防火墙始终是安全领域一个经久不衰的话题,但它作为防御体系的第一道关卡,却总被视作“标准品”,有意无意地处于安全人的“盲区”中。随着基础技术的发展和生态成熟,以云情报、端点融合、学习预测等智能化特性驱动的智能化防火墙已经具备了普及落地的条件。
安博通多年来专注于网络安全通信操作系统套件的研发和技术输出,站在平台的视角,对防火墙为代表的安全网关类产品的技术趋势和应用场景发展有着更敏锐的洞察。安博通认为防火墙正处于一个智能化的关键节点,AI技术的成熟为智能分析架构提供了充足的养分。
这也正是防火墙迭代的契机。在去年,安博通发布了“智能防火墙平台” ,这也是安博通继第二代防火墙(NGFW)平台之后的全新一代平台产品;安博通认为在未来,智能防火墙平台将成为一个重要方向,有望在三年内全面普及,它又将如何冲击现有的防火墙格局?极牛网记者带着这样的疑问,对安博通进行了采访了解。
受采访人介绍:
李远,北京安博通科技股份有限公司副总裁,网络安全领域专家,曾主持和设计了国内多个政务、金融和云安全重大项目的安全业务系统,对网络安全可视化、攻防技术和网络流量分析有深入的技术积累和实战经验。
极牛网:安博通去年发布了自己的智能下一代防火墙,其实国内前两年也有提到过相关概念,那您能先简单谈谈对防火墙的看法吗?
李远:国内防火墙最早大概是96年左右的时候开始做的,一直到2007年、2008年的时候出现了一个新的产品叫做UTM(安全网关)。
极牛网:感觉国内产品很多对UTM和防火墙之间的界限很模糊。
李远:其实最早是防火墙产品,然后大家都开始做UTM。当时的UTM就是在防火墙上增加了一些安全防护的功能,但是UTM的主要问题就是没有很好地把这些功能糅合在一起,性能也不高。所以在2011年的时候,Gartner就开始提出下一代防火墙的概念了,当时就在说一体化的流程、要将模块有机结合、在防火墙上有应用层相关防护。
现在距离Gartner当初那波风潮已经过去七八年了,我认为从2015年开始,防火墙又进入了下一个阶段,开始引入智能分析的功能,这是之前没有的功能。产生这个变化的主要原因,在我看来,是因为周边的技术已经逐渐成熟。在2016年左右,机器学习和关联分析的基础技术已经成熟了;所以不会像以前那样做这些东西会很费劲。
那个时候可能周围随手可得的资源就能帮助工程师把环境搭建起来,做一个智能分析类的东西,所以从那个时候开始,防火墙就往智能化分析的方向发展,比如APT防御就是从那个时候开始的。另外,不同的模块之间做关联分析、做预测也基本都是从那个时候开始的。所以我认为,在下一代防火墙之后,有智能化的一个时间点。
对于防火墙之间的分类,我认为现在的两极化分化很严重:就是一部分防火墙相当简单,而另一部分则非常复杂。防火墙这个产品就是在往这两个方向发展的;任何一个方面都做到极致的,都很受欢迎。但是在中间的产品,就需要去思考往左走还是往右走的问题。
防火墙的极简
极牛网:往复杂方向走的防火墙很容易理解,那往简单方向走的防火墙是指什么呢?
李远:我以门禁为例,在火车站、飞机场这种地方,只需要验证一下脸就能通过了。放到防火墙产品上,就是只部署最基础的功能;因为在防火墙后面,有各种安全措施对应不同的场景。防火墙大部分时候还是作为一个边界产品,因此,它需要一个非常高的性能和稳定性。所以,简单的防火墙可能只使用了96年防火墙最基础的包过滤功能,但是对稳定性和简洁性要求非常高。
极牛网:一般这种类型的防火墙部署在哪里?为什么会有这样的需求?
李远:主要原因是现在安全产品越来越丰富,原来很多防火墙的功能现在都有专门的产品去实现。在预算充足的情况下,很可能会去选择不同的产品进行协同实现,但是在前端依然需要一个准入的功能。另一方面,由于防火墙在边界,因此对性能和稳定性的要求非常高。
极牛网:所以一般哪些行业、哪些场景会有这样的要求?
李远:比如金融、运营商,他们的预算比较充足,而且整体的安全规划非常成熟,所以就不需要在防火墙上叠加太多其他功能。在这些场景里会有上万条规则,以及相当巨大的流量,因此这些行业不一定需要太多复杂的功能(比如开包检测)。但是在这些行业由于需要处理的内容量大,所以一定需要稳定。
防火墙的复杂
极牛网:那另一面复杂的防火墙能不能也说一点想法呢?
李远:我觉得防火墙现在的发展就像一块画布一样,各个厂商都在上面画东西。防火墙是一个大概念,所有东西堆到防火墙上都会变得很合理。举个例子,让一个堡垒机去支持防火墙功能可能难以让人相信;但是,如果让一个防火墙去支持堡垒机功能,就会变得很合理。因为这个原因,很多厂商都会在防火墙上堆功能——也就造成了不同厂商之间的防火墙差别很大的结果。复杂的这一个发展方向已经很务实地进入了机械学习、人工智能这些落地过程了。
防火墙的三维:功能、方法论、大数据
极牛网:所以安博通的规划是往哪个方向走?
李远:我们之前主要是以稳定性为主,原因是因为我们认为在智能化的那一波风潮出现之前,往防火墙上加各种功能比较困难。但是随着谷歌把机器学习的内容披露,以及做这些智能化功能越来越简单,我们这两年在稳定高效的基础上做智能化的分析,要把这块做得越来越丰满。我们现在在做的内容有威胁情报、APT链式分析、基于资产的威胁预测等功能。
其实防火墙的发展除了跟着技术的发展,还有一个方法论因素。很多国内外厂商都在自己的产品上集成自己的方法论: 比如Gartner之前提出的“自适应安全”,就表示安全应该是一个闭环;之后就能看到很多厂商在自己的产品上对这个方法进行实践。这点我们也一样,希望通过方法论,将各种功能有机地串联起来。
最后还有一点就是数据,因为大量有价值的数据能让防火墙变得更智能,变得更高效。所以,增加基础功能、结合方法论与数据分析是我们主要的三个方向。
极牛网:所以现在安博通的主要落地场景和行业是哪些?
李远:金融、运营商、教育、政府,主要是这四个领域,也有医疗领域。
极牛网:医疗是指医院?
李远:是的,因为现在医院也有等级保护需求。
极牛网:不仅是行业之间的应用场景有区别,其实不同行业、企业之间,IT团队的技术能力也有很大的差异。结果而言,不同企业对防火墙的使用能力上也会有相当大的差异。那么安博通在产品交付的时候,是会给一套完整的系统,但是让用户自己去配置去调试,还是会对客户进行定制化的产品设计和交付?
李远:我们交付的基本上是标准品。但是,问题中你也提到了用户本身在使用时的情况,我们还是需要在使用性上做得越来越好。比如防火墙都会做一些配置向导,或者有一些预置的模板。
防火墙和路由器很大的一点区别在于,防火墙是不需要用命令行去交互的,而是用Web页面的方式,因此理论上是可以做得非常优秀的。我们会去看国外一些其他领先的厂商产品,比如Palo Alto,他们的界面就做得非常漂亮,应用性很好——即使对一些非技术人员,甚至英语都不是很擅长的人,都能知道需要做些什么。我认为这对防火墙来说也是很重要的一个点。
另一方面,很多客户也会在防火墙上集合了很多自身的信息,并且会经常登录防火墙查看每天的事件,未来潜在的威胁;所以如果把界面做得比较漂亮,也能增加用户的粘性。
安博通看防火墙与安全
极牛网:您认为现在人们对防火墙市场有什么误解?
李远:现在很多人都觉得防火墙市场同质化很严重,并且门槛低,但我认为有一定误解。市场上厂商多、产品多,不代表每家的思路都是一样的。防火墙是个太大的概念,不见得每家厂商都会做得相同。不同行业、不同领域的侧重点是不同的。所以无论对用户还是厂商,都需要思考,自己是使用/开发简便的还是智能化的防火墙产品,而不应该将防火墙作为一个大路货的东西看待。
极牛网:您刚刚提到不同行业和领域的侧重点不同,那么您认为该如何把自己的理念落地到产品和使用环境的?另一个问题就是,在产品开发过程中,是先去思考如何做好一个产品,还是会先去分析目标环境的需求,再考虑如何设计产品?
李远:我先说第二个问题。我们基本上会按照自己的思路。因为不管是落地哪个行业,防火墙本身的趋势是在进步的,所以我们会根据自己的思路让产品正常往前发展。在销售中也会碰到不同行业,那么在这个过程中我们也会去甄别哪些行业是我们碰得到的,然后我们就会着重在这些行业的需求方面做努力,让我们的产品越来越适应这个行业。
回到第一个问题,就是在不同环境下是否有不同的使用方法。答案是会的。
比如说金融行业和运营商行业的内网对防火墙的使用就是很基础,他们对防火墙的使用是有自己很清楚的理解:他们需要防火墙高可靠性、在故障发生时能快速切换、基础的隔离,对于基础的功能要很好用;性能表现要好、稳定性要强、应用性要好,以及易于维护。这些企业是精确性地使用防火墙,但局限于比较基础的功能。在这些场景里,我们就会舍弃一些智能化计算的东西。我们安博通产品的一个核心特点就是应用层的能力很强——比如流量通过的时候,我们能知道是在用抖音看视频还是在用app商店下载应用。但是在我刚刚提到的环境中,是不需要这项功能的,因为知道了也没任何意义。那我们就需要在那种场景下去除这些功能,避免影响稳定性。
再拿高校或者小区的运营商作为例子,他们的特点是多线路。一般公司上网线路可能就一两条,但是二级运营商、小区或者学校环境里,就可能会有七八条线路,那他们对负载均衡这一块的需求就非常明确,以及不同的应用牵引到不同的线路上去:比如学生去知网查论文,一定要从教育网走。这个需求只有学校的网络有,而且经常会有,其他场景都没有同样的需求。所以,我们会把各个行业都需要的功能在整体上都做出来;之后要做到互不影响。
极牛网:那么根据您的经验,现在比较频繁发生的威胁是哪些?
李远:从2018年,我看到的比较多的攻击有这些。第一个就是鱼叉邮件。鱼叉邮件是一个威胁性很大的事情,也是APT的范畴之内。但是鱼叉邮件不像一些长期的APT(比如针对某些重要资产的长期攻击准备)可能发生频率不高,鱼叉邮件几乎发生在每一个人身边。基本上每个人都会收到一些带着Word文档或者PDF的垃圾邮件。我们的客户也经常会碰到这个比较严重的难题。从源头上来说,邮件是一个很正常的业务。如果我们使用反垃圾邮件去防御,但似乎又看上去不像是垃圾邮件。另外,鱼叉邮件有时候也能绕过内外网的隔离,使得其危害性很大。
第二个问题是暴露在互联网上的关键设备会被攻击者获取权限,比如审计,甚至防火墙设备本身。这些事情其实发生过多次,只是并未大规模暴露在公众视线内。但是从厂商角度会看到很多,只是我们和友商都做了应急响应,解决了问题。这也是一个很恐怖的问题。因为这些设备都储存了一些相当敏感的信息,一旦被获取就会引起相当严重的后果。
第三个问题就是勒索病毒。虽然勒索病毒也算是周期性发作的,但是它的危险在于会涉及到很明确的金钱问题。尤其在企业环境中,一旦多名员工设备中毒,引起大量文件无法使用,那么造成的恐慌效应是很严重的。这三个是我去年观察下来,大众接触比较多的安全事件。
极牛网:那既然观察到了这些趋势,安博通是不是也做出了一些相应的改进?
李远:对,我们的研发团队会根据观察到的结果进行针对性的研发,也会对官方报告进行跟进。
极牛网:那您觉得国内与国外的整体安全趋势是否有些差异?
李远:我们整体会稍微滞后一些。国外的攻击手段出现以后,马上就会有国内的攻击者采取类似手段。同样的,防御措施上也是国外先有,而我们则会过一段时间才会赶上。
极牛点评
防火墙作为最传统的安全产品,同时又是网络流量接入的第一道大门,其对企业在网络安全上的重要性不言而喻。市面上有大量的防火墙厂商,而客户往往会迷失在多样的产品选择,甚至得出“防火墙产品同质化严重”这一错误的结论。事实上,防火墙产品本身也是为了各种场景二打造的 ,因此用户需要根据自身使用环境的不同、需求的不同,选择合适的产品。安博通的防火墙产品针对金融、政府、教育、运营商和医疗的行业特点,在确保稳定性的基础上,对最新的相关安全趋势进行分析,增加相应的智能能力。安博通防火墙产品不只是一味添加新的功能,而是通过对安全趋势的理解,以及行业的需求,结合适合的方法论,为客户的网络出入口提供安全保障。
极牛网精选文章《极牛访谈 | 防火墙的智能化将在三年内全面普及?》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/9509.html