現在的各種病毒、木馬等越來越智能化，并且處于不斷的變化中，難以發現它們的共同特點。最新的由病毒、木馬等組成的威脅系統是僵尸網絡，僵尸網絡是由一個主控來控制向多個被木馬、蠕蟲、病毒等感染的客戶端發送垃圾郵件、發起DDOS攻擊等。

　　僵尸網絡數量的發展非常驚人，下圖是一段時間內的Botnet僵尸網絡數量發展趨勢。

　　最早的僵尸網絡用來發送垃圾郵件，去年比較流行的DDOS攻擊也是由僵尸網絡發出的，僵尸網絡有三層的架構，非常隱蔽，難以找到它的主控端。如下圖是僵尸網絡的相關內容和控制軟件。

　　安全新技術發展趨勢

　　IT領域非常流行的云計算技術可能讓將來的互聯網為存儲、網絡、計算平臺等提供云服務，能夠實現資源的按需分配，積木式擴展，系統專業化外包并托管。

　　在云計算技術提供的“云”服務中最重要的技術是虛擬化技術，包括平臺虛擬化、架構虛擬化、軟件虛擬化、應用虛擬化、業務虛擬化等，這些虛擬化技術對安全提出了新的要求。路由器和交換機需要支持虛擬化交換，防火墻和入侵檢測系統需要支持虛擬防火墻和虛擬安全設備。

　　虛擬化技術的驅動力如下圖所示。

　　包括:硬件資源未充分利用、數據中心空間不足、不斷增加的能源消耗、不斷增加的管理成本。虛擬化技術能實現資源復用、簡化管理、降低能耗等。

　　虛擬化技術使以前的安全域的劃分不復存在，在同一個硬件里面有很多的虛擬系統，產生的是一個無邊界的安全空間，也可以說是到處都有邊界，很難知道要放置多少個防火墻，這就要求防火墻在虛擬化平臺下要有相應的新的技術。

wordend

　　思科安全技術的三個主要方向：“云”服務-按需而為;主動防御-自信協作;安全與服務-SaaS。

　　云”服務-按需而為。

　　昨天(2008年)：實現了清洗中心“云”服務，Anti-DDOS防止目的地址被攻擊，利用了云計算技術中的共享復用概念。

　　今天(2009年)：實現Sensorbade“云”，Anti-Botnet防止客戶端被僵尸網絡感染，利用實時擴展技術。

　　昨天(2012年)：實現Nexus“超級云”，在路由交換虛擬化的前提下提供基于角色的云安全服務，通過用戶名和Password來控制整個網絡中的用戶，而不是基于IP。

　　清洗中心“云”服務示例如下圖。

　　在整個的干網中有很多的清洗中心，能夠實現近源清洗和復用。

　　Sensorbade“云”服務部分內容介紹如下圖。

　　Sensorbade數據庫收集全球的垃圾郵件、釣魚網站、黑客攻擊地址、主控機等信息，并將這些信息共享到互聯網中，全球的ASA、防火墻等都能實時的同步這些庫，可以防止正常訪問Internet時感染木馬連接到惡意網站等等。

　　Nexus“超級云”，云計算平臺的云安全。

　　主動防御：Anti-botnet,BTF(Botnet Traffic Filter),實現的示意圖如下。

　　未來的威脅主要來自僵尸網絡，Botnet過濾是抑制互聯網威脅的主要方式， Botnet過濾過程如下圖。

　　首先是用戶試圖連接一臺被控制的主機，這時Cisco SIO會更新ASA Botnet Filter過濾表，被控主機被標明為攻擊源，最后發送警告到安全團隊以實現威脅的防止、緩和、修復等。

　　Cisco ASA5500全系列都能實現Anti-Botnet，如下圖。

　　主動防御：信譽度+Signature-協同工作的IPS，如下圖。

　　利用Sensorbade數據庫的信譽度信息實現全球的協同工作，例如在澳大利亞有一個新的蠕蟲爆發，IPS檢測到之后通過全球的數據庫要求其它地方的IPS同時應用這個新的Signature來實現對該蠕蟲的共同過濾。

　　IPS利用全球關聯技術實現精確處理可疑行為，如下圖。

　　當一個攻擊發生后，如果攻擊點的IP地址是一個信譽很差的惡意地址，則直接阻止連接并作處理，如攻擊點的IP地址是一個內部地址或可靠地址，則做報警處理。

    wordend

　　SaaS -Security as a Service。

　　在Cisco的安全“云”下面實現ASA Anti-Botnet僵尸網絡服務、Anti-DDOS服務、IPS全球關聯服務、Web安全服務、Email安全服務。

　　SSL VPN 統一企業的資源安全訪問。通過虛擬機、終端的安全檢測使每一個接入到網絡的系統能基于角色共享網絡資源，如下圖。

　　“云”安全服務下的內容安全服務，利用IronPort實現Email、Web應用中的內容過濾，如下圖。

　　思科安全架構新藍圖。

　　思科SAFE安全策略架構如下圖。

　　SAFE像一個可以操作的實時指南,思科在十年前就提出了SAFE安全策略架構。所有的網絡架構包括園區網、辦公網、廣域網、局域網，LPS、VPN網等，SAFE對其中的防火墻、IPS等的接入和部署都有相應的指導。

　　十年前思科用SAFE來指導構建安全的Internet，在互聯網向新的云計算、云服務發展時思科提出了新的SAFE架構來實現新的安全網絡的構建。