fortinet防火墙恢复出厂（边界隔离本质不变）

随着科技的发展和企业文化的进步，深入融合作为当今企业的发展需求，已经超出了传统防火墙的能力范围，为了迎合web2.0时代的到来，众多厂商纷纷发布下一代防火墙产品。然而近年来网络安全又面临着各种威胁和挑战，在这一大背景下，IT168网络安全频道邀请到了Fortinet 中国区市场总监王娜女士接受我们的采访，和我们一起从现状和未来双向出发，探究用户对下一代防火墙主要的需求点，探究下一代防火墙的发展规划，从而推测未来下一代防火墙的方向。以下为采访实录：

▲Fortinet 中国区市场总监 王娜

IT168：王总您好，很高兴能有机会采访到您，能否先为我们简单介绍一下在您眼中我们的网络安全所面临的一些主要挑战?

王娜：随着中国经济的飞速发展，中国企业信息化的水平已经在飞速追赶欧美，在信息化方面的投入也在持续加大，但是保护信息安全和业务发展的网络安全的水平仍处在温饱奔小康的过程中，与企业自身信息化的程度想去甚远，中国目前企业安全在整体IT投入的占比是发达国家(比如美国)的1/10。投入不足的原因有几个：1. 在企业飞速发展的过程中，业务先行，安全后补的观念深入人心，就像早年间提的先污染后治理。2. 企业安全效果和安全负责人的工作难以正确评估和量化。3. 总是抱有侥幸的心态。4. 没有意识到安全是业务发展的一部分，单纯以安全是单向消费来看待。

防御能力：一切能够用于攻击防御和减小攻击平面的事物。可以是一套管理流程(如IT风险控制指引和安全教育)、一套安全设备(用于在线进行攻击发现和阻断的设备)、一套策略管理体系(根据企业内部不同人事职能进行的访问控制策略，及黑白名单)，以及一套准入机制(如身份认证、双因子认证)。

目标：利用管理流程、策略部署、签名检测等手段，减少企业网络可被利用的攻击入口，提升攻击者的攻击成本，在攻击对网络和系统产生影响前将其拦截。

检测能力：使用动态检测机制(如沙箱)对可疑的载荷文件进行检测，通过行为、信誉等多个维度进行综合评判以弥补前线防御检测能力的不足。此外，还需对邮件和URL等高危入口进行威胁检测，如正文、附件、URL是否链接到某外部恶意IP，亦或是可能关联到其他恶意行为，利用场景化的关联分析方法进行大数据安全分析，发现并定位攻击路径。

目标：发现成功突破或正在突破第一道防线的攻击，避免由于攻击而导致的业务中断，或缩短业务中断时间。发现能够绕过防御体系的恶意软件，并将分析结果汇总到大数据安全平台，形成内部威胁情报。

响应能力：基于检测的结果，内部汇总归集威胁情报库，并且将威胁情报推送到关联的安全设备并自动针对发现的恶意文件和路径进行策略拦截和隔离。主动提醒管理员需要进行的系统和网络扫描，并针对资产重要性与漏洞严重性进行优先级划分，形成“一键式”扫描和反馈机制。

目标：为已经发生的攻击进行补救，或对可能被利用来攻击的潜在风险点进行指引和修复，为防御下一次攻击做好准备。

IT168：恶意软件是近期企业面临的较大的问题，那我们的NGFW产品在恶意软件的管控上有怎样的表现?

王娜：通过最近的WannaCry恶意软件事件，首先我们想向企业用户传达的是，企业或者组织机构通过更新或者更换易受攻击的系统即可阻止绝大多数的攻击。先将主观能动的操作实现后，然后通过部署有效的安全技术以及响应手段，保障恶意软件的积极防御。

FortiGate NGFW 在恶意软件的防御主要是通过FortiGuard安全服务来实现的。

技术层面，Fortinet通过独特的文件哈希(File Hashing)技术来处理已知的恶意软件。对于未知的病毒/恶意软件方法，Fortinet转悠有一项专利技术，专利号：US20130263271 A1，称为内容模型识别语言(Content Pattern Recognition Language)技术。CPRL实现了基于功能与行为检测恶意软件，也就是说通过CPRL，一个特征能够覆盖超过50000到10万个不同病毒，包括零日与变种。另外，通过机器学习和高级算法，可以创建自动的CPRL生成。也就是说不仅在恶意软件防御的广度上，也在效率上要领先。由此，可以进行恶意软件的预先防御。

另外，在设备操作层面，加载了FortiOS 5.6操作系统的FortiGate NGFW中开启Security Fabric Audit(安全审计功能)，它可以查看整个网络中系统及主机的安全健康度，显示哪些系统的存在高位的漏洞， 哪些用户与设备网络带宽使用状态异常等信息。管理员对整个网络的安全系数一路了然，并可以根据告警以及提示信息， 及时查看并更新补丁状态，高效的配置与调整安全策略。

特别是，Security Fabric 可以共享与新发现的威胁有关的情报、动态隔离已感染的设备、划分网段、更新规则、推送新策略、以及移除恶意软件。

IT168：您认为贵公司的NGFW产品和其他安全厂商的产品相比，最大的杀手特点是什么?

王娜：Fortinet NGFW 的竞争优势体现在两方面：

• 首先就是FortiOS操作系统：FortiOS整合拉通了平台支持包括云及虚拟化平台，网络及安全，策略与控制以及安全管理各个层级之间的操作与集成。由多个安全组件构成的Security Fabric 架构，在5.6操作系统中被模块化，一方面通过核心防火墙，可以连结并勾画出整个网络中的各个安全组件，并且实现Security Fabric内部的多设备协同联动，例如交换机/边界防火墙/内网防火墙/邮件网关，WAF设备以及集中管理与日志设备，以及沙盒防御与安全管理SIEM系统等。

• 另外一方面就是威胁情报。用户购买的是不单单是一台或几台防火墙盒子，我们需要赋予硬件防火墙功能之外的安全防御的能力，在如今复杂多变且持续的网络威胁环境中保持应对的弹性，保障业务的不间断。可执行的威胁情报就是这样的动态防御安全能力，通过安全服务如IPS/反病毒/反僵尸网络/反恶意软件/应用控制/反垃圾邮件等。而这种持续的安全能力是全球超过200人的FortiGuard威胁与响应实验室研究人员，超过15年的积累与如今Fortinet设备部署量来实现的动态防御。且Fortinet的威胁情报能力是贯穿在Scurity Fabric架构中所有的安全组建中的，包括FortiGate，FortiMail邮件安全网关/FortiClient终端防御软件，FortiSandbox沙盒，以及FortiSIEM平台。

Fortinet也是全球网络威胁联盟的创始方，目前该联盟还包括Intel，Cisco，CheckPoint等。

采访到最后，王娜也对防火墙的未来发展动向做了简单的预测，并简单了预测了未来网络安全的发展趋势。她认为随着边界粒度变细，防火墙会更多地部署在企业内网，边界隔离的本质并不会改变，只不过从内外网隔离变成了内网域间隔离，而且随着大数据安全平台的广泛采用，防火墙还要承担探针的功能，为平台贡献安全情报。

从技术角度讲，随着云应用的广泛普及，CASB(云访问安全代理)很可能成为企业下一个采购的新型安全产品，这在美国已经得到了证明。本地部署的NGFW集成CASB功能后，可以很好地和云端API模式的CASB协同联动，一举为用户解决全部的云应用安全问题。

从整体趋势上看，企业的资产和业务已经完成了实体化到数字化的升级，因此网络安全的形势会更加严峻，而安全和发展是一体之两翼、驱动之双轮，安全是发展的保障，发展是安全的目的。这就需要网络安全的建设和运维能够更紧密地结合企业自身业务情况，进行灵活地部署、调配和编排，实现快速发现、快速响应、快速恢复，能够让安全保障生产。