從「老樹新花」到「精進不休」，RSA上的那些防火牆

編者按

伴隨威脅形式的不斷變化，用戶對於邊界安全已經產生了更高的安全有效性預期，這不僅考驗「盒子」本身的能力，也更加倚重其背後的攻防能力、數據能力、分析能力等。在本屆RSAC2018大會上，360企業安全集團安全網關產品市場總監熊瑛分享了他眼中防火牆的從「老樹新花」到「精進不休」的演進。

美國時間4月16日，一年一度的網路安全盛宴RSA Conference在舊金山如期舉行，本屆大會主題為「Now Matters」，反映出全球網路安全問題已成當務之急。作為最具規模的全球性行業會議，本屆大會吸引了40000餘人蔘會，並有超過500家安全廠商攜最新的技術、方案和產品參展。

展會現場，參展廠商在展台設計上可謂煞費苦心，不少展台則打出了「語不驚人死不休」的Slogan，由於與360展台位置臨近的關係，最先引起筆者關注的是一家叫做Cyxtera的公司，他們在現場打出了「VPN is Dead, long live SDP」的標語。據了解這家從事身份識別的公司提出了SDP（軟體定義邊界）的理念，並利用基於身份的訪問控制，來應對邊界模糊化帶來的控制粒度粗、有效性差問題。

作為多年邊界安全領域的從業人員，這句大有「新技術顛覆傳統」之意的標語不禁令筆者「一哆嗦」，同為「老兵」的防火牆又在如何的擁抱變化？帶著這樣的疑問，筆者重點關注了本屆大會參展的防火牆廠商，並以此文分享感觀體會。

「可視化」仍是熱詞，內容與形式缺一不可

縱觀展區，「可視化」一詞出現的頻率極高，事實上這一熱詞並非僅僅高頻出現在了防火牆廠商的展台上，提供終端安全方案的Avast在展台上用四個投影儀將全球威脅地圖投射在了一個旋轉的球形體上，構成了頗為壯觀的「立體球形地圖炮」，引得參觀者紛紛駐足。

大會展區立體全球威脅地圖

老生常談，「可視化」是NGFW概念提出時就被著重強調的一個基礎特性，這與其「要想防住，先要看見」的概念模型有著密不可分的關係，並且已經得到了越來越廣泛的認同。

而筆者認為，在NGFW剛剛推向市場的幾年，教育用戶接受這個理念的溝通成本是很高的，多數用戶在起初總是認為「可視化」其實就是一個「花瓶」，通過絢麗的圖形化呈現來博得用戶的眼球。而一些專家則認為，真正的可視化是一種看見、看深的能力，「內容大於形式」的圖形界面即便再五彩斑斕，也難以解決安全問題。

本屆大會，幾乎所有的防火牆廠商均在可視化展現方面下足了功夫。Sonicwall通過公有雲服務GMS將全球超過100萬台在線設備的攻擊數據進行了統一展現；Fortinet則可在其防火牆的管理系統內自動化的生成網路拓撲；Palo Alto等廠商通過對網內流量的持續監測生成了網路流量圖，用於呈現網內源、目的相互通信的關聯關係。

不可否認，無論是在本地，還是利用外部系統，本屆展會上眾多防火牆展現出的「可視化」水平較之前已不可同日而語，這種與時俱進既體現於「呈現內容」的豐富和深入上，也反應在「呈現形式」的持續創新中。

在筆者看來，隨著檢測、響應的重要性被持續放大，今天再談「可視化」，內容和形式已缺一不可。看深、看透能夠使用戶更具洞察力，通過構建檢測能力使用戶大踏步的邁向積極防禦，而直觀呈現、高效分析，則可確保用戶及時、準確的採取響應和處置措施。歸根結底，「人是安全的尺度」，而「可視化」則是人機交互最為重要的通道。

廣泛協同，平台化方案逐漸落地

大會首日，RSA總裁Rohit Ghai先生在主旨演講中再次指出「安全沒有銀彈」。與之對應，「協同」似乎成為本屆眾多防火牆參展廠商的另一個共同主題。

CheckPoint提出了「Step up to 5th Generation Cyber Security」，其認為第五代網路安全技術應是之前四代（依次為反病毒、防火牆、入侵防禦、沙箱）的緊密結合和智能協同。

與之類似，Fortinet的主題則是「Security Fabric」，意指防火牆應當與終端安全系統、無線安全系統、郵件安全系統等共同編織出全面而完整的防線，並在威脅情報平台這把「大傘」下協同工作。

同樣，Sophos提出了「Redefining the Next-Generation Security」，他們表示基於特徵的檢測技術幾乎失效，防火牆應當充分運用終端安全系統貢獻的數據和信息來深入鑒別惡意網路行為。

Palo Alto則在展區中著重呈現了其基於雲服務的AutoFocus威脅情報平台，該平台通過與防火牆的協同，能夠幫助用戶快速發現高級威脅，並利用其提供的威脅情報數據進行深入的上下文分析，同時還可從雲端快速下發處置策略。

筆者還觀察到，一些新興的產品和技術也正在與防火牆展開積極的協同，以迅速構建、提升其檢測和響應能力。

Attivo採用Deception（欺騙）技術誘騙攻擊者對其進行攻擊，並通過對攻擊者在誘餌和陷阱系統上的活動監控實現威脅發現，目前該平台已支持與部分品牌的防火牆聯動，在一定程度上實現自動化的響應。

在Firemon展台，筆者看到其Security Manager管理平台可以對多種品牌的防火牆產品進行批量、統一的策略監控、管理和下發，將有助於規模化部署防火牆的用戶大幅提升運維效率並縮短響應時間。

基於以上不難看出，儘管上述廠商均是依靠防火牆產品起家，但當下他們已普遍開始提供覆蓋終端、雲端、郵件、無線等多領域的平台化安全方案，同時基於自身的安全能力，利用配套的管理分析平台、威脅情報平台等持續為上述組件賦能。

令人欣慰的是，眼見為實，這些平台化的解決方案已經逐漸落地，相比早些時候「炒概念」的階段則令人更加有底，也進一步堅定了360協同聯動的技術方向和路線。

前路漫漫，從完整度構建到有效性提升

作為360新一代智慧防火牆產品團隊中的一員，在觀察了眾多友商展出的產品和方案後，也不禁要與自己進行一番對標。

360企業安全以「新邊界防禦」為技術理念，其內涵是指既要持續拉長防線縱深，起到縮小受攻擊面、遲滯攻擊成功的作用，又要大踏步邁向積極防禦，做到檢測、防護並重，及時感知、快速處置。

過去的2017年，360新一代智慧防火牆歷經兩個版本的升級，應用識別、可視化、性能等基礎能力得到進一步優化提升，並持續增強了與雲端威脅情報、終端安全管理系統的協同特性。與此同時，360企業安全還分別推出了基於雲服務的「網路威脅感知中心」和提供集中監控管理的「安全管理分析中心」等配套平台。此外，用於主流公有雲平台和私有雲環境的虛擬化防火牆產品也正式發布上市。

360新一代邊界防禦平台架構示意圖

通過對比不難看出，360新一代邊界防禦平台的架構完整性構建已經完成，但筆者深知，伴隨威脅形式變化，用戶對於邊界安全已經產生了更高的安全有效性預期，這不僅考驗「盒子」本身的能力，也更加倚重其背後的攻防能力、數據能力、分析能力等等。

本屆RSAC已經接近尾聲，基於本屆大會所體現出的務實態度，筆者認為，如果說一兩年前防火牆開始和情報、大數據、協同等新技術建立聯繫是「老樹新花」，那麼當今天防火牆插上了一系列技術創新的翅膀後，新一輪的征程其實才剛剛開始，且長路漫漫……

再見RSAC 2018，我們必須精進不休！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！