“无边界”的概念已经得到业内很多人的认可，谷歌早在2014年就提出了BeyondCorp网络安全新模型，其核心理念是“将防御关注重点从网络边界转移到设备和用户本身，不再按照是否处于内部网络，来给设备分配信任级别。” 



	 无边界的提出是为了应对云计算、移动设备和物联网的普及，但不可忽视的是行业云、私有云在国内的需求依然很大，许多重要行业、关键基础设施短期内还看不到走上公有云的趋势。内外有别的网络环境，还是市场主流需求，防火墙全球领先厂商 Palo Alto 的产品依然很火。 



	  去年夏季，先后收购网神、网康的360企业安全发布智慧防火墙，并于近期提出“新边界防御”的概念。那么，新边界的含义何在呢？ 



	 一、智慧防火墙的关键特征 



	 无论是防火墙还是下一代防火墙，首先需要防护住已知威胁，不管是网络层、应用层，还是内容层。智慧防火墙与很多其他防火墙产品较大的两个区别，就是高质量威胁情报的支撑，和与终端安全、安全分析等平台的联动。 



	 在与终端联动方面，举个例子，有的服务器或者PC出于各种原因，没有安装杀毒软件。但如果有已安装杀软的机器查出来恶意样本的话，则可以把恶意样本的反连域名、IP、端口等相关信息同步到防火墙中去进行拦截，对整个系统做到全局的保护。 



	此外，防火墙与终端的联动，还可实现更深层次的，基于终端安全信誉分级，以及基于网络行为特征的管控，达到异常行为分析的目的，即所谓的UEBA用户行为分析技术。 



	 在与云沙箱联动方面，我们知道，本地沙箱可以仿真的环境相对而言比较有限，而云沙箱则可以非常容易扩展，以仿真不同的环境，因此可以把可疑样本传到云端，检测后的结果再反哺给防火墙用于后期的防御。本地沙箱维护成本高，云沙箱则在国外比较常见，但在国内却少有企业外接到云端沙箱，这属于意识上的问题，还需要进一步的引导。 



	 智慧防火墙做的是数据全量采集，里面有流量的很多维度的数据，这些数据可以发送到与防火墙连接的安全分析平台做关联分析。这个安全分析平台可大可小，大企业可以建立NGSOC，小企业则可以配置一个小成本的安全管理分析中心。 



	以上都是基于技术的因素，但实际上最关键的因素是人。有了人对数据的加工和分析，结合威胁情报，才能令信息更加高效、准确。 



	二、新边界防御的核心理念 



	 新边界的“边界”含义是指，边界与设备所在的位置无关，而是与访问有关。除了我们通常理解的网络不同可信域间的边界，终端、网站、APP，甚至人都是边界。因此，防火墙必需与各种安全设备进行有效的联动，才能在新边界的环境下发挥更大的作用。 



	 新边界防御有两个核心理念，消耗攻击者和积极防御。 



	 前者是指通过纵深防御体系+自动化技术，来增强防护能力。比如上文所述的，威胁情报、沙箱检测，终端安全和安全分析平台联动等，以增加攻击者成本。 



	 



	  



	消耗攻击者资源



	





	后者则是指安全人员通过数据支撑和系统的精细控制能力，结合可视化、异常行为分析等技术，来达到安全体系的整体联动，能够做到准确快速地发现威胁。这也是智慧防火墙的核心理念。 



	 



	                                                                          数据支撑和精细控制 



	所谓的下一代边界防御，不只是下一代防火墙，而应该是下一代企业安全平台。 



	 三、下一代防火墙的技术方向 



	 第一个是高性能解密，解读加密流量。因为访问流量加密已是大势所趋，高性能解密这一技术领域已有许多相关厂商在加紧动作。 



	 第二是集中式管理，是基于业务流程去配置防火墙，而不是针对某一台或几台防火墙进行配置，这就需要安全策略的可视化和策略的智能下发。 



	  第三个是虚拟化。这一块国外主要考虑的是虚拟防火墙在公有云中的通信性能和灵活管理问题，包括策略的下发、灵活调度等。而对于国内来说，公有云的接受程度还有待时间的考验。 



	  最后一个是自动化运维。虽然谈比较理想的自动化可能还得需要好几年的时间，但这终归是一个帮最终用户提升安全运维效率的大趋势，大家应该去努力迎合。 



	 对于国内的厂商来说，现阶段比较实际的是面向行业云，提升集中管理能力，自动化生成更准确的威胁情报。拥有这三方面的能力的厂商，才会在市场上有着更强的竞争力。 



	 



	

上一篇：没有了 下一篇：金融行业如何实践金融安全法