全功能虛擬化。這兩點看似既簡單又理所應當，但實際實現還是有較高技術難度的，需要云計算數據中心的注意。

 

　　華為的兩位工程師向記者表示，華為在這兩個方向的虛擬防火墻解決方案上都在努力。同時他們也表示，純虛擬化的防火墻在開啟安全檢查的時候會極大地消耗服務器的性能，也會帶來更高的管理和維護成本。其實，不論是廠商還是用戶都在尋找一個關于服務器上純虛擬化防火墻和出口防火墻部署的平衡點。

 

　　Hillstone首席顧問陳懷臨也向記者表示，目前的安全解決方案在東西向流量上趨于要求低延遲和高吞吐。而防火墻一般只用于檢測南北向的流量。尤其是目前Hadoop以及存儲技術的發展，大量的數據在多個數據中心之間快速地流通。因此，對于快速轉發提出了很高的要求，也導致了對于東西向的流量不采用防火墻的現象。而根源是目前沒有合適的產品滿足這種高性能需求。他還舉了一個例子，從數據中心的收斂比來看，如果一個云數據中心做五萬個虛擬機的安全檢查需要200G的吞吐，而目前并沒有性價比更好的防火墻。另外虛擬機之間的安全檢查與以往并無區別，只是虛擬機的增加會對安全檢查提出更高的要求。

 

　　然而，陳懷臨對于純虛擬化的防火墻并不認同。“受限于服務器負載，高端的安全檢查并不能在服務器內部做，還是要將流量牽引出來。”陳懷臨如是說。因此，虛擬化的產生對于真正高端的防火墻有很大的需求，前提是價格可以接受。他強調，基于網絡的安全一定是流量牽引出來檢查的方式，純虛擬化的防火墻是個偽命題。因此，流量只在虛擬機內部做安全檢查，對于大規模的數據中心很難做，并不只是服務器本身負載的問題，IT運維一致化也是重點，而現在的數據中心恰恰很難做到運維一致化。因此，從最佳實踐的角度來講，純虛擬化防火墻并不適合，流量牽引出來才是王道。

 

　　零日攻擊防范新招數

 

　　針對系統缺陷的應用攻擊已成為數據中心面臨的主要威脅。而漏洞發現到攻擊的時間跨度越來越短，甚至來不及打補丁。數據中心應如何應對由應用漏洞產生的安全威脅呢？譚杰認為，零日攻擊的泛濫使得數據中心不能依賴單一功能的安全設備，尤其是僅僅基于特征防御的安全產品。例如WAF（Web應用防火墻）同時通過特征和行為對攻擊進行防御，對Web服務的保護效果就好于IPS。用戶需要的安全解決方案要集多種安全特性（防火墻、IPS、病毒防御、DLP、內容過濾等）于一身，并結合應用層防御技術（如Web應用防護、數據庫安全等），各項安全技術有機結合，互相保護，時刻監控并防御APT攻擊的各種入侵手段，打造一個全方位立體安全體系。

 

　　陳懷臨也提出了自己的看法。他認為，傳統基于簽名的檢測方法對于零日攻擊的防護并沒有起到很好的效果。現在大家普遍使用Sandbox（沙盒）來進行模擬，通過虛擬現實的環境來檢查未知惡意軟件，對于未知威脅或者零日攻擊的防護，借用大數據分析的方式，對行為進行主動識別，將是下一個發展方向。大數據與網絡安全的結合也將是網絡安全的下一個春天。當然，如果要將全部的判斷都基于行為是否異常來進行，在建模和大數據的分析上都是難點。另外，由于防火墻必須是在主干路上的，因此對于性能和穩定性的要求都很高。雖然對于硬件平臺也提出了新的挑戰，但卻是一個可行的方向，而Hillstone希望引領這個潮流。 事實上，一些安全軟件廠商已經將基于行為的分析用作對于未知惡意軟件的安全檢查之中，并且效果很好。然而，由于大數據也只是新興概念，基于大數據的行為分析究竟價值幾何，還需要時間的驗證。

本地防御和云清洗搭建DDoS防御網

 

　　目前市場上很多廠商的防火墻中都含有Anti-DDoS功能，然而，防火墻和IPS是否可以有效保護網絡設施免受DDoS侵害呢？石金利認為，如果防火墻中的Anti-DDoS功能不是單獨的板卡，是不能防御DDoS攻擊的。對于DDoS的防護，必須要使用專用的Anti-DDoS設備。作為電信運營商流量清洗業務的合作伙伴，合泰云天創始人郭慶表示，防火墻與入侵檢測IPS通常串行部署在網絡下游的網關位置，是基于狀態檢測的訪問控制系統，本身就是 DDoS的一個攻擊目標，在設備新建連接與狀態連接耗盡時成為網絡瓶頸。DDoS防護的最佳實踐應該是：流量清洗中心與運營商BGP路由調度控制。

 

石金