【IT168 评论】随着科技的发展和企业文化的进步，深入融合作为当今企业的发展需求，已经超出了传统防火墙的能力范围，为了迎合web2.0时代的到来，众多厂商纷纷发布下一代防火墙产品。然而近年来网络安全又面临着各种威胁和挑战，在这一大背景下，IT168网络安全频道邀请到了Fortinet 中国区市场总监王娜女士接受我们的采访，和我们一起从现状和未来双向出发，探究用户对下一代防火墙主要的需求点，探究下一代防火墙的发展规划，从而推测未来下一代防火墙的方向。以下为采访实录：

▲Fortinet 中国区市场总监 王娜

　　IT168：王总您好，很高兴能有机会采访到您，能否先为我们简单介绍一下在您眼中我们的网络安全所面临的一些主要挑战?

　　王娜：随着中国经济的飞速发展，中国企业信息化的水平已经在飞速追赶欧美，在信息化方面的投入也在持续加大，但是保护信息安全和业务发展的网络安全的水平仍处在温饱奔小康的过程中，与企业自身信息化的程度想去甚远，中国目前企业安全在整体IT投入的占比是发达国家(比如美国)的1/10。投入不足的原因有几个：1. 在企业飞速发展的过程中，业务先行，安全后补的观念深入人心，就像早年间提的先污染后治理。2. 企业安全效果和安全负责人的工作难以正确评估和量化。3. 总是抱有侥幸的心态。4. 没有意识到安全是业务发展的一部分，单纯以安全是单向消费来看待。

　　从整个的安全态势来看，攻击呈现明显的高频化、高级化和体系化趋势。高频化： 从FortiGuard威胁研究与响应实验室今年第一季度的统计数据来看， 全球范围内每分钟的僵尸网络C&C连接阻断达到了6万次，入侵尝试的阻断也在37万5千多次，这只是冰山的一角，也就是来自部分部分传感器的数据;高级化：随着NSA大量攻击工具以及相关文档的泄露，大量以往只是“国家队”才用得到的高级网络军火随处可见，从而提升了“脚本小子”的攻击水平;体系化：目的性强的攻击者会和地下产业链“协同作战”，一次攻击中的不同阶段(突破，加载，持久化)使用的工具都是来自不同组织的。

　　因此，我们认为，目前的挑战是企业要在安全预算不足，侧重单点被动防御的情况下，要面临高频化、高级化和体系化的攻击。

　　IT168：根据IDC行业白皮书显示，下一代防火墙主要特性主要分为四部分，分别为智能化、可视化、虚拟化以及协同。能否向我们介绍一下，贵公司的下一代防火墙的智能化是如何实现的?

　　王娜：FortiGate NGFW 是Fortinet的旗舰安全平台。FortiGate的智能化是通过Security Fabric来体现的。 由多个安全组件构成的Security Fabric 架构，在FortiOS 5.6操作系统中被模块化，一方面通过核心防火墙，可以连结并勾画出整个网络中的各个安全组件，并且实现Security Fabric内部的多设备协同联动，例如交换机/边界防火墙/内网防火墙/邮件网关，WAF设备以及集中管理与日志设备，以及沙盒防御与安全管理SIEM系统等。

　　基础接入智能识别：FortiGate可以智能识别、授权和控制Fortinet家族的接入设备，比如交换机、AP，以及终端安全软件。这样做的好处是能够让用户通过最少的操作步骤，快速组建一个集中管理的基础网络，通过基础网络的管理来优化基础结构安全，以及建立简单的被动防御体系。

　　全网态势智能展现：在同一个Security Fabric内部的FortiGate之间，信息能够智能共享，并进行统一展现。通过从基础接入和FortiGate之间收集来信息，FortiGate可以智能地展现所见的网络拓扑及终端情况。

　　IT168：面对新的安全挑战，下一代防火墙中讲求“安全威胁是可视的”，我们的下一代防火墙在可视化上做了哪些工作?

　　王娜：Fortinet对安全可视化的理解是：可见、易读、好用。

　　下一代防火墙比传统防火墙更强大的地方在于能够“看见”四层之上的应用层流量，而不只是传统的五元组。早些年，安全威胁还主要徘徊在网络层，传统防火墙其实也是具有“看见”的能力的，只是到后来应用层攻击越来越多，看不到了，自然就防不住。下一代防火墙做的第一件事就是让应用层流量“可见”。Fortinet亦如此，而且通过优化的数据处理引擎以及定制化ASIC芯片，可以在上百G吞吐的情况下依然做到全流量可见。

　　由于看见的内容越来越丰富，传统的展现形式自然显得有些无力，因此大家在下一代防火墙上把数据展现形式进行了升级，此谓“可视化”。这样做的好处是能够通过视觉优化让用户更容易快速、形象地理解防火墙展现的内容，比如流量变化情况、IP&DNS关联情况、设备关系情况等等。

　　其实到这一步还没完，对流量可见和易读，都是为了让用户能够更快地进行针对威胁的响应，如果展示的内容不能帮助和指引用户进行响应动作的执行，我们认为其作用就少了一半。因此Fortinet在FortiGate下一代防火墙上实现了交互式可视化设计，这也是用户很难在别的防火墙产品上体验到的功能。通过交互式可视化，可以将以往静态的数据可视化变得“动”起来，并且可交互，以此展示更多数据方面的细节，以及关联分析。在FortiGate上，由于需要很好地表现Security Fabric，并且让它更具可操作性，更好用，更快上手，维护成本更低，因此我们将全网拓扑也进行了可视化展示，并且让其可交互，用户在边界FortiGate上直接登录到部署在内网或位于其他区域分支办公室的下游FortiGate，对其行使管理权，更快地进行威胁响应和处置。

　　IT168：云计算作为主要的发展趋势之一，近年来发展非常快，而下一代防火墙是相对比较融合性的产品，那在虚拟化的大场景下，贵公司的NGFW产品都做了哪些努力?

　　王娜：目前主流的NGFW产品基本都已经覆盖了国内的公有云平台，比如阿里云、青云等等，FortiGate也不例外，除此之外，我们其实是最早一批登陆亚马逊AWS和微软Azure的下一代防火墙之一，并且已经有大量公有云的用户购买了FortiGate公有云版本。

　　对于很多大企业来说，也在使用或自建私有云，FortiGate在私有云场景下，是目前支持虚拟化平台最丰富的，可以说所有主流的虚拟化平台全部支持。在SDN领域，我们也是很早便完成了与VMware NSX以及Cisco ACI集成应用，以及支持OpenStack平台，满足高端客户的SDN网络安全需求。

　　IT168：协同联动近年来不断被提及，而在下一代防火墙中，协同也不再仅仅是一个概念性话题。安全产品已经不再是孤立存在、单打独斗的与攻击抗衡，下一代防火墙通常会与IT系统中的其它安全防御系统构建协同的工作机制面对，安全系统之间的协同工作又是怎样实现的呢?

　　王娜：Fortinet的协同联动通过三个层面来体现：

　　首先是FortiGate与FortiGate之间的联动: 单台FortiGate一般先部署在边界，然后再往内网/分支办公室的边界部署。如上面说过的，在Security Fabric中的FortiGate能够互相智能共享信息，并且可以由最上游的FortiGate发起统一策略部署。

　　FortiGate是一款网络安全设备，从网络层级来看，FortiGate处于中间，上有应用下有接入和终端。

　　以FortiGate为核心，通过对交换机，AP，终端软件的智能识别、授权和管理，实现覆盖接入层的智能联动。这就构成了安接入解决方案，也是Security Fabric 的一部分。

　　在大企业环境中，安全形势严峻，因此要考虑到更多应用层的威胁，比如web类和邮件类，甚至包括未知威胁。这时，以网络安全为基础，部署针对应用层高级威胁的防御机制。Fortinet提出以防御、检测、响应为三个关键步骤的高级威胁防御循环，希望通过不断的闭环执行，能够在攻击发生的事前、事中和事后三个阶段进行全覆盖，并且是自动，或半自动进行的一套自我防御。这样的好处不仅仅是降低运维人员的工作量，简化管理流程，更是为了在攻击发生时能够更快地进行安全响应以及事后回溯和修补。

　　在这个高级防御体系中，FortiGate 可以与其他安全组件联合，例如FortiMail邮件安全网关/FortiWeb 应用层防火墙，以及FortiSandbox沙盒，以及FortiSIEM安全管理，从不同的层面与敞口进行高级威胁防御。

　　防御能力：一切能够用于攻击防御和减小攻击平面的事物。可以是一套管理流程(如IT风险控制指引和安全教育)、一套安全设备(用于在线进行攻击发现和阻断的设备)、一套策略管理体系(根据企业内部不同人事职能进行的访问控制策略，及黑白名单)，以及一套准入机制(如身份认证、双因子认证)。

　　目标：利用管理流程、策略部署、签名检测等手段，减少企业网络可被利用的攻击入口，提升攻击者的攻击成本，在攻击对网络和系统产生影响前将其拦截。

　　检测能力：使用动态检测机制(如沙箱)对可疑的载荷文件进行检测，通过行为、信誉等多个维度进行综合评判以弥补前线防御检测能力的不足。此外，还需对邮件和URL等高危入口进行威胁检测，如正文、附件、URL是否链接到某外部恶意IP，亦或是可能关联到其他恶意行为，利用场景化的关联分析方法进行大数据安全分析，发现并定位攻击路径。

　　目标：发现成功突破或正在突破第一道防线的攻击，避免由于攻击而导致的业务中断，或缩短业务中断时间。发现能够绕过防御体系的恶意软件，并将分析结果汇总到大数据安全平台，形成内部威胁情报。

　　响应能力：基于检测的结果，内部汇总归集威胁情报库，并且将威胁情报推送到关联的安全设备并自动针对发现的恶意文件和路径进行策略拦截和隔离。主动提醒管理员需要进行的系统和网络扫描，并针对资产重要性与漏洞严重性进行优先级划分，形成“一键式”扫描和反馈机制。

　　目标：为已经发生的攻击进行补救，或对可能被利用来攻击的潜在风险点进行指引和修复，为防御下一次攻击做好准备。

　　IT168：恶意软件是近期企业面临的较大的问题，那我们的NGFW产品在恶意软件的管控上有怎样的表现?

　　王娜：通过最近的WannaCry恶意软件事件，首先我们想向企业用户传达的是，企业或者组织机构通过更新或者更换易受攻击的系统即可阻止绝大多数的攻击。先将主观能动的操作实现后，然后通过部署有效的安全技术以及响应手段，保障恶意软件的积极防御。

　　FortiGate NGFW 在恶意软件的防御主要是通过FortiGuard安全服务来实现的。

　　技术层面，Fortinet通过独特的文件哈希(File Hashing)技术来处理已知的恶意软件。对于未知的病毒/恶意软件方法，Fortinet转悠有一项专利技术，专利号：US20130263271 A1，称为内容模型识别语言(Content Pattern Recognition Language)技术。CPRL实现了基于功能与行为检测恶意软件，也就是说通过CPRL，一个特征能够覆盖超过50000到10万个不同病毒，包括零日与变种。另外，通过机器学习和高级算法，可以创建自动的CPRL生成。也就是说不仅在恶意软件防御的广度上，也在效率上要领先。由此，可以进行恶意软件的预先防御。

　　另外，在设备操作层面，加载了FortiOS 5.6操作系统的FortiGate NGFW中开启Security Fabric Audit(安全审计功能)，它可以查看整个网络中系统及主机的安全健康度，显示哪些系统的存在高位的漏洞， 哪些用户与设备网络带宽使用状态异常等信息。管理员对整个网络的安全系数一路了然，并可以根据告警以及提示信息， 及时查看并更新补丁状态，高效的配置与调整安全策略。

　　特别是，Security Fabric 可以共享与新发现的威胁有关的情报、动态隔离已感染的设备、划分网段、更新规则、推送新策略、以及移除恶意软件。

　　IT168：您认为贵公司的NGFW产品和其他安全厂商的产品相比，最大的杀手特点是什么?

　　王娜：Fortinet NGFW 的竞争优势体现在两方面：

　　●首先就是FortiOS操作系统：FortiOS整合拉通了平台支持包括云及虚拟化平台，网络及安全，策略与控制以及安全管理各个层级之间的操作与集成。由多个安全组件构成的Security Fabric 架构，在5.6操作系统中被模块化，一方面通过核心防火墙，可以连结并勾画出整个网络中的各个安全组件，并且实现Security Fabric内部的多设备协同联动，例如交换机/边界防火墙/内网防火墙/邮件网关，WAF设备以及集中管理与日志设备，以及沙盒防御与安全管理SIEM系统等。

　　●另外一方面就是威胁情报。用户购买的是不单单是一台或几台防火墙盒子，我们需要赋予硬件防火墙功能之外的安全防御的能力，在如今复杂多变且持续的网络威胁环境中保持应对的弹性，保障业务的不间断。可执行的威胁情报就是这样的动态防御安全能力，通过安全服务如IPS/反病毒/反僵尸网络/反恶意软件/应用控制/反垃圾邮件等。而这种持续的安全能力是全球超过200人的FortiGuard威胁与响应实验室研究人员，超过15年的积累与如今Fortinet设备部署量来实现的动态防御。且Fortinet的威胁情报能力是贯穿在Scurity Fabric架构中所有的安全组建中的，包括FortiGate，FortiMail邮件安全网关/FortiClient终端防御软件，FortiSandbox沙盒，以及FortiSIEM平台。

　　Fortinet也是全球网络威胁联盟的创始方，目前该联盟还包括Intel，Cisco，CheckPoint等。

　　采访到最后，王娜也对防火墙的未来发展动向做了简单的预测，并简单了预测了未来网络安全的发展趋势。她认为随着边界粒度变细，防火墙会更多地部署在企业内网，边界隔离的本质并不会改变，只不过从内外网隔离变成了内网域间隔离，而且随着大数据安全平台的广泛采用，防火墙还要承担探针的功能，为平台贡献安全情报。

　　从技术角度讲，随着云应用的广泛普及，CASB(云访问安全代理)很可能成为企业下一个采购的新型安全产品，这在美国已经得到了证明。本地部署的NGFW集成CASB功能后，可以很好地和云端API模式的CASB协同联动，一举为用户解决全部的云应用安全问题。

　　从整体趋势上看，企业的资产和业务已经完成了实体化到数字化的升级，因此网络安全的形势会更加严峻，而安全和发展是一体之两翼、驱动之双轮，安全是发展的保障，发展是安全的目的。这就需要网络安全的建设和运维能够更紧密地结合企业自身业务情况，进行灵活地部署、调配和编排，实现快速发现、快速响应、快速恢复，能够让安全保障生产。