浅析基于云火墙的网络安全与信息安全措施

1 信息安全威胁

    随着Intemet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展，网络已经得到广泛的普及，业界电子商务的开展，海量的网络信息，日趋丰富的网络功能使得网络走进千家万户。网络信息带来了生活效率质的飞跃，但病毒和黑客等对网络信息安全造成的威胁，也极大地引起人们的关注和思考。信息安全性要求和政府办公效率问题一度使人们陷入两难境地。企事业网络应用中最为常见的安全防护产品一防火墙，虽然经过了几代的发展，从软件到硬件、从单核到多核，但其根本的被动防护的原理却基本没有改变，这也使得其面对变幻多端的威胁时，总是一筹莫展难以应对。

2 防火墙

    防火墙是一类防范措施的总称，它使得内部网络与Intemet之间或者与其他外部网络互相隔离、限制网络互访，用来保护内部网络。简单防火墙可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。设置防火墙是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

    防火墙可以过滤掉不安全服务和非法用户、控制对特殊站点的访问、提供监视Intemet安全和预警的方便端点。但是由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方，如：

    1)防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Intemet的直接连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。

    2)防火墙不能防止感染了病毒的软件或文件的传输，这只能在每台主机上装反病毒软件。

    3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Intemet主机上并被执行而发起攻击时，就会发生数据驱动攻击。

    防火墙经历了软件防火墙、硬件防火墙、ASIC防火墙、UTM(统一威胁网关)四个时代，虽然性能逐步加强、功能逐步完善，但是它们都是被动防御为主，在保护信息安全方面都显不足。而云火墙采用了主动防御的思想，它是防火墙的进一步发展，它把防火墙提升到一个新的高度，给网络安全带来了新的生机。云火墙的出现，意味着第五代防火墙的诞生。图1所示为五代防火墙的演进图。

    图1 防火墙的演进

3 云火墙技术

    随着Web2．0时代到来，各种网络服务和网络应用层出不穷。攻击者可利用的攻击手段也更加先进。传统的手动静态的防护，已经很难对抗大规模的网络攻击和病毒疫情。在网络中，如果一个端点发生了攻击，那么其他端点也可能有类似的问题发生。对此网络应该采用最新的安全防护模式——协同防护：一旦发现某处发生攻击，立即通知其他地方统一阻止和部署。这就是云火墙的核心思想，将防护攻击变成动态的、协同的、主动的。

    防火墙的策略是静态的，用户或网管设定以后，不会自动更改，是完全被动地防御攻击，不知道攻击会出现在哪里，以什么形式发生。而云火墙是动态的，它会根据云的数据中心实时收集到的互联网上攻击的地址和URL来更新自己的策略表。如发现有很多计算机感染了，云火墙会自动和这些主机的链接中断，而当感染消失后，云火墙也会动态地解除中断。这样，防护变成了主动，做到防患于未然。

    3．1云火墙的特点

    云火墙主要有以下特点：

    (1)云上数据中心动态更新策略

    这是云火墙最大的特点，也是它被称为“云”的原因。云上数据中心是云火墙的核心，是在互联网部署的云端数据库。它会在全球收集各种恶意URL，各种挂马地址，每隔一定时间就会动态更新给全球的客户端用户。

    (2)利用IPS模块建立信誉的关联协作

    在云火墙中，如果用户的IP曾有过很多威胁网络安全的事情，则每次行为都会被记录到信誉分值中，随着信誉值降低，该用户今后再次被检测到恶意攻击后，就会被网络自动关闭链接。

    (3)提供虚拟云端的移动安全接入

    随着移动互联网时代的到来，移动网络的安全接人成为关注焦点。云计算通过SSLVPN技术，实现了移动接入者的安全保护。SSLVPN即指采用SSL(Security Socket Layer)协议来实现远程接入的一种新型的安全解决技术。

    (4)支持Netflow技术对云中的流量进行监控。对于网络中异常流量的监控一直是网络安全和网络防护的重要手段之一。在云火墙中，采用Netflow V9技术，实现通过云火墙就可以检测流量，网管人员通过云火墙就可以管理网络，实现了NOC(网络管理平台)和SOC(安全管理平台)的二合一。

    3．2云火墙的技术原理

    云火墙最本质的特点，就是它的动态化和智能化，而其技术实现的途径，就是充分利用云进行动态实时的威胁信息集中采样与共享，从而最终实现主动应变的安全服务。目前全球最庞大的安全威胁监测网络SensorBase，就是新一代防火墙的“云端”。它可以持续收集互联网上已知威胁的详细信息，包括连续攻击者、僵尸网络收获者、恶意爆发和黑网DarkNets等。通过将这些信息实时传递到云火墙，可以在僵尸网络等恶意攻击者有机会损害重要资产之前及时过滤掉这些攻击者，也就是说，把其防火墙升级到云火墙，即可实现动态防范、主动安全。

    云火墙的“大脑”是SensorBase，而SensorBase的前身是SenderBase。作为全球最大的邮件流量监控网络，SenderBase能够提供全球安全威胁实时视图和电子邮件的“信用报告服务”。现在Sensor—Base中加入了僵尸网络主控数据库，能够敏感监控僵尸网络的动态。同时，SensorBase还增加了动态策略，如果某个互联网地址有问题就会被阻断。SensorBase是云火墙出现的前提，SensorBase的信息需要及时进行更新，并同步到所有云火墙中，才能够发挥云火墙的强大作用。各种安全信息不但可以从SensorBase传到云火墙，还可以从云火墙传到SensorBase，而云火墙中的IPS可以在第一时间把攻击同步给SensorBase，SensorBase再同步给其他云火墙。

    当然，云安全成功的关键是要有足够多的信息收集点和计算能力，只有这样才能更快、更新、更好地更新云火墙数据库，提供及时的安全消息和服务。云火墙的工作原理如图2所示。

    图2 云火墙工作原理图

    云火墙的关键特征是动态防范和主动安全，而SensorBase作为云火墙的“大脑”监控着僵尸网络的变化，如果再辅以能遍布全球的传感器和众多的安全信息提供方，就可以使云火墙能够在最短的时间内了解全世界网络中恶意威胁的动态并提供防范措施，从而为安全防护技术带来革命性的进展。

    3．3云火墙的优势

    云火墙最本质的特点，就是它的动态化和智能化，而其技术实现的途径，就是充分利用“云”进行动态实时的威胁信息集中采样与共享，从而最终实现主动应变的安全服务。

    UTM等网关集成设备，都是静态的，不断将病毒特征更新到本地。随着更新的特征越来越多，同时打开这么多的特征，对本地的设备压力会很大。而在云火墙，只有在有攻击的时候，才自动将策略更新给设备，没有攻击的时候，取消策略。作为设备端，只需要开通缺省配置就可以了。这也正是云火墙动态更新的好处。而且，云火墙每隔一定时间向客户端更新的不是病毒特征，而是防护策略。

    当前网络中，零日攻击的溢出会出现在哪里并不清楚，所以很难防范。一旦零日攻击发生后，会产生很大效果，例如蠕虫泛滥等。但是云火墙一旦发现这种异常情况后，会将疫情报告给云数据中心，然后转发给整个网络，来协同防范。

4 信息安全措施

    信息就是从一个主机或客户端(端点)传递到路由器、交换机、防火墙等网络连接设备(网络)。而在信息传递过程中，通常需要满足三个要素的要求，也就是我们常说的信息安全三要素：保密性、完整性、可用性。首先，要保证信息的完整，不能在传递中丢失，其次，要保证信息除了既定接收者之外，不被其他人获取和破译，最后，要保证传递的信息是可用的、有价值的。满足了这三个要求，也就保证了信息的安全。

    信息在网络中传输有两个逻辑单元在保证信息的传递，一个是端点，一个是网络。针对这个特点，既可以在端点实施信息安全保护，也可以在网络实施。在端点实施，可以将攻击控制在源头，例如一些针对系统的应用比较适合在断点做防护，而如果在网络实施防护，会耗费大量的资源；在网络实施防护，可以做到风险的集中可控，比如发现一些服务器的漏洞，但是终端的应用需求使得不能轻易通过升级终端程序来解决，这时就需要在网络侧部署一些防攻击的手段，将攻击控制在远端。不过在端点做防护，首先要保证端点本身不是攻击者，否则端点的防护就不能实现，此时需要网络的协助建立一个严格的准入控制，来判断端点的性质。最好的策略是两者协同工作，通过合理和协同部署，实现网络对端点的识别和判断，并赋予相应的权限。

    如若保证网络安全，搭建一个可信的网络安全架构具有非常重要的作用。从端点和网络二者的关系考虑，网络安全架构可以由三部分组成：可信层、安全层、服务层。如图3所示。

    图3 可信网络的三层架构框架图

    (1)可信层：该层是本架构的基础层。在本层中，提供三种可信服务。首先保证网络是可信的，各终端接入的是可信的网络，网络也能识别终端是否可以信任。然后提供链路层的加密服务，使得数据在交换机问传输时，可以选择是否采用加密进行保护。最后通过各种组策略，对角色进行权限的控制和管理。

    (2)安全层：在本层中通过防火墙入侵检测，VPN安全网关等技术，来构建安全层的防护。利用防火墙、Email过滤、安全控制、3A认证、VPN等技术进行隔离、识别和管理，使网络里流转的数据能够被监控、识别、关联和控制管理。

    (3)服务层：服务层主要由三个功能部分组成：云火墙，实现防止木马；IPS(入侵防御系统)联防，根据IP地址进行协防和联防，发现攻击可以通知其他IP；Email和Web安全保障，利用云数据中心统一的数据库，即时收集和更新各地的攻击信息，做出防护。

5 结束语

    互联网时代，信息呈爆炸趋势，每天新出现的数据以TB计算，以云计算为代表的现代信息体系也正变得日益庞大和复杂，这也急需云安全时代的出现。不过，尽管云火墙相对传统的防火墙技术有了很大的提升，但是距离建立起一套真正的现代信息安全防护体系还有着相当的距离。但是很重要的是，我们可以从中看到迈向未来安全的关键路标，而这也正是云安全的本质。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：浅析基于云火墙的网络安全与信息安全措施

本文网址：http://www.toberp.com/html/consultation/1083953667.html