口述：我不愿做一个安静的防火墙 | 360企业安全副总裁王伟

我是做边界安全的，用你们的话说，就是搞防火墙的。

2015年，我加入 360 的时候，他们告诉我：“我们不用防火墙，因为边界根本防不住。”

我仔细一想，360 的大牛们各个都是人肉防火墙，每个人恨不得都能空手夺白刃胸口碎大石，这帮人组成的的“武功队”显然不太需要防火墙。

于是这两年我总在问自己，这个世界真的不需要防火墙吗？

▲王伟

口述 | 王伟360企业安全副总裁

文 | 史中 小编主笔

防火墙是什么呢？能吃吗？怎么吃？好吃吗？

从功能上来看，它可以类比成一个“围墙”，就像学校的院墙、小区的围墙、就像特朗普要修的那堵隔离墙，我们国家就有一个最著名的防火墙——长城。墙的基本作用是防止外人在无监督的情况下走进来，当然也可以防止已经在墙内的人在无感知的情况下走出去。

仅仅从基本作用来看，墙有没有作用呢？其实看看我们周围的世界，你就能得出结论，几乎所有的组织都有院墙。学校和小区有保安，但也有院墙；重要机关有武警保卫，但同样有院墙。

从保卫的角度来说，至少，墙对于一般的小毛贼是有效果的。它只需要很少的维护，却可以抵御一般的风险，让守卫者可以专心对付有组织有预谋的入侵。

把这个情形翻版到网络世界，道理一模一样。

不是每一家企业都富裕到能养得起安全人员，也不是每一家企业都土豪到可以雇佣安全人员做“特服”，这个时候，你至少需要一堵防火墙。

我觉得，墙和墙还是有区别的。

同样是“墙”。一个篱笆，有时候连狗都挡不住；但是城墙却可以挡住最强的壮汉。

这个道理虽然大家都明白，但是在实际中却总有人犯糊涂。

就拿边界防火墙来说，一个只能防三、四层攻击的防火墙，攻击者尝试几次就能攻破；一个加上了七层防御策略的防火墙，攻击者就需要攻击七层设施才能进来。

Gartner 在一份报告中也表示，下一代防火墙应该在应用层增加策略，除此之外，还有很多其他维度的数据内容，可以让防火墙有更详细的策略空间。每一个维度的策略升级，都是“把城墙垒高”的过程。

这是我想说的第一个事：城墙垒高，对于拖慢敌人进攻节奏一定是有意义的。此乃“城防”。

我暴露一下年龄，我是小时候看过《地道战》的人。

我来带你们复习一下地道战的玩法。

御敌策略中，首先需要的还是“塔防”——在村口设置阻击点，至少不让鬼子大步流星地长驱直入。当然，鬼子火力很猛，村口的防线当然挡不住，但毕竟可以消耗敌人的战力，延缓敌人入侵的速度。敌人快要突破村口的时候，民兵再退回村子，在房上、夹墙、井底、草垛、牲口棚，甚至是锅台下面设置狙击点。那么多地方，每个都能暗中歼敌，鬼子就招架不住了。

这就是塔防的玩法。

翻译成网络安全的语境，在攻击者突破防火墙之后，我们还有沙箱、终端、文鉴中心、NGSOC、云沙箱、云杀毒、云端威胁情报等等据点，这些联动方案让攻击者每前进一步都会付出暴露的危险，从而在攻杀链的某个环节被切断，避免我们保护的系统遭受重大损失。

举例来说，如果本地终端探测到一个可疑文件，可以把样本发送给云端沙箱进行检测；甚至可以把进出站的全流量数据和云端的威胁情报做匹配，看看在其他地方作恶的坏人有没有搞你。

如果这些都做到了，接下来需要的就是积极防御。

▲在房上、夹墙、井底、草垛、牲口棚，甚至是锅台下面设置狙击点的地道战

长城，作为防火墙的典范值得研究。

很多人忽略了长城的标配：烽火台。

烽火台是做什么用的呢？记录信息，汇总信息，传递信息。

• 一旦友军进关，就开城迎接
• 一旦敌人来犯，就点起狼烟通知相关关隘死守城门
• 最重要的，所有友军进关，都需要文书记录，以备日后出现无间道时查阅。

我心中的好的防火墙同样有这样的作用，除了基本的防御功能以外，要对进出的IP、端口、域名、URL和访问动作和流量特征进行全流量记录。这些记录乍一看上去作用不大，但是当它和另一样宝物双剑合璧的时候，就瞬间化成一尊神器。那另一样宝物就是——威胁情报。

▲威胁情报可以在不同的防火墙、终端、网关流转，从而协同御敌

简单来说，威胁情报就是一个巨大的通缉犯样本库，记录着各种类型的恶意程序样本、恶意 IP、恶意 URL、黑客画像、进攻手段等等。

防火墙作为边界，掌握着全量数据，每一个内部设备连接了哪个外部 IP 都可以被记录在案。于是，借助精密的算法平台，就可以揪出所有试图连接危险 IP 或作出危险行为的网内设备。

这些已经被黑客搞定的机器，我叫它们“沦陷设备”。一旦把一台沦陷设备揪出来，再比对所有终端的行为，就可能揪出更多的沦陷设备。这类似于抓到了一个小偷，就可以通过关联关系揪出同伙一样。

这种玩法，也正是国际上以威胁防御见长的能力型厂商所采用的。其中最关键的武器是：数据。不谦虚地说，数据恰恰是 360 的强项。通过遍布全网的终端，我的同事们可以收集海量的样本信息，从中筛选出大量的“坏人”，添加进威胁情报库里。

讲真，做智慧防火墙，我最认同的还是PA。我们要对标的，也是它，但不是仅盯着对方盒子里的事情。在威胁情报的形成方法上，Palo Alto 比我们更加全流程、自动化，相比之下，我们人参与的部分更多。但是在底层技术上，我不认为他们有很大的领先。

▲利用威胁情报，在敌人穿越的瞬间将其冻结

说了这么多，很多拖延、阻止对手的动作都是围绕着防火墙汇总发起的。这下总算为防火墙“平反”了。当然，有用的防火墙需要能和威胁情报联动，而且具有全流量数据分析的能力。

我对我们的情报还是很有信心的。

（编辑：ASP站长网）