随着科技的發展和企業文化的進步，深入融合作為當今企業的發展需求，已經超出了傳統防火牆的能力範圍，為了迎合web2.0時代的到來，衆多廠商紛紛發布下一代防火牆産品。然而近年來網絡安全又面臨着各種威脅和挑戰，在這一大背景下，IT168網絡安全頻道邀請到了Fortinet 中國區市場總監王娜女士接受我們的采訪，和我們一起從現狀和未來雙向出發，探究用戶對下一代防火牆主要的需求點，探究下一代防火牆的發展規劃，從而推測未來下一代防火牆的方向。以下為采訪實錄：

▲Fortinet 中國區市場總監 王娜

IT168：王總您好，很高興能有機會采訪到您，能否先為我們簡單介紹一下在您眼中我們的網絡安全所面臨的一些主要挑戰?

王娜：随着中國經濟的飛速發展，中國企業信息化的水平已經在飛速追趕歐美，在信息化方面的投入也在持續加大，但是保護信息安全和業務發展的網絡安全的水平仍處在溫飽奔小康的過程中，與企業自身信息化的程度想去甚遠，中國目前企業安全在整體IT投入的占比是發達國家(比如美國)的1/10。投入不足的原因有幾個：1. 在企業飛速發展的過程中，業務先行，安全後補的觀念深入人心，就像早年間提的先污染後治理。2. 企業安全效果和安全負責人的工作難以正确評估和量化。3. 總是抱有僥幸的心态。4. 沒有意識到安全是業務發展的一部分，單純以安全是單向消費來看待。

防禦能力：一切能夠用于攻擊防禦和減小攻擊平面的事物。可以是一套管理流程(如IT風險控制指引和安全教育)、一套安全設備(用于在線進行攻擊發現和阻斷的設備)、一套策略管理體系(根據企業内部不同人事職能進行的訪問控制策略，及黑白名單)，以及一套準入機制(如身份認證、雙因子認證)。

目标：利用管理流程、策略部署、簽名檢測等手段，減少企業網絡可被利用的攻擊入口，提升攻擊者的攻擊成本，在攻擊對網絡和系統産生影響前将其攔截。

檢測能力：使用動态檢測機制(如沙箱)對可疑的載荷文件進行檢測，通過行為、信譽等多個維度進行綜合評判以彌補前線防禦檢測能力的不足。此外，還需對郵件和URL等高危入口進行威脅檢測，如正文、附件、URL是否鍊接到某外部惡意IP，亦或是可能關聯到其他惡意行為，利用場景化的關聯分析方法進行大數據安全分析，發現并定位攻擊路徑。

目标：發現成功突破或正在突破第一道防線的攻擊，避免由于攻擊而導緻的業務中斷，或縮短業務中斷時間。發現能夠繞過防禦體系的惡意軟件，并将分析結果彙總到大數據安全平台，形成内部威脅情報。

響應能力：基于檢測的結果，内部彙總歸集威脅情報庫，并且将威脅情報推送到關聯的安全設備并自動針對發現的惡意文件和路徑進行策略攔截和隔離。主動提醒管理員需要進行的系統和網絡掃描，并針對資産重要性與漏洞嚴重性進行優先級劃分，形成“一鍵式”掃描和反饋機制。

目标：為已經發生的攻擊進行補救，或對可能被利用來攻擊的潛在風險點進行指引和修複，為防禦下一次攻擊做好準備。

IT168：惡意軟件是近期企業面臨的較大的問題，那我們的NGFW産品在惡意軟件的管控上有怎樣的表現?

王娜：通過最近的WannaCry惡意軟件事件，首先我們想向企業用戶傳達的是，企業或者組織機構通過更新或者更換易受攻擊的系統即可阻止絕大多數的攻擊。先将主觀能動的操作實現後，然後通過部署有效的安全技術以及響應手段，保障惡意軟件的積極防禦。

FortiGate NGFW 在惡意軟件的防禦主要是通過FortiGuard安全服務來實現的。

技術層面，Fortinet通過獨特的文件哈希(File Hashing)技術來處理已知的惡意軟件。對于未知的病毒/惡意軟件方法，Fortinet轉悠有一項專利技術，專利号：US20130263271 A1，稱為内容模型識别語言(Content Pattern Recognition Language)技術。CPRL實現了基于功能與行為檢測惡意軟件，也就是說通過CPRL，一個特征能夠覆蓋超過50000到10萬個不同病毒，包括零日與變種。另外，通過機器學習和高級算法，可以創建自動的CPRL生成。也就是說不僅在惡意軟件防禦的廣度上，也在效率上要領先。由此，可以進行惡意軟件的預先防禦。

另外，在設備操作層面，加載了FortiOS 5.6操作系統的FortiGate NGFW中開啟Security Fabric Audit(安全審計功能)，它可以查看整個網絡中系統及主機的安全健康度，顯示哪些系統的存在高位的漏洞， 哪些用戶與設備網絡帶寬使用狀态異常等信息。管理員對整個網絡的安全系數一路了然，并可以根據告警以及提示信息， 及時查看并更新補丁狀态，高效的配置與調整安全策略。

特别是，Security Fabric 可以共享與新發現的威脅有關的情報、動态隔離已感染的設備、劃分網段、更新規則、推送新策略、以及移除惡意軟件。

IT168：您認為貴公司的NGFW産品和其他安全廠商的産品相比，最大的殺手特點是什麼?

王娜：Fortinet NGFW 的競争優勢體現在兩方面：

• 首先就是FortiOS操作系統：FortiOS整合拉通了平台支持包括雲及虛拟化平台，網絡及安全，策略與控制以及安全管理各個層級之間的操作與集成。由多個安全組件構成的Security Fabric 架構，在5.6操作系統中被模塊化，一方面通過核心防火牆，可以連結并勾畫出整個網絡中的各個安全組件，并且實現Security Fabric内部的多設備協同聯動，例如交換機/邊界防火牆/内網防火牆/郵件網關，WAF設備以及集中管理與日志設備，以及沙盒防禦與安全管理SIEM系統等。

• 另外一方面就是威脅情報。用戶購買的是不單單是一台或幾台防火牆盒子，我們需要賦予硬件防火牆功能之外的安全防禦的能力，在如今複雜多變且持續的網絡威脅環境中保持應對的彈性，保障業務的不間斷。可執行的威脅情報就是這樣的動态防禦安全能力，通過安全服務如IPS/反病毒/反僵屍網絡/反惡意軟件/應用控制/反垃圾郵件等。而這種持續的安全能力是全球超過200人的FortiGuard威脅與響應實驗室研究人員，超過15年的積累與如今Fortinet設備部署量來實現的動态防禦。且Fortinet的威脅情報能力是貫穿在Scurity Fabric架構中所有的安全組建中的，包括FortiGate，FortiMail郵件安全網關/FortiClient終端防禦軟件，FortiSandbox沙盒，以及FortiSIEM平台。

Fortinet也是全球網絡威脅聯盟的創始方，目前該聯盟還包括Intel，Cisco，CheckPoint等。

采訪到最後，王娜也對防火牆的未來發展動向做了簡單的預測，并簡單了預測了未來網絡安全的發展趨勢。她認為随着邊界粒度變細，防火牆會更多地部署在企業内網，邊界隔離的本質并不會改變，隻不過從内外網隔離變成了内網域間隔離，而且随着大數據安全平台的廣泛采用，防火牆還要承擔探針的功能，為平台貢獻安全情報。

從技術角度講，随着雲應用的廣泛普及，CASB(雲訪問安全代理)很可能成為企業下一個采購的新型安全産品，這在美國已經得到了證明。本地部署的NGFW集成CASB功能後，可以很好地和雲端API模式的CASB協同聯動，一舉為用戶解決全部的雲應用安全問題。

從整體趨勢上看，企業的資産和業務已經完成了實體化到數字化的升級，因此網絡安全的形勢會更加嚴峻，而安全和發展是一體之兩翼、驅動之雙輪，安全是發展的保障，發展是安全的目的。這就需要網絡安全的建設和運維能夠更緊密地結合企業自身業務情況，進行靈活地部署、調配和編排，實現快速發現、快速響應、快速恢複，能夠讓安全保障生産。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!