我是做邊界安全的，用你們的話說，就是搞防火墻的。

2015年，我加入 360 的時候，他們告訴我：“我們不用防火墻，因為邊界根本防不住?！?/p>

我仔細一想，360 的大牛們各個都是人肉防火墻，每個人恨不得都能空手奪白刃胸口碎大石，這幫人組成的的“武功隊”顯然不太需要防火墻。

于是這兩年我總在問自己，這個世界真的不需要防火墻嗎？

▲王偉

口述 | 王偉 360企業(yè)安全副總裁

文 | 史中 雷鋒網(wǎng)主筆

（一）防火墻和人

防火墻是什么呢？能吃嗎？怎么吃？好吃嗎？

從功能上來看，它可以類比成一個“圍墻”，就像學校的院墻、小區(qū)的圍墻、就像特朗普要修的那堵隔離墻，我們國家就有一個最著名的防火墻——長城。墻的基本作用是防止外人在無監(jiān)督的情況下走進來，當然也可以防止已經(jīng)在墻內(nèi)的人在無感知的情況下走出去。

僅僅從基本作用來看，墻有沒有作用呢？其實看看我們周圍的世界，你就能得出結(jié)論，幾乎所有的組織都有院墻。學校和小區(qū)有保安，但也有院墻；重要機關(guān)有武警保衛(wèi)，但同樣有院墻。

從保衛(wèi)的角度來說，至少，墻對于一般的小毛賊是有效果的。它只需要很少的維護，卻可以抵御一般的風險，讓守衛(wèi)者可以專心對付有組織有預謀的入侵。

把這個情形翻版到網(wǎng)絡(luò)世界，道理一模一樣。

不是每一家企業(yè)都富裕到能養(yǎng)得起安全人員，也不是每一家企業(yè)都土豪到可以雇傭安全人員做“特服”，這個時候，你至少需要一堵防火墻。

（二）防火墻和城防、塔防

城防

我覺得，墻和墻還是有區(qū)別的。

同樣是“墻”。一個籬笆，有時候連狗都擋不?。坏浅菈s可以擋住最強的壯漢。

這個道理雖然大家都明白，但是在實際中卻總有人犯糊涂。

就拿邊界防火墻來說，一個只能防三、四層攻擊的防火墻，攻擊者嘗試幾次就能攻破；一個加上了七層防御策略的防火墻，攻擊者就需要攻擊七層設(shè)施才能進來。

Gartner 在一份報告中也表示，下一代防火墻應(yīng)該在應(yīng)用層增加策略，除此之外，還有很多其他維度的數(shù)據(jù)內(nèi)容，可以讓防火墻有更詳細的策略空間。每一個維度的策略升級，都是“把城墻壘高”的過程。

這是我想說的第一個事：城墻壘高，對于拖慢敵人進攻節(jié)奏一定是有意義的。此乃“城防”。

塔防

我暴露一下年齡，我是小時候看過《地道戰(zhàn)》的人。

我來帶你們復習一下地道戰(zhàn)的玩法。

御敵策略中，首先需要的還是“塔防”——在村口設(shè)置阻擊點，至少不讓鬼子大步流星地長驅(qū)直入。當然，鬼子火力很猛，村口的防線當然擋不住，但畢竟可以消耗敵人的戰(zhàn)力，延緩敵人入侵的速度。敵人快要突破村口的時候，民兵再退回村子，在房上、夾墻、井底、草垛、牲口棚，甚至是鍋臺下面設(shè)置狙擊點。那么多地方，每個都能暗中殲敵，鬼子就招架不住了。

這就是塔防的玩法。

翻譯成網(wǎng)絡(luò)安全的語境，在攻擊者突破防火墻之后，我們還有沙箱、終端、文鑒中心、NGSOC、云沙箱、云殺毒、云端威脅情報等等據(jù)點，這些聯(lián)動方案讓攻擊者每前進一步都會付出暴露的危險，從而在攻殺鏈的某個環(huán)節(jié)被切斷，避免我們保護的系統(tǒng)遭受重大損失。

舉例來說，如果本地終端探測到一個可疑文件，可以把樣本發(fā)送給云端沙箱進行檢測；甚至可以把進出站的全流量數(shù)據(jù)和云端的威脅情報做匹配，看看在其他地方作惡的壞人有沒有搞你。

如果這些都做到了，接下來需要的就是積極防御。

▲在房上、夾墻、井底、草垛、牲口棚，甚至是鍋臺下面設(shè)置狙擊點的地道戰(zhàn)

（三）防火墻和烽火臺

長城，作為防火墻的典范值得研究。

很多人忽略了長城的標配：烽火臺。

烽火臺是做什么用的呢？記錄信息，匯總信息，傳遞信息。

• 一旦友軍進關(guān)，就開城迎接

• 一旦敵人來犯，就點起狼煙通知相關(guān)關(guān)隘死守城門

• 最重要的，所有友軍進關(guān)，都需要文書記錄，以備日后出現(xiàn)無間道時查閱。

我心中的好的防火墻同樣有這樣的作用，除了基本的防御功能以外，要對進出的IP、端口、域名、URL和訪問動作和流量特征進行全流量記錄。這些記錄乍一看上去作用不大，但是當它和另一樣寶物雙劍合璧的時候，就瞬間化成一尊神器。那另一樣寶物就是——威脅情報。

▲威脅情報可以在不同的防火墻、終端、網(wǎng)關(guān)流轉(zhuǎn)，從而協(xié)同御敵

簡單來說，威脅情報就是一個巨大的通緝犯樣本庫，記錄著各種類型的惡意程序樣本、惡意 IP、惡意 URL、黑客畫像、進攻手段等等。

防火墻作為邊界，掌握著全量數(shù)據(jù)，每一個內(nèi)部設(shè)備連接了哪個外部 IP 都可以被記錄在案。于是，借助精密的算法平臺，就可以揪出所有試圖連接危險 IP 或作出危險行為的網(wǎng)內(nèi)設(shè)備。

這些已經(jīng)被黑客搞定的機器，我叫它們“淪陷設(shè)備”。一旦把一臺淪陷設(shè)備揪出來，再比對所有終端的行為，就可能揪出更多的淪陷設(shè)備。這類似于抓到了一個小偷，就可以通過關(guān)聯(lián)關(guān)系揪出同伙一樣。

這種玩法，也正是國際上以威脅防御見長的能力型廠商所采用的。其中最關(guān)鍵的武器是：數(shù)據(jù)。不謙虛地說，數(shù)據(jù)恰恰是 360 的強項。通過遍布全網(wǎng)的終端，我的同事們可以收集海量的樣本信息，從中篩選出大量的“壞人”，添加進威脅情報庫里。

講真，做智慧防火墻，我最認同的還是PA。我們要對標的，也是它，但不是僅盯著對方盒子里的事情。在威脅情報的形成方法上，Palo Alto 比我們更加全流程、自動化，相比之下，我們?nèi)藚⑴c的部分更多。但是在底層技術(shù)上，我不認為他們有很大的領(lǐng)先。

▲利用威脅情報，在敵人穿越的瞬間將其凍結(jié)

（四）防火墻和防不住的火

說了這么多，很多拖延、阻止對手的動作都是圍繞著防火墻匯總發(fā)起的。這下總算為防火墻“平反”了。當然，有用的防火墻需要能和威脅情報聯(lián)動，而且具有全流量數(shù)據(jù)分析的能力。

我對我們的情報還是很有信心的。

雖然我們做傳統(tǒng)防火墻和下一代防火墻好多年了，但由于我們的智慧防火墻去年八月才上線，所以剛開始很多機構(gòu)和企業(yè)抱著謹慎的態(tài)度。我記得某個機構(gòu)因為業(yè)務(wù)比較重要，為了安全性和穩(wěn)定性考慮，只同意先用旁路流量測試一下。但是僅僅這樣測試，智慧防火墻很快報警出了12個被安裝了木馬的“淪陷主機”，其中有4個內(nèi)網(wǎng)服務(wù)器 IP 地址和8個內(nèi)網(wǎng)終端 IP 地址。由于我們使用的情報等級比較高，所以我?guī)缀蹩梢钥隙ㄟ@些木馬絕對不是那些只用來控制服務(wù)器打打 DDoS 的僵尸網(wǎng)絡(luò)，而是以入侵主機獲取信息為目標的。

這些高級威脅，是之前的傳統(tǒng)防火墻完全沒有檢測出來的。所以客戶很快就接納了我們的產(chǎn)品，并決定替換之前的其它家產(chǎn)品。

當然，我沒辦法回避。作為一個城墻，對于一些非常高級的威脅處理起來是有盲區(qū)的。很簡單的一個情況就是，如果我們的威脅情報沒有覆蓋到這個進攻者，那么防火墻也無法認出它的真實面目。

▲高墻電網(wǎng)，也總有人涉險犯關(guān)

不過，我們還能打開一些隱藏的火力。

講個真實的故事吧。

我們曾經(jīng)在某個高校里運行防火墻，并且把所有發(fā)現(xiàn)的威脅都清除了。但是我們的安服工程師多做了一個動作，那就是在智慧防火墻利用分析中心多維的數(shù)據(jù)分析了一下幾個重要主機的流量。

他們發(fā)現(xiàn)在系統(tǒng)的主 DNS 服務(wù)器和輔 DNS 服務(wù)器上有過很多非 DNS 的請求動作，沒有安靜地做一個 DNS 服務(wù)器，這件事很可疑。

老師一開始有點懷疑準確性，我們連接了云端的威脅情報中心，還在國際威脅情報引擎 VT（Virus Total）上做了核實，確認這些請求果然是惡意的。

于是，我們僅僅利用數(shù)據(jù)的行為分析，就成功查到了黑客的入侵動作。

當然，作為一個安全研究員，我深深地知道沒有絕對的安全，所有的防護措施，對面都是活生生的黑客。這個數(shù)字戰(zhàn)場背后永遠是兩支人類軍隊在作戰(zhàn)。

雖然高級的威脅可能攻破防火墻，但是每多一項安全措施和防火墻聯(lián)動，黑客成功的概率就越小，進攻的成本就越大。

據(jù)此，我要更努力地安利我的防火墻。

王偉，360企業(yè)安全副總裁。

史中，雷鋒網(wǎng)主筆（微信：Fungungun），希望用簡單的語言解釋科技的一切。

更多網(wǎng)絡(luò)安全內(nèi)容請關(guān)注雷鋒網(wǎng)宅客頻道（微信公眾號：宅客頻道）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。