【IT168 评论】随着科技的发展和企业文化的进步,深入融合作为当今企业的发展需求,已经超出了传统防火墙的能力范围,为了迎合web2.0时代的到来,众多厂商纷纷发布下一代防火墙产品。然而近年来网络安全又面临着各种威胁和挑战,在这一大背景下,IT168网络安全频道邀请到了天融信安全防护总经理杨斌先生接受我们的采访,和我们一起从现状和未来双向出发,探究用户对下一代防火墙主要的需求点,探究下一代防火墙的发展规划,从而推测未来下一代防火墙的方向,以下为采访实录:
IT168:杨总您好,很高兴有机会和您进行深入沟通,能否先为我们简单介绍一下在您眼中我们的网络安全所面临的一些主要挑战?
杨斌:纵观近期一系列影响范围波及全球的安全事件:“WannaCry”勒索病毒、“永恒之蓝”windows 0day漏洞、“心脏滴血”的 OpenSSL 漏洞,我们不难发现现在0day、APT等攻击事件越来越密集、波及范围越来越广且传播速度越来越快。鉴于威胁的复杂性要求,我们在应对突发性的大规模网络攻击时,首先要做好产品之间的协同合作,形成智能联动防御解决方案,对安全风险进行实时检测,构造联动防护。其次作为安全厂商我们要保证第一时间内做好与用户之间的协同合作,将安全防护能力及时传递给用户。同时我们也要做到与其他安全厂商共同推动安全技术的创新,让我们的安全产品在未来安全事件频繁发生的时候具有更高的检测防御能力。
IT168:根据IDC行业白皮书显示,下一代防火墙主要特性主要分为四部分,分别为智能化、可视化、虚拟化以及协同。首先能否向我们介绍一下,贵公司的下一代防火墙的智能化是如何实现的?
杨斌:北京天融信下一代防火墙的智能化体现在两方面:一方面是与天融信APT防御系统、威胁情报中心的智能联动,包括“智能检测”、“智能上报”、“智能响应”等;另一方面是防火墙本身的智能学习机制。
●与其他安全系统的智能联动:首先,NGFW下一代防火墙通过其内置的异常行为分析模块以及与APT 防御系统联动检测异常行为;同时将检测到的异常行为及威胁数据智能上报至威胁情报中心;最后,威胁情报中心会对所搜集情报进行智能响应,将威胁特征下发至设备,设备进行本地特征的动态更新。在整个防御过程中,威胁情报会不断地被收集、丰富、分析、再收集形成一个闭环,从而实现各个防御系统间的威胁情报有效交互及共享,做到及时威胁预警,动态安全防护。
●智能学习机制:天融信下一代防火墙通过对流经设备的流量进行连续、实时的监控,利用统计分析、关联分析、智能学习、自动建模比对等多种技术手段来检测流量中应用/用户行为中的异常模式,并通过报表方式将指定应用/用户的流量趋势、新建连接趋势、并发趋势,指定应用/用户的TOPN流量、新建连接、并发连接等信息进行综合展现,以告警网络中的应用/用户的异常行为。
IT168:面对新的安全挑战,下一代防火墙中讲求“安全威胁是可视的”,我们的下一代防火墙在可视化上做了哪些工作?
杨斌:“安全威胁是可视的”,一直以来都是下一代防火墙的重点研究方向,我们理解下一代防火墙的“可视化”应该包含两个方面:首先是在下一代防火墙本身实现应用层流量“可视”,从而让用户更加直观、更加全面地掌握安全风险,比如在报表中可以充分展现威胁监控信息,包括威胁类型排名、攻击者排名、受害者排名、威胁总数排名等,同时也可将威胁所触发的CVE漏洞信息进行充分展现,包括CVE ID、风险等级、应用类型、漏洞描述等信息。通过防火墙本地“可视”,为用户提供了对攻击行为的追溯能力。另一方面我们认为下一代防火墙“可视化”应更具主动性,下一代防火墙可以通过与威胁情报中心、态势感知等平台之间实现智能联动,从而实现对事件进行“事前、事中、事后”综合分析,使用户在无需过多人工干预的情况下,就可以掌握网络全貌及威胁态势。
IT168:云计算作为主要的发展趋势之一,近年来发展非常快,而下一代防火墙是相对比较融合性的产品,那在虚拟化的大场景下,贵公司的NGFW产品都做了哪些努力?
杨斌:针对云环境中多业务并行,多租户接入的特点,天融信下一代防火墙提供“一虚多”的虚拟防火墙技术来应对大量的南北向流量,为不同租户、不同业务提供独立的安全控制平面,并能够满足不同租户的个性化需求。同时天融信下一代防火墙支持OpenStack FWaaS Plugin插件,实现了与OpenStack无缝集成,满足高端客户的SDN网络安全需求。对于云环境下“东西向”流量的安全防护,天融信提供了虚拟化安全防护系统,以NFV安全资源池、虚拟化分布式防火墙、SDN智能安全网关等产品为支撑,利用安全能力虚拟化、微分段、动态边界防护等创新技术,实现云内外安全态势智能感知,为云环境提供了敏捷、弹性、智能的一体化安全解决方案,为云计算时代打造了核心安全能力。
IT168:协同联动近年来不断被提及,而在下一代防火墙中,协同也不再仅仅是一个概念性话题。安全产品已经不再是孤立存在、单打独斗的与攻击抗衡,下一代防火墙通常会与IT系统中的其它安全防御系统构建协同的工作机制面对,安全系统之间的协同工作又是怎样实现的呢?
杨斌:天融信作为国内领先的网络安全公司,有近百种安全产品守护在企业的边界、终端,实现各自不同的安全防护。目前天融信公司已实现多种安全产品协同联动,包括下一代防火墙、IDS、WAF、IPS、木马检测、DDos与终端威胁防御系统、终端安全管理系统、云端APT检测系统、威胁情报中心、风险探知系统等产品,通过各个防御系统间的威胁情报有效交互及共享,做到及时威胁预警,动态安全防护,从而做到让“威胁”止步于边界。
IT168:威胁情报规模化管理是NGFW的主要功能之一,贵公司的威胁情报主要来源于哪?威胁情报的关联、获取、鉴定以及溯源都是怎样实现的?
杨斌:天融信在全国有16多万台在线运行设备,这些在线运行的设备是我们数据来源的一个方面。我们可以通过搜集在线设备的运行状态等信息,从而进行全面的数据分析,同时将态势感知技术应用于网络安全中,不仅能够全面掌握当前网络安全状态,还可以预测未来网络安全趋势。同时天融信公司的威胁情报中心也是数据来源的另一个重要方面,威胁情报中心通过相关政府机构、漏洞报告平台、专业情报厂家以及安全设备的日志报表等多种方式去搜集情报并实时监视网络活动,捕捉可疑的网络攻击活动。同时将威胁情报中心的实时监测预警能力与下一代防火墙的静态访问控制能力结合起来,实现一种基于网络活动动态变化的安全防护策略。
IT168:恶意软件是近期企业面临的较大的问题,那我们的NGFW产品在恶意软件的管控上有怎样的表现?
杨斌:天融信下一代防火墙自身通过内置病毒流检测机制、恶意软件黑白名单匹配等技术,能够实时阻断尝试入侵网络的恶意软件。同时还可以与天融信终端威胁防御系统实现动态联动,通过静态特征库、动态主动防御与行为检测结合的方式,多层次智能防御恶意软件和变种的入侵。另外也可以通过与天融信云端APT检测系统协同联动,对于未知的病毒变种和恶意软件行为,系统可以根据软件的危险行为特征,智能分析,发现并阻止。无论是下一代防火墙、终端威胁防御系统还是云端APT检测系统,都同时可以与威胁情报中心共享恶意软件相关的威胁情报信息,动态更新规则、推送新策略、以及移除恶意软件。
IT168:您认为贵公司的NGFW产品和其他安全厂商的产品相比,最大的杀手特点是什么?
杨斌:虽然网络安全趋势在不断变化,但高可靠、全防御、云融合、智联动始终是天融信下一代防火墙在网络风险博弈中的制高点。为用户网络提供高可靠、高稳定、高性能的安全防护彰显天融信下一代防火墙过硬的技术能力;其次随着信息技术的不断发展、新型业务的兴起,为了更好地应对APT、0day等攻击手段,天融信下一代防火墙能提供全方位的应用层安全防护;同时融合各种云环境,天融信下一代防火墙可以提供虚实一体化的边界安全防护。通过下一代防火墙与终端威胁防御系统、终端安全管理系统、云端APT检测系统、威胁情报中心、风险探知系统等形成智能联动防御解决方案,对安全风险进行实时检测,感知全网态势,构造联动防护。
面对形形色色的安全威胁和挑战,针对安全产品市场的发展动向,杨斌最后为我们简单的预测了未来防火墙产品的改变以及未来网络安全的发展趋势。他认为防火墙作为关键性基础网络安全设施,在未来的网络安全趋势中,对防火墙的智能性、协同性提出了更高的要求,不仅要求防火墙设备之间的智能联动,更加要求防火墙与各种安全产品之间的协同性合作,由此防火墙的作用越发举足轻重:一方面为互联网的威胁情报提供了丰富的数据来源,另一方面,为构建智能、动态的防御检测体系提供了协同联动的纽带。
