我是做邊界安全的，用你們的話說，就是搞防火墻的。

2015年，我加入 360 的時(shí)候，他們告訴我：“我們不用防火墻，因?yàn)檫吔绺痉啦蛔??！?/p>

我仔細(xì)一想，360 的大牛們各個(gè)都是人肉防火墻，每個(gè)人恨不得都能空手奪白刃胸口碎大石，這幫人組成的的“武功隊(duì)”顯然不太需要防火墻。

于是這兩年我總在問自己，這個(gè)世界真的不需要防火墻嗎？

▲王偉

口述 | 王偉 360企業(yè)安全副總裁

文 | 史中 雷鋒網(wǎng)主筆

（一）防火墻和人

防火墻是什么呢？能吃嗎？怎么吃？好吃嗎？

從功能上來看，它可以類比成一個(gè)“圍墻”，就像學(xué)校的院墻、小區(qū)的圍墻、就像特朗普要修的那堵隔離墻，我們國家就有一個(gè)最著名的防火墻——長城。墻的基本作用是防止外人在無監(jiān)督的情況下走進(jìn)來，當(dāng)然也可以防止已經(jīng)在墻內(nèi)的人在無感知的情況下走出去。

僅僅從基本作用來看，墻有沒有作用呢？其實(shí)看看我們周圍的世界，你就能得出結(jié)論，幾乎所有的組織都有院墻。學(xué)校和小區(qū)有保安，但也有院墻；重要機(jī)關(guān)有武警保衛(wèi)，但同樣有院墻。

從保衛(wèi)的角度來說，至少，墻對于一般的小毛賊是有效果的。它只需要很少的維護(hù)，卻可以抵御一般的風(fēng)險(xiǎn)，讓守衛(wèi)者可以專心對付有組織有預(yù)謀的入侵。

把這個(gè)情形翻版到網(wǎng)絡(luò)世界，道理一模一樣。

不是每一家企業(yè)都富裕到能養(yǎng)得起安全人員，也不是每一家企業(yè)都土豪到可以雇傭安全人員做“特服”，這個(gè)時(shí)候，你至少需要一堵防火墻。

（二）防火墻和城防、塔防

城防

我覺得，墻和墻還是有區(qū)別的。

同樣是“墻”。一個(gè)籬笆，有時(shí)候連狗都擋不?。坏浅菈s可以擋住最強(qiáng)的壯漢。

這個(gè)道理雖然大家都明白，但是在實(shí)際中卻總有人犯糊涂。

就拿邊界防火墻來說，一個(gè)只能防三、四層攻擊的防火墻，攻擊者嘗試幾次就能攻破；一個(gè)加上了七層防御策略的防火墻，攻擊者就需要攻擊七層設(shè)施才能進(jìn)來。

Gartner 在一份報(bào)告中也表示，下一代防火墻應(yīng)該在應(yīng)用層增加策略，除此之外，還有很多其他維度的數(shù)據(jù)內(nèi)容，可以讓防火墻有更詳細(xì)的策略空間。每一個(gè)維度的策略升級，都是“把城墻壘高”的過程。

這是我想說的第一個(gè)事：城墻壘高，對于拖慢敵人進(jìn)攻節(jié)奏一定是有意義的。此乃“城防”。

塔防

我暴露一下年齡，我是小時(shí)候看過《地道戰(zhàn)》的人。

我來帶你們復(fù)習(xí)一下地道戰(zhàn)的玩法。

御敵策略中，首先需要的還是“塔防”——在村口設(shè)置阻擊點(diǎn)，至少不讓鬼子大步流星地長驅(qū)直入。當(dāng)然，鬼子火力很猛，村口的防線當(dāng)然擋不住，但畢竟可以消耗敵人的戰(zhàn)力，延緩敵人入侵的速度。敵人快要突破村口的時(shí)候，民兵再退回村子，在房上、夾墻、井底、草垛、牲口棚，甚至是鍋臺下面設(shè)置狙擊點(diǎn)。那么多地方，每個(gè)都能暗中殲敵，鬼子就招架不住了。

這就是塔防的玩法。

翻譯成網(wǎng)絡(luò)安全的語境，在攻擊者突破防火墻之后，我們還有沙箱、終端、文鑒中心、NGSOC、云沙箱、云殺毒、云端威脅情報(bào)等等據(jù)點(diǎn)，這些聯(lián)動方案讓攻擊者每前進(jìn)一步都會付出暴露的危險(xiǎn)，從而在攻殺鏈的某個(gè)環(huán)節(jié)被切斷，避免我們保護(hù)的系統(tǒng)遭受重大損失。

舉例來說，如果本地終端探測到一個(gè)可疑文件，可以把樣本發(fā)送給云端沙箱進(jìn)行檢測；甚至可以把進(jìn)出站的全流量數(shù)據(jù)和云端的威脅情報(bào)做匹配，看看在其他地方作惡的壞人有沒有搞你。

如果這些都做到了，接下來需要的就是積極防御。

▲在房上、夾墻、井底、草垛、牲口棚，甚至是鍋臺下面設(shè)置狙擊點(diǎn)的地道戰(zhàn)

（三）防火墻和烽火臺

長城，作為防火墻的典范值得研究。

很多人忽略了長城的標(biāo)配：烽火臺。

烽火臺是做什么用的呢？記錄信息，匯總信息，傳遞信息。

• 一旦友軍進(jìn)關(guān)，就開城迎接

• 一旦敵人來犯，就點(diǎn)起狼煙通知相關(guān)關(guān)隘死守城門

• 最重要的，所有友軍進(jìn)關(guān)，都需要文書記錄，以備日后出現(xiàn)無間道時(shí)查閱。

我心中的好的防火墻同樣有這樣的作用，除了基本的防御功能以外，要對進(jìn)出的IP、端口、域名、URL和訪問動作和流量特征進(jìn)行全流量記錄。這些記錄乍一看上去作用不大，但是當(dāng)它和另一樣寶物雙劍合璧的時(shí)候，就瞬間化成一尊神器。那另一樣寶物就是——威脅情報(bào)。

▲威脅情報(bào)可以在不同的防火墻、終端、網(wǎng)關(guān)流轉(zhuǎn)，從而協(xié)同御敵

簡單來說，威脅情報(bào)就是一個(gè)巨大的通緝犯樣本庫，記錄著各種類型的惡意程序樣本、惡意 IP、惡意 URL、黑客畫像、進(jìn)攻手段等等。

防火墻作為邊界，掌握著全量數(shù)據(jù)，每一個(gè)內(nèi)部設(shè)備連接了哪個(gè)外部 IP 都可以被記錄在案。于是，借助精密的算法平臺，就可以揪出所有試圖連接危險(xiǎn) IP 或作出危險(xiǎn)行為的網(wǎng)內(nèi)設(shè)備。

這些已經(jīng)被黑客搞定的機(jī)器，我叫它們“淪陷設(shè)備”。一旦把一臺淪陷設(shè)備揪出來，再比對所有終端的行為，就可能揪出更多的淪陷設(shè)備。這類似于抓到了一個(gè)小偷，就可以通過關(guān)聯(lián)關(guān)系揪出同伙一樣。

這種玩法，也正是國際上以威脅防御見長的能力型廠商所采用的。其中最關(guān)鍵的武器是：數(shù)據(jù)。不謙虛地說，數(shù)據(jù)恰恰是 360 的強(qiáng)項(xiàng)。通過遍布全網(wǎng)的終端，我的同事們可以收集海量的樣本信息，從中篩選出大量的“壞人”，添加進(jìn)威脅情報(bào)庫里。

講真，做智慧防火墻，我最認(rèn)同的還是PA。我們要對標(biāo)的，也是它，但不是僅盯著對方盒子里的事情。在威脅情報(bào)的形成方法上，Palo Alto 比我們更加全流程、自動化，相比之下，我們?nèi)藚⑴c的部分更多。但是在底層技術(shù)上，我不認(rèn)為他們有很大的領(lǐng)先。

▲利用威脅情報(bào)，在敵人穿越的瞬間將其凍結(jié)

（四）防火墻和防不住的火

說了這么多，很多拖延、阻止對手的動作都是圍繞著防火墻匯總發(fā)起的。這下總算為防火墻“平反”了。當(dāng)然，有用的防火墻需要能和威脅情報(bào)聯(lián)動，而且具有全流量數(shù)據(jù)分析的能力。

我對我們的情報(bào)還是很有信心的。

雖然我們做傳統(tǒng)防火墻和下一代防火墻好多年了，但由于我們的智慧防火墻去年八月才上線，所以剛開始很多機(jī)構(gòu)和企業(yè)抱著謹(jǐn)慎的態(tài)度。我記得某個(gè)機(jī)構(gòu)因?yàn)闃I(yè)務(wù)比較重要，為了安全性和穩(wěn)定性考慮，只同意先用旁路流量測試一下。但是僅僅這樣測試，智慧防火墻很快報(bào)警出了12個(gè)被安裝了木馬的“淪陷主機(jī)”，其中有4個(gè)內(nèi)網(wǎng)服務(wù)器 IP 地址和8個(gè)內(nèi)網(wǎng)終端 IP 地址。由于我們使用的情報(bào)等級比較高，所以我?guī)缀蹩梢钥隙ㄟ@些木馬絕對不是那些只用來控制服務(wù)器打打 DDoS 的僵尸網(wǎng)絡(luò)，而是以入侵主機(jī)獲取信息為目標(biāo)的。

這些高級威脅，是之前的傳統(tǒng)防火墻完全沒有檢測出來的。所以客戶很快就接納了我們的產(chǎn)品，并決定替換之前的其它家產(chǎn)品。

當(dāng)然，我沒辦法回避。作為一個(gè)城墻，對于一些非常高級的威脅處理起來是有盲區(qū)的。很簡單的一個(gè)情況就是，如果我們的威脅情報(bào)沒有覆蓋到這個(gè)進(jìn)攻者，那么防火墻也無法認(rèn)出它的真實(shí)面目。

▲高墻電網(wǎng)，也總有人涉險(xiǎn)犯關(guān)

不過，我們還能打開一些隱藏的火力。

講個(gè)真實(shí)的故事吧。

我們曾經(jīng)在某個(gè)高校里運(yùn)行防火墻，并且把所有發(fā)現(xiàn)的威脅都清除了。但是我們的安服工程師多做了一個(gè)動作，那就是在智慧防火墻利用分析中心多維的數(shù)據(jù)分析了一下幾個(gè)重要主機(jī)的流量。

他們發(fā)現(xiàn)在系統(tǒng)的主 DNS 服務(wù)器和輔 DNS 服務(wù)器上有過很多非 DNS 的請求動作，沒有安靜地做一個(gè) DNS 服務(wù)器，這件事很可疑。

老師一開始有點(diǎn)懷疑準(zhǔn)確性，我們連接了云端的威脅情報(bào)中心，還在國際威脅情報(bào)引擎 VT（Virus Total）上做了核實(shí)，確認(rèn)這些請求果然是惡意的。

于是，我們僅僅利用數(shù)據(jù)的行為分析，就成功查到了黑客的入侵動作。

當(dāng)然，作為一個(gè)安全研究員，我深深地知道沒有絕對的安全，所有的防護(hù)措施，對面都是活生生的黑客。這個(gè)數(shù)字戰(zhàn)場背后永遠(yuǎn)是兩支人類軍隊(duì)在作戰(zhàn)。

雖然高級的威脅可能攻破防火墻，但是每多一項(xiàng)安全措施和防火墻聯(lián)動，黑客成功的概率就越小，進(jìn)攻的成本就越大。

據(jù)此，我要更努力地安利我的防火墻。

王偉，360企業(yè)安全副總裁。

史中，雷鋒網(wǎng)主筆（微信：Fungungun），希望用簡單的語言解釋科技的一切。

更多網(wǎng)絡(luò)安全內(nèi)容請關(guān)注雷鋒網(wǎng)宅客頻道（微信公眾號：宅客頻道）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。