在信息产业中，安全是一个令人尴尬的行当。计算、网络、存储等厂商可以骄傲地历数近年来技术性能的突飞猛进，而安全产业在不断地发展和投入之后，面对的却是越来越多、越来越麻烦的安全问题。就像Facebook信息安全负责人MaxKelly在不久前一次网络安全事故后谈到的：“网络攻击与犯罪现在正变得前所未有的容易，发动一次攻击就像是去超市购物一样简单。”

　　思科研究员兼首席网络安全研究员PatrickPeterson在最近发布的安全报告中特别谈到，因为商业利益原因导致的网络攻击在不断攀升，低廉的犯罪成本再加上利益的驱动，使得僵尸网络变得越来越难以控制。

　　而反观安全防护技术，却迟迟未能见到革命性的进展。以企业应用中最为常见的安全防护产品——防火墙来说，虽然也经过了几代的发展，从软件到硬件、从单核到多核，但其根本的被动防护的原理却基本没有改变，这也使得其面对变幻多端的僵尸“云”威胁时，总是一筹莫展难以应对。

　　人们不禁要问，出路究竟在哪里？

　　下一代防火墙“云”中来

　　“信息安全的出路，最终也需要从‘云’中寻找，而所谓的‘云’其实也就是互联网。”郭庆的话开门见山，作为思科安全产品事业部的技术专家，郭庆显然对网络和安全都有着非常深刻的认识，“今天的安全问题之所以让人困扰，根源就在于网络的主要特征，正从传输向着智能化的‘云’计算演进，正是这一变化，使得新的安全威胁变得更加难以防范。”

　　郭庆认为，越来越庞大的互联网正在逐步具备“智能”与“感知”的特性，而这些特性，也恰恰是今天的信息安全产品所需要具备的，也只有具备了这些特性，新一代的信息安全防护体系，才能真正发挥作用。

　　“现在很多安全产品都面临着巨大的挑战，比如‘防火墙无用论’在国外早已有人提出，并且赞同的声音不少。”郭庆谈道，“虽然这样的言论有失偏颇，但也不无道理，回顾防火墙的发展历史，从起初的软件防火墙，发展到硬件防火墙、ASIC防火墙，再到今天热闹一时的UTM，尽管性能和功能上都有很大提升，但其最基本的原理大多仍然是检测静态的地址表。很显然，对于不断变化的僵尸网络，这样的防火墙即使性能再高，也难以施展，未来应该属于新一代的防火墙——‘云’火墙”。
　　
　　云安全的实质

　　“云”火墙最本质的特点，就是它的动态化和智能化，而其技术实现的途径，就是充分利用“云”进行动态实时的威胁信息集中采样与共享，从而最终实现主动应变的安全服务。”郭庆进一步解释道，“思科拥有目前全球最庞大的安全威胁监测网络SensorBase，这就是新一代防火墙的‘云端’。它可以持续收集互联网上已知威胁的详细信息，包括连续攻击者、僵尸网络收获者、恶意爆发和黑网（DarkNets）等。通过将这些信息实时传递到‘云’火墙，可以在僵尸网络等恶意攻击者有机会损害重要资产之前及时过滤掉这些攻击者。”

　　尽管“云”火墙相对传统的防火墙技术有了很大的提升，但是距离建立起一套真正的现代信息安全防护体系还有着相当长的时间。不过，最重要的是，我们可以从中看到迈向未来安全的关键路标，而这也正是“云”安全的本质。

　　思科：安全防护技术进入“云”火墙时代

　　“云”安全概念给反病毒软件厂商带来了新的活力并迅速获得了业界的认可，各家安全厂商都在实践着自己的‘云’安全之路。现在，是时候让防火墙做一些改变了。IT巨头思科的做法是：把其防火墙升级到“云”火墙，实现动态防范、主动安全。

　　思科认为，“云”火墙的出现意味着第五代防火墙的诞生（前四代分别是：软件防火墙、硬件防火墙、ASIC防火墙、UTM）。云火墙的4大特征包括：防僵尸网络/木马，防止网络内部主机感染；“云”检测——全球IPS联动；“云”接入——SSL VPN；“云”监控——唯一支持Netflow的防火墙，实现了NOC和SOC的二合一。

　　“云”火墙的“大脑”是SensorBase，而SensorBase的前身是SenderBase。在以8.3亿美元收购IronPort之后，思科得到了SenderBase。作为全球最大的邮件流量监控网络，SenderBase能够提供全球安全威胁实时视图和电子邮件的“信用报告服务”。思科将SenderBase改名为SensorBase，并在SensorBase中加入了僵尸网络主控数据库，使其能够敏感监控僵尸网络的动态。同时，SensorBase还增加了动态策略，如果某个互联网地址有问题就会被阻断。

　　思科安全专家表示，SensorBase是“云”火墙出现的前提。思科会争取做到每15分钟更新一次SensorBase的信息，并同步到所有“云”火墙中。各种安全信息不但可以从SensorBase传到“云”火墙，还可以从“云”火墙传到SensorBase，“云”火墙中的IPS可以在第一时间把攻击同步给SensorBase，SensorBase再同步给其他“云”火墙。

　　“云”安全成功的关键是要有足够多的信息收集点和计算能力，而这些正是思科的优势。思科在全球有70多万个传感器，几乎所有的全球性互联网服务提供商的网络中都有思科的传感器；有超过500家的第三方安全机构给思科提供及时的安全消息。

　　“云”火墙看上去是一个全新的产品，但实际上用户获得“云”火墙的方法很简单，只要把ASA防火墙的软件升级到8.2版本即可，而无须改变硬件。SensorBase所产生的更新量也很小，每次只有70K。

　　思科“云”火墙创造不同
　　
　　两年前，美国超级计算机中心安全技术部门的计算机安全经理Abe Singer表示，防火墙的最大问题就是对于企业内部人员做出的威胁举动无能为力。由于认为防火墙没什么用处，Singer没有使用防火墙而采用其他方法来保证网络安全。Singer的话有一定道理，随着针对应用层攻击的增多，网络层防火墙的地位愈发有些尴尬。

　　 “云”安全是当前最热门的安全概念，而思科把“云”安全和防火墙结合到了一起，推出了第五代防火墙——“云”火墙，不仅能够在第一时间发现僵尸网络主控网站、挂马网站，并阻止用户访问这些网站；而且在用户的电脑成为“肉鸡”或者被挂马时，能够阻断该电脑发送给外部主控网站的信息。可以说，“云”火墙解决了Singer所批评的防火墙的最大问题。

　　“云”火墙的关键特征是动态防范和主动安全，而SensorBase作为“云”火墙的“大脑”监控着僵尸网络的变化，加上思科遍布全球的传感器和众多的安全信息提供方，使得“云”火墙能够在最短的时间内了解全世界网络中恶意威胁的动态并提供防范措施，从而为安全防护技术带来了革命性的进展。