【IT168 评论】随着科技的发展和企业文化的进步，深入融合作为当今企业的发展需求，已经超出了传统防火墙的能力范围，为了迎合web2.0时代的到来，众多厂商纷纷发布下一代防火墙产品。

▲山石网科防火墙产品线总监贾彬

　　然而近年来网络安全又面临着各种威胁和挑战，在这一大背景下，IT168网络安全频道邀请到山石网科防火墙产品线总监贾彬先生，和我们一起从现状和未来双向出发，探究用户对下一代防火墙主要的需求点，探究下一代防火墙的发展规划， 以下是采访实录：

　　IT168：能否先为我们简单介绍一下在您眼中我们的网络安全所面临的一些主要挑战?

　　贾彬：当前网络安全形势有几个典型挑战：

　　●商业目的导向：破坏性攻击转为数据窃取性攻击。

　　●高级威胁成为主流：单一的检测方式逐渐落伍，特征检测方式难以防范变种的逃逸。

　　●社会工程学：人工+网络入侵使边界防御不再万无一失，内部一样成为入侵发起源头。

　　IT168：根据IDC行业白皮书显示，下一代防火墙主要特性主要分为四部分，分别为智能化、可视化、虚拟化以及协同。能否先向我们介绍一下，贵公司的下一代防火墙的智能化是如何实现的?

　　贾彬：智能就是机器替代人工，机器替代人工最大的难点在于经验判断。山石智能安全就是从学习经验入手，对网络中的行为、流量进行学习，针对每一个主机和服务器建立行为模型，就像人需要积累经验一样， 之后根据主机的行为进行行为匹配，如果与正常行为模型不符，根据其表现的行为特点抓出其异常行为和原因。第二种智能是学习大量的恶意软件行为，建立“黑色”行为模型，当主机发生的行为与某一类“黑色”行为模型接近时就可以抓出这一类恶意软件的变种。

　　IT168：面对新的安全挑战，下一代防火墙中讲求“安全威胁是可视的”，我们的下一代防火墙在可视化上做了哪些工作?

　　贾彬：可视除了将用户网络中的流量、行为、威胁通过通俗易懂的方式展现出来，更重要的是帮助用户更好的掌握当前网络态势和威胁分布，我们的防火墙中将根据不同的威胁事件产生原因、发生时间和顺序关系进行关联分析，针对风险主机发生的威胁通过攻击链的方式展现出来，攻击链包括从扫描、入侵、传播、窃取数据等等攻击的各个阶段，网管人员不用去关注海量的威胁日志，通过一个攻击链就可以掌握该主机遭受了什么威胁入侵，现在处于什么阶段，对网络有多大的影响。

　　IT168：云计算作为主要的发展趋势之一，近年来发展非常快，而下一代防火墙是相对比较融合性的产品，那在虚拟化的大场景下，贵公司的NGFW产品都做了哪些努力?

　　贾彬：云端虚拟化成为IT的趋势，但是受限于网络安全基于物理拓扑的局限性，很多用户都没有考虑虚拟化的安全。山石为虚拟化安全提供完整的方案，从云端数据中心边界安全，到每一个虚拟网络的租户安全，再到每一个虚拟机的安全提供了层层防御的安全方案。山石的方案解决物理安全的局限性，可以任意部署在任意一个虚机上，随着业务迁移。同时解决了统一管理问题，山石虚拟化安全方案可以和openstack以及VMware无缝结合，管理员就像管理业务一样管理安全，并且安全策略可以随着业务动态迁移。

　　IT168：协同联动近年来不断被提及，而在下一代防火墙中，协同也不再仅仅是一个概念性话题。安全产品已经不再是孤立存在、单打独斗的与攻击抗衡，下一代防火墙通常会与IT系统中的其它安全防御系统构建协同的工作机制面对，安全系统之间的协同工作又是怎样实现的呢?

　　贾彬：协同联动的概念由来已久，从最初的设备与设备之间的联动，到现在本地设备与云端的信息交互。防火墙是一个检测与控制设备，如何提升其检测能力，以及如何提升其控制准确性是体现其价值的核心。山石下一代防火墙可以从几个方面体现其协同能力，首先在用户局域网内，威胁检测系统(IPS/IDS)、内网威胁感知系统(sBDS)是专注在威胁检测与发现类产品，他们具有针对性的检测能力，通过检测结果和防火墙互动，可以提高用户威胁防护的准确性;其次下一代防火墙具备云沙箱服务能力，可以将本地可疑文件送入云端沙箱进行进一步威胁检测，根据检测结果进行精细控制;同时山石也具备开放的架构，与业界知名的专业安全厂商进行方案整合，可以提供给用户非常好的拍档组合方案。

　　IT168：威胁情报规模化管理是NGFW的主要功能之一，贵公司的威胁情报主要来源于哪?威胁情报的关联、获取、鉴定以及溯源都是怎样实现的?

　　贾彬：威胁情报是近两年的热点话题，围绕威胁情报的生产和消费各有特色。山石对于威胁情报的研究也是一直进行中，目前对于威胁情报的产生和分析是重点，主要是围绕智能行为分析的结果进行威胁情报产生和分析，未来将应用于防范高级威胁入侵。

　　IT168：恶意软件是近期企业面临的较大的问题，那我们的NGFW产品在恶意软件的管控上有怎样的表现?

　　贾彬：恶意软件替代病毒成为当前企业面对的重要威胁来源，而且现在的恶意软件不是单纯的破坏行为，更多是用于商业信息窃取作为目标，所以其特点包括数据嗅探、数据窃取、非法外联。在山石网科提供的层层防御产品架构下，不管是部署在企业网边界的下一代防火墙、智能下一代防火墙、IPS，还是部署在虚拟化数据中心的山石云·界，山石云·格虚拟化安全，都可以通过访问控制规则、IPS规则、AV和云沙箱功能等在恶意软件侦查、漏洞利用和投递过程进行有效的防御。同时，在恶意软件的攻击阶段，山石智能行为分析技术，还具备发现异常行为，阻断异常连接的能力。

　　山石智能行为分析技术就是针对此类恶意软件危害，其嗅探行为、非法外联行为、数据上传或文件外发行为都是智能行为分析的重点。特别是对于变种恶意软件，其特点就是可以逃逸特征检测方式，但是由于其行为属于同一恶意软件家族，所以通过行为分析方式可以有效检测和管控变种恶意软件以及提前发现受感染的主机。

　　IT168：云和产品的融合是NGFW产品的一大亮点，那目前在哪些公有云平台上能够实现与贵公司NGFW产品的对接?

　　贾彬：云管理平台主要用于数据中心虚拟化管理，其使用最多的是openstack和vmware，我司虚拟化产品可以对接vmware和openstack平台，特别是不同云运营商的openstack各有区别，我们可以通过插件方式兼容不同的openstack平台，例如华为云、浪潮云、曙光云等等。

　　IT168：您认为贵公司的NGFW产品和其他安全厂商的产品相比，最大的杀手特点是什么?

　　贾彬：NGFW的核心竞争力在于威胁防护，山石的NGFW在2016的NSS LABS的测试中获得全球先进的位置，成为推荐级别防火墙。结合智能行为分析技术，对于传统的只有特征检测技术的NGFW具有变种恶意软件和异常内部行为的检测能力。其次山石的防火墙经过运营商、金融、高校等行业核心网络大流量的考验，具有极强的可靠性和稳定性保障，成为业界最稳定的产品之一。

　　IT168：面对形形色色的安全威胁和挑战，针对安全产品市场的发展动向，您认为未来防火墙产品还将会有怎样的改变?未来的网络安全趋势是怎样的?

　　采访到最后，贾彬对防火墙产品的未来以及网络安全的趋势进行了简单的预测，他认为未来的网络威胁将会更加复杂和多变，单一的检测和防护手段很难起到有效的作用，防火墙作为防护的第一道屏障要具备更强的联动性，借助云端数据分析提供更多的威胁信息，结合网络内部动态的网络局势，动态的调整其防护手段和措施。

　　而用户的网络也不单单只依靠防火墙，未来的网络安全将会是方案主导，从网络拓扑位置到攻击阶段的立体化防御，构成方案的也不仅仅依靠一个厂家，而是多个专业厂家共同打造安全拼图，为用户提供非常好的的防护方案。