的互聯網上攻擊的地址和URL來更新自己的策略表。如發現有很多計算機感染了，云火墻會自動和這些主機的鏈接中斷，而當感染消失后，云火墻也會動態地解除中斷。這樣，防護變成了主動，做到防患于未然。

    3．1云火墻的特點

    云火墻主要有以下特點：

    (1)云上數據中心動態更新策略

    這是云火墻最大的特點，也是它被稱為“云”的原因。云上數據中心是云火墻的核心，是在互聯網部署的云端數據庫。它會在全球收集各種惡意URL，各種掛馬地址，每隔一定時間就會動態更新給全球的客戶端用戶。

    (2)利用IPS模塊建立信譽的關聯協作

    在云火墻中，如果用戶的IP曾有過很多威脅網絡安全的事情，則每次行為都會被記錄到信譽分值中，隨著信譽值降低，該用戶今后再次被檢測到惡意攻擊后，就會被網絡自動關閉鏈接。

    (3)提供虛擬云端的移動安全接入

    隨著移動互聯網時代的到來，移動網絡的安全接人成為關注焦點。云計算通過SSLVPN技術，實現了移動接入者的安全保護。SSLVPN即指采用SSL(Security Socket Layer)協議來實現遠程接入的一種新型的安全解決技術。

    (4)支持Netflow技術對云中的流量進行監控。對于網絡中異常流量的監控一直是網絡安全和網絡防護的重要手段之一。在云火墻中，采用Netflow V9技術，實現通過云火墻就可以檢測流量，網管人員通過云火墻就可以管理網絡，實現了NOC(網絡管理平臺)和SOC(安全管理平臺)的二合一。

    3．2云火墻的技術原理

    云火墻最本質的特點，就是它的動態化和智能化，而其技術實現的途徑，就是充分利用云進行動態實時的威脅信息集中采樣與共享，從而最終實現主動應變的安全服務。目前全球最龐大的安全威脅監測網絡SensorBase，就是新一代防火墻的“云端”。它可以持續收集互聯網上已知威脅的詳細信息，包括連續攻擊者、僵尸網絡收獲者、惡意爆發和黑網DarkNets等。通過將這些信息實時傳遞到云火墻，可以在僵尸網絡等惡意攻擊者有機會損害重要資產之前及時過濾掉這些攻擊者，也就是說，把其防火墻升級到云火墻，即可實現動態防范、主動安全。

    云火墻的“大腦”是SensorBase，而SensorBase的前身是SenderBase。作為全球最大的郵件流量監控網絡，SenderBase能夠提供全球安全威脅實時視圖和電子郵件的“信用報告服務”。現在Sensor—Base中加入了僵尸網絡主控數據庫，能夠敏感監控僵尸網絡的動態。同時，SensorBase還增加了動態策略，如果某個互聯網地址有問題就會被阻斷。SensorBase是云火墻出現的前提，SensorBase的信息需要及時進行更新，并同步到所有云火墻中，才能夠發揮云火墻的強大作用。各種安全信息不但可以從SensorBase傳到云火墻，還可以從云火墻傳到SensorBase，而云火墻中的IPS可以在第一時間把攻擊同步給SensorBase，SensorBase再同步給其他云火墻。

    當然，云安全成功的關鍵是要有足夠多的信息收集點和計算能力，只有這樣才能更快、更新、更好地更新云火墻數據庫，提供及時的安全消息和服務。云火墻的工作原理如圖2所示。

    圖2 云火墻工作原理圖

    云火墻的關鍵特征是動態防范和主動安全，而SensorBase作為云火墻的“大腦”監控著僵尸網絡的變化，如果再輔以能遍布全球的傳感器和眾多的安全信息提供方，就可以使云火墻能夠在最短的時間內了解全世界網絡中惡意威脅的動態并提供防范措施，從而為安全防護技術帶來革命性的進展。

    3．3云火墻的優勢

    云火墻最本質的特點，就是它的動態化和智能化，而其技術實現的途徑，就是充分利用“云”進行動態實時的威脅信息集中采樣與共享，從而最終實現主動應變的安全服務。

    UTM等網關集成設備，都是靜態的，不斷將病毒特征更新到本地。隨著更新的特征越來越多，同時打開這么多的特征，對本地的設備壓力會很大。而在云火墻，只有在有攻擊的時候，才自動將策略更新給設備，沒有攻擊的時候，取消策略。作為設備端，只需要開通缺省配置就可以了。這也正是云火墻動態更新的好處。而且，云火墻每隔一定時間向客戶端更新的不是病毒特征，而是防護策略。

    當前網絡中，零日攻擊的溢出會出現在哪里并不清楚，所以很難防范。一旦零日攻擊發生后，會產生很大效果，例如蠕蟲泛濫等。但是云火墻一旦發現這種異常情況后，會將疫情報告給云數據中心，然后轉發給整個網絡，來協同防范。

4 信息安全措施

    信息就是從一個主機或客戶端(端點)傳遞到路由器、交換機、防火墻等網絡連接設備(網絡)。而在信息傳遞過程中，通常需要滿足三個要素的要求，也就是我們常說的信息安全三要素：保密性、完整性、可用性。首先，要保證信息的完整，不能在傳遞中丟失，其次，要保證信息除了既定接收者之外，不被其他人獲取和破譯，最后，要保證傳遞的信息是可用的、有價值的。滿足了這三個要求，也就保證了信息的安全。

    信息在網絡中傳輸有兩個邏輯單元在保證信息的傳遞，一個是端點，一個是網絡。針對這個特點，既可以在端點實施信息安全保護，也可以在網絡實施。在端點實施，可以將攻擊控制在源頭，例如一些針對系統的應用比較適合在斷點做防護，而如果在網絡實施防護，會耗費大量的資源；在網絡實施防護，可以做到風險的集中可控，比如發現一些服務器的漏洞，但是終端的應用需求使得不能輕易通過升級終端程序來解決，這時就需要在網絡側部署一些防攻擊的手段，將攻擊控制在遠端。不過在端點做防護，首先要保證端點本身不是攻擊者，否則端點的防護就不能實現，此時需要網絡的協助建立一個嚴格的準入控制，來判斷端點的性質。最好的策略是兩者協同工作，通過合理和協同部署，實現網絡對端點的識別和判斷，并賦予相應的權限。

    如若保證網絡安全，搭建一個可信的網絡安全架構具有非常重要的作用。從端點和網絡二者的關系考慮，網絡安全架構可以由三部分組成：可信層、安全層、服務層。如圖3所示。

    圖3 可信網絡的三層架構框架圖

    (1)可信層：該層是本架構的基礎層。在本層中，提供三種可信服務。首先保證網絡是可信的，各終端接入的是可信的網絡，網絡也能識別終端是否可以信任。然后提供鏈路層的加密服務，使得數據在交換機問傳輸時，可以選擇是否采用加密進行保護。最后通過各種組策略，對角色進行權限的控制和管理。

    (2)安全層：在本層中通過防火墻入侵檢測，VPN安全網關等技術，來構建安全層的防護。利用防火墻、Email過濾、安全控制、3A認證、VPN等技術進行隔離、識別和管理，使網絡里流轉的數據能夠被監控、識別、關聯和控制管理。

    (3)服務層：服務層主要由三個功能部分組成：云火墻，實現防止木馬；IPS(入侵防御系統)聯防，根據IP地址進行協防和聯防，發現攻擊可以通知其他IP；Email和Web安全保障，利用云數據中心統一的數據庫，即時收集和更新各地的攻擊信息，做出防護。

5 結束語

    互聯網時代，信息呈爆炸趨勢，每天新出現的數據以TB計算，以云計算為代表的現代信息體系也正變得日益龐大和復雜，這也急需云安全時代的出現。不過，盡管云火墻相對傳統的防火墻技術有了很大的提升，但是距離建立起一套真正的現代信息安全防護體系還有著相當的距離。但是很重要的是，我們可以從中看到邁向未來安全的關鍵路標，而這也正是云安全的本質。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：淺析基于云火墻的網絡安全與信息安全措施

本文網址：http://m.guhuozai8.cn/html/consultation/1083953667.html