【IT168 评论】2月13日~17日，RSA Conference 2017在美国旧金山召开，会议吸引了来自全球的信息安全从业者，作为整个行业的风向标，RSA上所展示出来的技术趋势往往能够代表这一细分领域在未来很长一段时间里的趋势。360企业安全集团副总裁王伟在现场为我们分享了RSA呈现的安全网关的技术发展趋势。

▲360企业安全集团副总裁 王伟

　　王伟表示，在RSA现场，印象最深刻的厂商首先要提的是NGFW的提出者Palo Alto。Palo Alto在今年RSA展会前不久刚刚发布了PAN-OS8.0版本，它在如下几大方面做出了较大的改进和增强：

　　首先是云安全方面，这方面的提升主要体现在其新的vNGFW能保护AWS、 Azure等著名的公有云平台;VM版本的性能得到了大幅度的提升，并完善了VM产品线的产品型号，使得产品系列的划分更加精细，处于行业领先水平;支持NSX和OpenStack平台的vNGFW自动化部署。

　　同时，PAN-OS对于云上流行SaaS应用(比如BOX、Google Drive、Salesforce、Sharepoint)活动进行可视化和监控，并在ACC中进行了更容易的展示;通过AP可以阻止通过SaaS应用进行数据泄露的行为;

　　Gartner分析师认为目前很多厂商的vNGFW对于云平台的适应性存在很大的不足导致使用受限，特别是在自动化的策略部署运维方面。Palo Alto这次提升vNGFW的性能，以及自动化部署的改进则顺应了这个趋势。

　　王伟提到，目前360的新一代智慧防火墙已支持国内的阿里云，下一步会支持Azure和AWS。另外在SaaS应用支持方面，也会支持更多的本土应用，比如深度识别国内的多家云盘应用、移动APP应用等。

　　其次在威胁情报和云沙箱方向，加强了Wildfire云沙箱针对感知虚机沙箱并进行逃逸的恶意程序的检测;新的Wildfire对于C2通信进行payload提取，自动生成签名用于进行用户网络中的C2的发现。

　　Autofocus整合了包括Proofpoint、Recorded Future、Anomali等多家威胁情报源到Autofocus威胁情报中心，并进行关联和验证处理，然后应用到NGFW设备上用于自动化的威胁阻断。PAN-OS新版本则收集更多的Malware样本到Wildfire和Autofocus，用于后续分析和情报生成。

　　王伟表示，云沙箱和威胁情报的集成，都是Gartner分析师认为NGFW必须做结合的方案组件，补充NGFW自身高级威胁防御、发现能力不足的问题。而360在2016年发布的新一代智慧防火墙中，就已经加入了威胁情报的深度继承和云沙箱的运用。

　　第三在身份窃取和滥用阻止方面，Wildfire可以获取并通过机器学习分析NGFW从可疑邮件中获取的可疑URL所在页面。或用APP-ID进行身份凭据的检查并实现拦截或告警，或者可以在身份凭据丢失后通过预定义的策略临时启用双因素验证机制从而阻止身份盗用。

　　王伟认为，“目前很多企业确实存在广泛使用基于静态口令的简单认证方式，而利用社工库的攻击方式也是常用的攻击手段。Palo alto这次提供的分三阶段的身份窃取滥用“防护”的确是很有意义的。”

　　最后一点在智能化管理方面，集中管理吸收了从终端软件(Traps)采集的log数据，并与网络采集的数据进行了IOC的关联;新的大数据查询与报告引擎将访问速度提升了30倍;将多维日志进行关联后，根据条件自动触发生成包含多维属性的策略信息(TAG)，以便用于NGFW上做自动化的处置动作。

　　王伟提到，目前在360新一代智慧防火墙解决方案中的NGSOC已经可以将网络日志和终端日志做关联。整体来看，360新一代智慧防火墙与Palo Alto这样的国际领先厂商在方案架构与技术领先性方面相差不大，但也正视了存在的短板，在综合情报运营以及沙箱的运用上还需要持续提升。

　　除了Palo Alto，RSA上其他家的防火墙产品也在云和威胁情报方面做出了积极的尝试。这其中，另外一家防火墙大厂Cisco比较明显的是发布了Cisco Umbrella云服务，为用户阻止恶意软件、钓鱼、僵尸网络。另外，Stealthwatch可以收集Netflow，Jflow，IPFIX等信息用于基于网络流量的异常发现，丰富了NGFW产品大数据采集的价值呈现，同时也反向验证了Gartner分析师认为防火墙采集Netflow信息的重要性。

　　Juniper副总裁在Briefing中展现了他们的云管端方案，相对比较中庸一些。由于Juniper在某些组件上的缺乏，因此他通过联盟的合作方式进行了补全，尤其是和CASB厂商的合作，也是Gartner看好的NGFW方案延伸方向。

　　国内厂商山石网科在RSA上发布了针对服务器安全的BDS产品(Breach Detection System)，经了解其功能特性与T系列比较相近，通过建模的方式来发现服务器的异常辅助判断攻陷，并且在T系列基础上针对服务器资产增加了服务器资产安全性评定的Feature，也是一种细分的应用场景。