【IT168专稿】今天，我们给大家带来了来自思科的网络安全最新技术与发展趋势培训讲座。整个讲座分三部分，分别向大家介绍网络的安全威胁，如果构建安全的网络框架，以及网络安全最新的技术——云火墙。

　　导读：这堂培训讲座，主要价值有以下四点：

　　第一， 为对网络安全感兴趣但了解有限的普通网友就网络威胁做了一次深入浅出的介绍。蠕虫、木马，病毒，攻击，僵尸网络，肉鸡……这些黑客们的“行话”，看过此文，你也许就也能说的朗朗上口了^_^。

　　第二， 对于很多企业网管来说，第一点的内容几乎可以略过不看了～～是的，我建议你们直接从第二页读起(就在读完这句话之后，你可以翻到第二页——这篇讲座共计三页)。在第二页，我们为管网和有一定技术基础的业内人士介绍了一个科学系统的整体可信网络安全框架。如果你是一位网管，同时又不想仅仅做一些在路由器交换机上敲击命令的事情——算了，简单点说，如果你还有梦想的话，那么，第二页会告诉你一个网络真正的安全运转“内幕”。千万别错过。

　　第三， 过去一年里，如果你没听过“云”的话，那你真的“OUT”了。(当然，我说的听过，不是在天气预报里)。在第三页，给网管们、非网管们(不得不这样概括，对“云”感兴趣的人实在太多了)带来了网络安全技术发展的最新成果——云火墙与云安全。怎么样，听名字就够酷吧。赶紧翻到第三页。

　　第四， 本来就三点，第四不过是个总结。虽然三页各有侧重的介绍了很有价值的内容，你也当然可以只读其中的一部分。不过，那些所谓的“给技术人员看的”不过是些自命不凡的幌子，这里没有深奥的技术和代码，是的，而且99%都是中文。所以，别相信我上面的话，就算你和我一样是个菜鸟，你也读得懂本文的全部内容～～

　　A-1、网络攻击的“昨天”

　　自从网络诞生至今，信息安全一直受到来自各方的威胁和攻击。在过去，一般的网络攻击主要采用点对点方式，攻击者需要做端口扫描，漏洞扫描，溢出测试，存取等很复杂流程，才可能攻破对方的防御，登录并控制对方。

　　A-2、今天，网络攻击“升级”了

　　到了web2.0时代，过去的攻击方式已经无法“与时俱进”了。现在，一个黑客为了感染并控制很多肉鸡(黑客们的行话，即表示受到黑客控制的电脑)，通常采取网站挂马的方式，首先在互联网架设个吸引人的server或web站点，吸引大家去下载。在下载过程中，利用各种漏洞，将他的恶意代码或程序插入到浏览此网站的“肉鸡”中，感染的肉鸡就成为僵尸网络的一员，以后主控可以利用这个网络来做想做的事情。

　　A-3、攻击，来自四面八方

　　那么，这些攻击的来源主要有那些呢?如今，我们在互联网的应用逐渐增多，email，web，视频，语音，即时通信，下载，如此多的应用，需要开的端口很多;另外，通过电子邮件附件的方式也可以迅速广泛地发动攻击;还有很多恶意的URL，通过网络访问的方式，攻击访问的客户机器。还有“威名远扬”的零日攻击，指被发现后立即被恶意利用的安全漏洞，这种攻击利用厂商缺少防范意识或缺少补丁，从而能够造成巨大破坏。

　　A-4、蠕虫?病毒?木马?你知道它们的区别么

　　信息安全主要威胁，主要来自蠕虫、病毒和木马。病毒在DOS时代已存在，插在其它程序里，对程序进行破坏。木马也是程序，但它无法自主传播，需要通过其他的传播方式来感染你的主机。它的威胁在于，在各个被感染的主机上留一个后门，方便后续来登录和控制。蠕虫和木马不同，它在网络上可以自主传播，是独立的文件，不需要附在任何程序上面。最大特点是能够最快侵占各种互联网、CPU、内存等资源。我们常说的“僵尸网络”的建立，就是黑客们综合运用了以上的各种技术，让很多被感染的机器变成受他们控制的肉鸡。

　　A-5、忧心忡忡：谁来保障我们的未来

　　我们看到，今天的互联网已走进web2.0时代，随着互联网的普及，它对我们的生活影响将越来越大。那么，针对网络中的各种攻击和威胁，如何保障我们的信息安全呢?无论是普通用户、网管人员、专业安全服务提供商，都需要加快速度，与时俱进了。因为，Web2.0时代已经来临。对于未来，我们需要更安全的保障。

　　我们未来的网络需要更安全的保障

　　B-1、信息安全到底是什么

　　刚刚我们了解了网络攻击的方式和手段。现在我们和大家一起看看，面对网络中无所不在的威胁和攻击，我们需要一个怎样的信息安全框架来进行整体防御。

　　我们一直在强调网络中信息安全的重要性。那么，我们是否能对信息安全做出一个明确的描述和定义呢?什么是信息?什么是信息安全?

　　首先，信息来源于数据，又不同于数据。数据是对事物或事件的客观描述，强调客观性;而信息是在数据的基础上，通过主观认识对其进行逻辑加工后的产物。一个强调客观描述，一个强调主观认识。当然，信息是不能脱离客观事实的，不符合事实的信息是错误的，需要修正的。

　　弄明白了信息的定义，我们来看看什么是信息安全。大家知道，信息很大程度上的价值增值是在于传递，而在信息传递过程中，通常需要满足三个要素的要求，也就是我们常说的信息安全三要素：保密性、完整性、可用性。

　　首先，要保证信息的完整的，不能在传递中丢失，其次，要保证信息除了既定接收者之外，不被其他人获取和破译，最后，要保证传递的信息是可用的，有价值的。满足了这三个要求，也就保证了信息的安全。

　　B-2、网络与端点，我该在哪里部署安全措施

　　我们知道，当信息流转在网络里时，有两个逻辑单元在保证信息的传递，一个是端点，一个是网络。信息就是从一个主机或客户端(端点)传递到路由器、、交换机、防火墙(网络)。这时候，信息安全保护可以在端点做，也可以在网络做。在端点做，可以将攻击控制在源头，在网络做，可以做到风险的集中可控。

　　下面我们详细讨论一下两种安全策略的特点。在端点做防护，首先要保证端点本身不是恶意的人，如果端点本身就是攻击者，那么端点的防护就不可能实现了，这时就需要网络的协助，建立一个严格的准入控制，来判断端点的性质，这种网络协同的准入机制，也就是思科提到的NAC——网络存取机制。

　　我们不能说在端点和网络做谁好谁坏，真正好的策略是需要两者的协同的。有些防护需要在网络侧做，比如发现一些server的漏洞，但是终端的应用需求使得不能轻易通过升级终端程序来解决，这时就需要在网络侧部署一些防攻击的手段，将攻击控制在远端。当然，也有很多防护需要在端点做，例如一些针对系统的应用的，如果在网络做，会耗费大量的资源。我们需要通过合理和协同部署，实现网络对端点的识别和判断，并赋予相应的权限。

　　B-3、可信安全架构，搭建整体防护堡垒

　　刚刚我们从具体的细节讨论了如何在网络信息传递过程中做好防护，下面我们从宏观上看一看，如何搭建一个整体的网络防护堡垒。

　　一个可信的网络安全架构，主要由三个部分组成：可信层、安全层、服务层。

　　1、可信层：首先保证网络是可信的，各终端接入的是可信的网络，网络也能识别终端是否可以信任。然后提供链路层的加密服务，使得数据在交换机间传输时，可以选择是否采用加密进行保护。最后通过各种组策略，对角色进行权限的控制和管理。

　　2、安全层：既然网络是可信的，那各个端点间是否要控制呢?当然。我们可以通过防火墙入侵检测，VPN安全网关等，来构建安全层的防护。在安全层中，网络里流转的数据能够被监控、识别、关联和控制管理。例如，在数据中心，不同场景下我们可以利用防火墙、Email过滤，安全控制，3A认证，VPN等进行隔离和识别和管理，将网络上各个端点各个部分进行管控。

　　3、服务层：服务层主要由三个功能部分组成。云火墙，实现防止木马;IPS联防，根据IP地址进行协防和联防，发现攻击可以通知其他IP;Email和Web安全，利用SensorBase统一的数据库，即时收集和更新各地的攻击信息，做出防护。

　　关于服务层“云”安全部分，是我们此次讲座的重点，下面我们详细的讨论一下。

　　C-1、云火墙的由来

　　随着Web2.0时代到来，各种网络服务和网络应用层出不穷。攻击者可利用的攻击手段也更加先进。传统的手动静态的防护，已经很难对抗大规模的网络攻击和病毒疫情。对此，思科推出了最新的安全防护模式，协同防护。

　　我们知道，在网络中，如果一个地方发生了攻击，那么其他地方也可能有类似的疫情发生。于是，一旦发现某处发生攻击，立即通知其他地方统一的阻止和部署，这就是云火墙的核心思想——将防护攻击变成动态的、协同的、主动的。

　　C-2、云火墙和防火墙不同

　　很多人会疑惑，云火墙和防火墙有什么区别?熟悉防火墙的朋友都知道，防火墙的策略是静态的，用户或网管设定以后，不会自动更改。因此，对于攻击，它是完全被动的防御，不知道攻击会出现在哪里，以什么形式发生。

　　而云火墙是动态的，它会根据SensorBase(云上的数据中心)上实时收集到的互联网上攻击的地址和URL来更新自己的策略表。简单说，目前有一大片的主机感染了，云火墙会自动将和这些主机的链接中断，而当感染消失后，云火墙也会动态的解除中断。这样，防护变成了主动，真正好的防护，正是防患于未然。

　　C-3、云火墙自身的特点

　　1、基于SensorBase动态更新策略。

　　这是云火墙最大的特点，也是它称为“云”的原因。Sensorbase是云火墙的核心，思科今年在互联网部署的云端数据库。它会在全球收集各种恶意URL，各种挂马地址，每15分钟，它会动态更新给全球的客户端用户。

　　2、利用IPS(入侵防御系统)模块建立信誉的关联协作。

　　人要有信誉，互联网也是一样。在云火墙中，如果你的IP过去做过很多威胁网络安全的事情，你的每次行为都会被记录到信誉分值中，随着你的信誉值降低，你今后再次被检测到恶意攻击后，就会被网络自动关闭链接。当然，如果你的信誉恨好，偶尔一次发生恶意事件(中毒等等)，网络仅仅会给你一个报警，而不会强行终止你的网络访问。

　　3、提供虚拟云端的移动安全接入。

　　随着移动互联网时代的到来，移动网络的安全接入成为关注焦点。云计算通过SSLVPN技术，实现了移动接入者的安全保护。从概念角度来说，SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型的安全解决技术。

　　4、支持Netflow，对云中的流量进行监控。

　　对于网络中异常流量的监控一直是网络安全和网络防护的重要手段之一。在云火墙中，思科采用Netflow V9技术，实现通过云火墙就可以检测流量，网管人员通过云火墙就可以管理网络。

　　C-4、云火墙热门问题解答：

　　问题一：云火墙如何防范零日攻击?

　　答：零日攻击的溢出会出现在哪里并不清楚，所以很难防范。但是，一旦零日攻击发生后，它会产生很大效果，例如蠕虫泛滥等。云火墙一旦发现这种异常情况后，会将疫情报告给云中心(SensorBase)，然后转发给整个网络，来协同防范。

　　问题二：云火墙与UTM(统一威胁网关)有什么区别?

　　答：UTM等网关集成设备，都是静态的。不断的将病毒特征更新到本地，随着更新的特征越来越多，同时打开这么多的特征，对本地的设备压力会很大。而在云火墙，只有在有攻击的时候，才自动将策略更新给设备，没有攻击的时候，取消策略。作为设备端，只需要开通缺省配置就可以了。这也正是云火墙动态更新的好处。而且，大家要注意一点，云火墙每15分钟向客户端更新的不是病毒特征，而是防护策略。

　　问题三：云火墙的策略管控是强制的么?例如，一个知名网站被挂马，难道就不能去这个网站了么?

　　答：云火墙虽然会自动更新你的防护策略，但你可以通过云火墙的白名单和黑名单功能，自行设置某些网站的信任程度。

　　网络安全技术的发展是随着网络进步而永不停止的……