关于服务层“云”安全部分,是我们此次讲座的重点,下面我们详细的讨论一下。
1、云火墙的由来
随着Web2.0时代到来,各种网络服务和网络应用层出不穷。攻击者可利用的攻击手段也更加先进。传统的手动静态的防护,已经很难对抗大规模的网络攻击和病毒疫情。对此,思科推出了最新的安全防护模式,协同防护。
我们知道,在网络中,如果一个地方发生了攻击,那么其他地方也可能有类似的疫情发生。于是,一旦发现某处发生攻击,立即通知其他地方统一的阻止和部署,这就是云火墙的核心思想——将防护攻击变成动态的、协同的、主动的。
2、云火墙和防火墙不同
很多人会疑惑,云火墙和防火墙有什么区别?熟悉防火墙的朋友都知道,防火墙的策略是静态的,用户或网管设定以后,不会自动更改。因此,对于攻击,它是完全被动的防御,不知道攻击会出现在哪里,以什么形式发生。
而云火墙是动态的,它会根据SensorBase(云上的数据中心)上实时收集到的互联网上攻击的地址和URL来更新自己的策略表。简单说,目前有一大片的主机感染了,云火墙会自动将和这些主机的链接中断,而当感染消失后,云火墙也会动态的解除中断。这样,防护变成了主动,真正好的防护,正是防患于未然。
3、云火墙自身的特点
1、基于SensorBase动态更新策略。
这是云火墙最大的特点,也是它称为“云”的原因。Sensorbase是云火墙的核心,思科今年在互联网部署的云端数据库。它会在全球收集各种恶意URL,各种挂马地址,每15分钟,它会动态更新给全球的客户端用户。
2、利用IPS(入侵防御系统)模块建立信誉的关联协作。
人要有信誉,互联网也是一样。在云火墙中,如果你的IP过去做过很多威胁网络安全的事情,你的每次行为都会被记录到信誉分值中,随着你的信誉值降低,你今后再次被检测到恶意攻击后,就会被网络自动关闭链接。当然,如果你的信誉恨好,偶尔一次发生恶意事件(中毒等等),网络仅仅会给你一个报警,而不会强行终止你的网络访问。
3、提供虚拟云端的移动安全接入。
随着移动互联网时代的到来,移动网络的安全接入成为关注焦点。云计算通过SSL科学技术,实现了移动接入者的安全保护。从概念角度来说,SSL 科学即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型的安全解决技术。
4、支持Netflow,对云中的流量进行监控。
对于网络中异常流量的监控一直是网络安全和网络防护的重要手段之一。在云火墙中,思科采用Netflow V9技术,实现通过云火墙就可以检测流量,网管人员通过云火墙就可以管理网络。
4、云火墙热门问题解答:
问题一:云火墙如何防范零日攻击?
答:零日攻击的溢出会出现在哪里并不清楚,所以很难防范。但是,一旦零日攻击发生后,它会产生很大效果,例如蠕虫泛滥等。云火墙一旦发现这种异常情况后,会将疫情报告给云中心(SensorBase),然后转发给整个网络,来协同防范。
问题二:云火墙与UTM(统一威胁网关)有什么区别?
答:UTM等网关集成设备,都是静态的。不断的将病毒特征更新到本地,随着更新的特征越来越多,同时打开这么多的特征,对本地的设备压力会很大。而在云火墙,只有在有攻击的时候,才自动将策略更新给设备,没有攻击的时候,取消策略。作为设备端,只需要开通缺省配置就可以了。这也正是云火墙动态更新的好处。而且,大家要注意一点,云火墙每15分钟向客户端更新的不是病毒特征,而是防护策略。
问题三:云火墙的策略管控是强制的么?例如,一个知名网站被挂马,难道就不能去这个网站了么?
答:云火墙虽然会自动更新你的防护策略,但你可以通过云火墙的白名单和黑名单功能,自行设置某些网站的信任程度。
网络安全技术的发展是随着网络进步而永不停止的……
【编辑推荐】
可牛木马专杀和贝壳木马专杀哪个强?
贝壳木马专杀强大。 贝壳木马专杀是国内首款专为网游防盗号量身打造的,完全免费的木马专杀软件; 小于500kb的轻小体积,纯绿色的免安装模式,适合用户快速下载使用。 100%云查杀,拥有世界最大的云安全数据库,针对最新的风险可疑文件,5分钟快速响应解决。 400kb轻小体积,不占空间,二次检测10秒钟闪电扫描,快速确认系统安全性。 100%纯绿色,无需安装、不常驻、不写注册表、不占用系统资源,可与众杀毒软件共存。 体积轻小小于500kb轻小体积,瞬间下载完成资源占用少几乎不占用系统资源,一边游戏一边杀毒最大的云安全数据库拥有世界最大的云安全数据库,让您免受木马/病毒的侵袭完善的兼容机制可与众杀毒软件共存,使用更方便纯绿色版无需安装、不常驻、不写注册表快速扫描二次扫描10秒内完成,清除木马/病毒更省时快速识别新木马针对最新的风险可疑文件,可以在5分钟内判别是否有恶意行为专业的技术团队贝壳安全是一支热情、快乐,专注于为用户解决安全问题的团队
大数据云计算毕业刚进入工作岗位都是干啥的?
1、云计算企业架构师云计算架构师有两条非常好的途径可供选择:公共云解决方案架构师和安全架构师。 传统架构技术对于以云作为基础的IT企业来说不够具体化,而且大多数企业寻找的是熟悉特定品牌的云的内容专家(SME),例如亚马逊网络服务、谷歌和微软。 所以,如果你在IT架构或安全拥有一个较为一般化的职位,你需要集中将注意力放在特定的云服务上,包括安全服务。 2、云计算开发人员软件开发是一门用途最为广泛的技术,因为你可以在几乎任何平台上编码。 但是在云上,你需要费些心思去深入了解特定的公共云,因为了解之后,你需要创造在云上原生的应用程序。 “云上原生的”意味着要将云平台的命令直接植入应用程序,例如安全服务、队列、I/O服务,和资源供应的管理。 运用这些命令需要你同时细致的了解所用编程的语言,以及在什么地方该使用哪一个界面、怎么使用、为什么使用。 3、云系统管理员对于系统管理员来说,云职业之路要从转移到云运算,做一名cloudop开始。 这是云运算中的一个新职位,主要负责备份、恢复、检测运行、管理SLA以及其他在云基础虚拟服务器的运算设置方面很有趣的工作。
SD-WAN网络意味着什么?
SD-WAN网络出现意味着什么?
随着5G网络的出现,物联网(IoT)应用快速增长,工业自动化、智慧园区、智能安防、大数据、车联网等宽带物联网相关应用纷纷落地。 相对窄带物联网应用,宽带物联网对网络的QoS提出了更高的要求。 IoTN作为物联网连接方案,通过共享边缘POP节点,优化通信协议,云端QoS控制,在现有的基础网络上,优化满足蓬勃发现的宽带物联网发展需求。
随着企业纷纷拥抱数字化转型,以及边缘计算、云服务和混合网络的兴起,传统云安全通过企业数据中心对数据流进行检查的方式在实时、移动和边缘等场景下逐渐失灵,SASE将SD-WAN与零信任访问等一系列安全能力集成,访问决策基于用户身份并在边缘强制执行,而策略则在云中集中定义和管理,可实现安全架构的核心从数据中心向身份的根本性转变。 技术变革往往为新巨头的诞生创造重大机遇,意识到SASE重要价值的厂商和资本已经行动起来。
SD-WAN意为软件定义的广域网,它允许企业智能切换使用包括光纤、5G和宽带等多种网络服务及组合,以创建一个更灵活、顺畅、易管理的互联网连接,让公司可以低成本跨越数千个终端扩展基于云的应用。
当前,SD-WAN的边界正向更深更广的方向延伸,不仅限于广域网边缘,还包括网络边缘,从而能实现网络边缘与广泛分布的本地端点和基于云的端点之间的连接。
发表评论