目前，虚拟化技术正在企业中快速普及，云计算的应用也加快了步伐。据IDC今年亚太区CIO创新研究调查报告显示，接近70%的CIO表示未来两年会将云计算嵌入到业务运营当中。顺应这一趋势，新一代网络和安全将如何发展?在日前举办的NetEvents亚太媒体峰会上，全球领先的网络厂商汇聚一堂，数据中心网络、下一代网络安全和运营商以太网成为中心议题。

当前的企业网络安全形势，越来越复杂。当我们用各种方法保护数据中心的时候，发现直接对数据中心攻击的现象在减少。入侵者不再直接攻击安全基础设施，而是通过恶意软件攻击最终用户来获得访问数据中心的权限。

然而传统的安全措施很难察觉到针对性攻击，无法及时生成签名让IPS和反病毒软件阻止针对性攻击。客户虽然有许多设备保护数据中心和网络边界，但却不能保护新型攻击的目标——用户。

现在专业的入侵者首先使用社交媒体锁定某个员工，让用户打开一个为其专门定制的文档，例如PDF。第二步，这些文档会利用Adobe PDF Reader、PowerPoint或浏览器等应用程序的漏洞，运行恶意代码。第三步恶意代码会通过互联网下载后门程序，在用户电脑上安装木马。接下来恶意程序会与外部的入侵者建立命令与控制链接，如此就进入第五步，入侵者就可以通过获得用户权限进入数据中心。

在应对这种针对性攻击上，传统安全设备显得力不从心。“现在的安全设备可以很好地应对大规模的攻击，”Palo Alto网络公司的创始人兼首席技术官Nir Zuk解释道，“而这种针对性攻击可能就是一个PDF文件，只进行了一次传输。”

Palo Alto网络公司的创始人兼首席技术官Nir Zuk

当前文档传播途径多种多样，除了Web浏览和电子邮件外，还有Skype、Dropbox、SharePoint、WebEx等等。Nir Zuk认为，解决之道首先要保护所有应用，不仅是浏览和电子邮件。第二，响应时间非常关键。第三，必须采用自动化技术，解决人力的问题。这就需要完全自动化的分析流程，并对攻击响应。可以采用沙盒技术，让目标文件在虚拟机中运行，如果恶意软件作出可疑动作，如更改注册表设置，产生一些不应该产生的互联网流量，软件就可以做出判断。接着会自动产生签名，包括IPS签名和反病毒软件签名。

为了阻止有针对性地恶意软件攻击，Palo Alto新推出了称为WildFire的技术，能够精确识别恶意软件产生的流量。一个恶意软件即使逃避过检查，它最终也会开始向计算机外发送流量。如果发现恶意行为，WildFire会生成一个签名来识别流量，并在今后阻止它。

“WildFire是一种云服务，”Nir Zuk介绍到，“我们在云上使用数千个CPU来自动分析文件。在试用的几个月时间里，我们发现了约700个以前未知的恶意软件。其中有57%当时没有被反病毒软件和IPS检测出来。”Nir Zuk认为，防范新型恶意软件，保护所有应用，且性能不受影响，是下一代防火墙的职责。

(责任编辑：)