“無邊界”的概念已經(jīng)得到業(yè)內(nèi)很多人的認可，谷歌早在2014年就提出了BeyondCorp網(wǎng)絡安全新模型，其核心理念是“將防御關注重點從網(wǎng)絡邊界轉(zhuǎn)移到設備和用戶本身，不再按照是否處于內(nèi)部網(wǎng)絡，來給設備分配信任級別。”

無邊界的提出是為了應對云計算、移動設備和物聯(lián)網(wǎng)的普及，但不可忽視的是行業(yè)云、私有云在國內(nèi)的需求依然很大，許多重要行業(yè)、關鍵基礎設施短期內(nèi)還看不到走上公有云的趨勢。內(nèi)外有別的網(wǎng)絡環(huán)境，還是市場主流需求，防火墻全球領先廠商 Palo Alto 的產(chǎn)品依然很火。

去年夏季，先后收購網(wǎng)神、網(wǎng)康的360企業(yè)安全發(fā)布智慧防火墻，并于近期提出“新邊界防御”的概念。那么，新邊界的含義何在呢？360又是如何看待下一代防火墻的技術方向呢？近日，安全牛走訪了負責防火墻產(chǎn)品線的360企業(yè)安全副總裁王偉。下面是安全牛根據(jù)談話記錄整理出來的，一些重要觀點和對未來技術方向的看法。

一、智慧防火墻的關鍵特征

無論是防火墻還是下一代防火墻，首先需要防護住已知威脅，不管是網(wǎng)絡層、應用層，還是內(nèi)容層。智慧防火墻與很多其他防火墻產(chǎn)品較大的兩個區(qū)別，就是高質(zhì)量威脅情報的支撐，和與終端安全、安全分析等平臺的聯(lián)動。

在與終端聯(lián)動方面，舉個例子，有的服務器或者PC出于各種原因，沒有安裝殺毒軟件。但如果有已安裝殺軟的機器查出來惡意樣本的話，則可以把惡意樣本的反連域名、IP、端口等相關信息同步到防火墻中去進行攔截，對整個系統(tǒng)做到全局的保護。

此外，防火墻與終端的聯(lián)動，還可實現(xiàn)更深層次的，基于終端安全信譽分級，以及基于網(wǎng)絡行為特征的管控，達到異常行為分析的目的，即所謂的UEBA用戶行為分析技術。

在與云沙箱聯(lián)動方面，我們知道，本地沙箱可以仿真的環(huán)境相對而言比較有限，而云沙箱則可以非常容易擴展，以仿真不同的環(huán)境，因此可以把可疑樣本傳到云端，檢測后的結果再反哺給防火墻用于后期的防御。本地沙箱維護成本高，云沙箱則在國外比較常見，但在國內(nèi)卻少有企業(yè)外接到云端沙箱，這屬于意識上的問題，還需要進一步的引導。

智慧防火墻做的是數(shù)據(jù)全量采集，里面有流量的很多維度的數(shù)據(jù)，這些數(shù)據(jù)可以發(fā)送到與防火墻連接的安全分析平臺做關聯(lián)分析。這個安全分析平臺可大可小，大企業(yè)可以建立NGSOC，小企業(yè)則可以配置一個小成本的安全管理分析中心。

以上都是基于技術的因素，但實際上最關鍵的因素是人。有了人對數(shù)據(jù)的加工和分析，結合威脅情報，才能令信息更加高效、準確。

360有著自己運營的威脅情報中心，無論是在數(shù)據(jù)規(guī)模還是數(shù)據(jù)質(zhì)量上，要比借助第三方公開威脅情報平臺的產(chǎn)品效果顯著。

但專業(yè)資深安全人員的短缺問題無法在短期內(nèi)解決，因此提供遠程安全托管服務應該是未來的服務趨勢，類似Fireeye as a service。

二、新邊界防御的核心理念

新邊界的“邊界”含義是指，邊界與設備所在的位置無關，而是與訪問有關。除了我們通常理解的網(wǎng)絡不同可信域間的邊界，終端、網(wǎng)站、APP，甚至人都是邊界。因此，防火墻必需與各種安全設備進行有效的聯(lián)動，才能在新邊界的環(huán)境下發(fā)揮更大的作用。

新邊界防御有兩個核心理念，消耗攻擊者和積極防御。

前者是指通過縱深防御體系+自動化技術，來增強防護能力。比如上文所述的，威脅情報、沙箱檢測，終端安全和安全分析平臺聯(lián)動等，以增加攻擊者成本。

消耗攻擊者資源

后者則是指安全人員通過數(shù)據(jù)支撐和系統(tǒng)的精細控制能力，結合可視化、異常行為分析等技術，來達到安全體系的整體聯(lián)動，能夠做到準確快速地發(fā)現(xiàn)威脅。這也是智慧防火墻的核心理念。

數(shù)據(jù)支撐和精細控制

因此，360企業(yè)安全的重點戰(zhàn)略方向是圍繞防火墻來打造一整套安全系統(tǒng)，而不是把能力都固化在防火墻中。智慧防火墻包括了可視化、威脅情報整合等核心能力，但更重要的是，它能夠與各種安全產(chǎn)品形成不同的組合方案，擴展或增強安全分析能力。

所謂的下一代邊界防御，不只是下一代防火墻，而應該是下一代企業(yè)安全平臺。

三、下一代防火墻的技術方向

第一個是高性能解密，解讀加密流量。因為訪問流量加密已是大勢所趨，高性能解密這一技術領域已有許多相關廠商在加緊動作。

第二是集中式管理，是基于業(yè)務流程去配置防火墻，而不是針對某一臺或幾臺防火墻進行配置，這就需要安全策略的可視化和策略的智能下發(fā)。

第三個是虛擬化。這一塊國外主要考慮的是虛擬防火墻在公有云中的通信性能和靈活管理問題，包括策略的下發(fā)、靈活調(diào)度等。而對于國內(nèi)來說，公有云的接受程度還有待時間的考驗。

最后一個是自動化運維。雖然談比較理想的自動化可能還得需要好幾年的時間，但這終歸是一個幫最終用戶提升安全運維效率的大趨勢，大家應該去努力迎合。

對于國內(nèi)的廠商來說，現(xiàn)階段比較實際的是面向行業(yè)云，提升集中管理能力，自動化生成更準確的威脅情報。擁有這三方面的能力的廠商，才會在市場上有著更強的競爭力。

安全牛評

360在收購網(wǎng)神、網(wǎng)康之后，充分的結合兩者之間的互補性，取得了不俗的成績。目前其智慧防火墻已入駐阿里云和青云這兩大公有云。此外，IDC近期發(fā)布的2016年UTM市場報告，360企業(yè)安全已經(jīng)排進前三。