湖盟云防火墙低调公测，引发互联网技术革命

云安全2011年还只是一个新概念，做法是把其防火墙升级到云火墙，而不是云防火墙。后来国内WEB安全研究团队湖盟经过一年的系统建设。正式把湖盟防火墙升级到湖盟云防火墙，2012年1月开始投入实际测试，年底或将推向海外。

目前，我们所熟知的安全防范大致可分为几种：传统的防火墙、IPS、DS、DLP。传统的防火墙采用的是被动的安全原则，使用白名单的机制，只允许符合安全原则的访问通过。

从OSI七层模型来看，传统的防火墙工作在第三层，采用状态检测技术检查和转发TCP/IP包，从而实现安全区域的隔离和访问控制。这就决定了防火墙只能判断TCP层面的网络攻击，而不能防Web应用攻击，因为它识别不了数据包的内容。

黑客利用系统本身漏洞、程序漏洞，通过正常的连接完全可以取得Web权限，进而篡改网页，如常见的SQL 注入攻击，其表现层面完全是正常的数据交互查询。

对于防火墙而言，这是正常的访问连接，没有任何特征能够说明此种访问连接存在攻击，但其实系统已经受到攻击。

IPS/IDS可以识别网络数据包的内容，进而判断是否安全，但IPS/IDS采用的是负向安全原则，是一种黑名单的机制，这就导致两个问题：一是难以跟上新的攻击手段，二是要判断的攻击行为太多，必然影响性能。

DLP产品和技术是最近几年兴起的一个新的安全分支，但若想DLP系统能够达到预期效果，需要企业事前对对敏感数据的数据模式特点，存放格式，存放位置，泄漏场景有全面和清晰的定义，比较适用于对于例如信用卡，身份证信息，电话号码等有明确数据格式的信息实施防泄漏防护，而对于用户账号/口令这类无法提取数据格式特性的数据泄漏，做起来就会比较吃力。

目前，我们所熟知的DOS攻击防范大致可分为几种：基于增设TCP传输检测点、基于连接修改和传递、基于连接重组现场TCP技术。

基于增设TCP的测点，只能应用于linux终端设备，该技术效率不够高，因为整个系统都在中断服务程序中实现，编程难度较大，调试较困难。

基于连接修改和传递，对应用层服务程序透明。缺点FE每次需要与HAP重新建立连接，有两次报文交换，性能不够高，并且不能真正识别非法连接。

而湖盟云防火墙基于连接重组现场TCP技术，全IP迁移应用层数据包，实现对应用层攻击的实时检测与防范。扩展了防火墙与云计算的优势，将其防护层面从经典的3-4层和第7层相互隔离，填补了WEB安全产品的防护空白。世界第五代防火墙将在2012年诞生！