网络边界安全十年的“革新”路

admin

847
文章

2
评论

2021年7月22日13:54:11 评论

任何执拗都会成为过往，只有时间能评判对错。

关于我们今天要讲的故事，先让我们把时针拨回到 2010 年。

2010年，“震网”（Stuxnet）病毒首次被发现，同年9月,伊朗核设施突遭震网病毒攻击，纳坦兹离心浓缩厂的上千台离心机报废，由此，伊朗的核计划进程直接倒退两年。

迅速席卷全球工业界的“震网”，成为2010年网络安全人挥之不去的阴影。截止2011年，“震网”感染全球超过45000个网络，60%的个人电脑。

同年，某知名搜索引擎遭黑客非法篡改，11小时无法正常访问。

2011年，黑客窃取了某知名科技公司7700万PlayStation 网络用户的详细信息。为了修复漏洞，该公司关闭PlayStation网络，修复时长足足23天。

同年，荷兰CA安全证书提供商DigiNotar曝出8台证书服务器都遭黑客入侵。黑客为包括 http://Google.com在内的531个网站发行了伪造的CA证书。

此时可以明显看到的一个趋势是：网络攻击的趋势正在从攻击层转向应用层，而传统的防火墙只做基础的转发或拦截，无法检测和防御应用层攻击。

回想起这些，深信服下一代防火墙（以下简称AF）初期研发成员朱峥嵘（现任AF产品线主管）依旧很感慨：没想到当年8个人的研发队伍会让深信服下一代防火墙走到了今天。

早期AF研发人员合影（还有一位在拍照~）

更让人想不到的是，在做AF之前，深信服这个名字似乎并没有划在网络安全的行列，但也正是因为这一点，下一代防火墙反而成了公司的实力产品。

第一个吃螃蟹的勇气与坚持

2010 年夏天，深圳深信服。

在一间仅有 8人的办公室里，研发主管蔡成志和其他6位同事开始搞起了下一代防火墙。

彼时，在国内，下一代防火墙还是一个新鲜而又遥远的词，没有人敢去尝试。

大部分安全圈的人第一次听到的下一代防火墙的概念是在权威测评机构Gartner 中听到的。

根据Gartner的理论，NGFW 应该是一个高性能网络安全处理平台，至少应当具备以下几个属性：

（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等；

（2）全方位的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和；

（3）应用意识和全栈可见性：识别应用和在应用层上执行的独立端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策；

（4）额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。

但Gartner定义的下一代防火墙产品在国内的网络环境下并不能产生很好的防护效果，当时最让人头疼的莫过于爆炸式增长的Web攻击，没有人知道应该怎么做，但深信服最不怕就是创新，此前已经推出的两个爆款产品VPN和AC已经证明这一点。

没有路就去开出一条路，8个人迅速达成一致，想到了从国外取经，首先肯定是研究Gartner定义要求，另外把国外主流的下一代防火墙也都分析了一遍，初步有了怎么做的思路。但怎么通过防火墙防住Web攻击这一空白领域，让团队感到焦灼。恰巧，深信服在2005年推出的上网行为管理AC已经积累了一些技术实力，并且AC本身就具备应用识别的能力，这无疑给接下来防火墙要做的应用层安全创造了一定的基础，这些让下一代防火墙团队看到了希望。

说干就干。从立项到研发，仅用一年半时间，这个8人的小团队居然真的把下一代防火墙AF就这么做出来了。AF在满足Gartner的全部定义的基础上，还创新融合了Web攻击防护能力，这群吃螃蟹的人，为公司打造到了一张崭新的进入网络安全领域的名片。

这群吃螃蟹的人在讨论着一些事

和正在看文章的你一样，对于深信服下一代防火墙，友商和用户都保持着怀疑的态度。

“这家公司之前不是做防火墙的，半路出家，能靠谱吗？”

“独立的东西才专业，这种大融合肯定不好用”

“功能加这么多，性能肯定差”

......

朱峥嵘也回忆道：“当时，我记得最严重的一次事故是我们发现公司网站被友商恶意篡改，他们企图通过这种方式来对我们进行威慑，最终不得不关停重新整改”。

但是，这些并没有让防火墙团队放弃。

面对外界的质疑，AF团队不急于发声，因为相信最终的安全效果会给出最好的证明。

2013年在山西做售前产品经理的张广义回忆到，当时在市场上推AF确实难度比较大，用户大多在观望和质疑，一开始用户都认为业务系统很正常，我们建议上一台AF测试看看，结果上去之后就发现了大量的安全威胁，例如之前用户认为很干净的内网，被AF检测到了大量的僵尸主机。这样一来用户就发现，确实能帮他发现问题，同时也能解决问题。

用户的认可慢慢变多，安全效果逐渐被认可，质疑的声音也自然而然弱了下来。

就这样，AF 逐渐在业内站稳了脚跟。

“看得见”的安全才更安全

有了四年的经验，AF在安全圈也算小有名气，此时的研发主管蔡成志在考虑更为深刻的问题。

在他看来，AF 虽然在当时算得上是第一个吃螃蟹的人，也引来其他友商的纷纷效仿用户的安全运维似乎变得更难了。下一代防火墙不仅对安全厂商来说是一次挑战，对用户来说也需要时间去熟悉，当时能玩转下一代防火墙的安全运维人员非常紧缺。于是，新的问题出现了。

安全策略怎么配？防护状况怎么看？安全事件怎么处置？日志怎么分析？…

当时的AF团队每天都会接到大量关于安全运维的用户咨询，这样下去肯定不是办法，当时的AF团队成员大多是搞技术的，对于如何降低用户的学习成本，更简单的做好安全运维，很难给出好的答案。蔡成志思来想去，决定让更懂用户的人来做产品，具体就是从一线引入售前产品经理到总部。

深信服流传着这样一个说法，最能“吐槽”的一线很可能被调回总部来做产品。2014年年底，蔡成志看上了在山西做售前的张广义。

彼时，张广义还坚持做着每天看各种资料的工作方式，只要是和深信服产品有关的攻防原理、黑客工具都拿来研究。凡是在和用户接触中发现的产品问题，都会第一时间整理反馈给总部，正是这一封封“吐槽”产品的邮件，让蔡成志对这个年轻人发出了邀约。

蔡成志给张广义发的邮件里写到，问他愿不愿意到研发部门。

张广义也一脸懵：“我不是写代码的啊，去研发部门做什么？”

虽然被张广义拒绝了，但蔡成志还是坚持要“忽悠”张广义。

后来，他又给张广义发邮件说“你就负责代表用户给产品提意见说想法。有想法的时候说想法，没想法的时候上上网。”

天下还有这样的好事？张广义决定接受这个新任务。

新年那天，张广义就收到了蔡成志送来的礼物：两本关于产品经理的书。

张广义心想：嗯？这什么情况，新年不应该是发红包吗？

虽然奇怪，但张广义还是看完了，看完之后他突然发现：“我们的产品有问题啊，要站在用户的角度重新修改啊”。

后来，张广义在做产品的工作中，对自己提过最多的两个问题就是，“用户真正的需求是什么？”、“解决方案做到极致了吗？还能不能更好？”。

对于用户看不懂、不会用这类典型的用户体验问题，他非常有信心能做好。

他盯上的第一个目标，就是防火墙的配置策略。

“之前安全能力是分散的，用户经常说要保护一个服务器不确定开哪些能力，WAF要不要开，IPS要不要配，具体怎么配也很模糊。大多数用户就卡在了配置这一步。不会配置，防火墙自然不好用，安全效果肯定不太好。”。

于是，他带着团队收集资料，基本每天都咨询用户使用防火墙时候的“心路历程”，然后手动总结出很多“用例”。这样的话，用户部署防火墙之后，就可以像买来一部手机那样，通过引导一键配置安全策略。

想法是好的，实施起来却很难。甚至为此，张广义还与设计团队多次争吵，期间设计了超过20余个版本，不断推倒重来，最终通过前端的组合封装，将后端的各类能力统一成一条策略，提供简单化的一体化策略配置。

配置完策略才是第一步，之后会涉及到各类安全事件和安全日志的分析，如何让用户能快速发现威胁，全面了解网络安全防护状况，能看得懂威胁是怎么来的、有什么危害等等，就成为了下一步要解决的问题。

“以往用户很难把安全能力用起来，最主要的原因就是安全效果的展示缺乏用户视角。”，经过大量的用户分析，张广义发现厂商提供是基于功能视角的安全日志，而用户需要的是了解他的业务或用户有哪些风险，不能解决用户问题的设计肯定是要被淘汰的。

由此，AF团队坚定了要打造极致的用户体验的信念，“不是基于用户视角的设计，就不能往外推”，当时明确提出了这样的要求。

这样的坚持成功了。那时候推出的用户安全/业务安全、安全运营中心和安全报表这些设计，它们的生命力依旧鲜活，很多用户到现在都习惯一登录AF就打开这些页面来查看当前的安全防护状况。

业务安全、安全运营中心和安全报表界面

从整体安全状况到单个业务或用户的安全状况，从整体的攻击分类统计到具体攻击的详情。让用户既能关注整体，又能深入了解局部，既能看到防护结果，也能看清攻击过程。极大提高了用户在安全运维方面的效率。

这样的坚持在ToB产品上也很罕见的，被问到为何这样坚持，张广义说到，“很多设计看似是很小的细节，比如跳转、排版甚至文案，但是在背后体现的是说要能够去深入的理解用户，同时你要以一种即专业、又能让用户快速上手的方式，让他更简单的去解决问题。简单来说就是把复杂留给自己，把方便给到用户，这会要求你不断去思考去创新。”

一直较真，才能打造实战化对抗效果

2017年5月12日，WannaCry勒索病毒在全球范围大爆发。几小时内，借助永恒之蓝高危漏洞传播的蠕虫式勒索病毒软件袭击了150个国家，数十万台电脑。医疗系统、快递公司、学校、银行、大型石油石化公司都被感染，对于安全企业来说，惊恐、紧急预警、加急防护……忙得人仰马翻。

面对汹涌而至的高级威胁，AF 团队也开始意识到，新一轮的变革来了。

AF团队依旧秉持从用户的角度出发去思考问题和解决问题，在对WannaCry勒索病毒事件不断的复盘之后，发现了当时网络安全建设存在的关键问题：

1、基于规则的静态防御方案只能防范已知威胁，无法应对不断变化的新型威胁。

2、随着业务的不断开放，安全威胁的入口也越来越多，但目前各个安全设备在防护机制上都只是“各司其职”，无法满足用户做好整体安全防护的效果。

因此，AF团队认为不仅需要 AF 本身在产品能力上进一步升级，打通与其他安全产品的安全能力也将是下一步的重要工作，去帮助用户构建立体化应对攻防对抗的安全体系。

“没人做，我们更要做”——AF人不断在攻防对抗中，蹚出新路子。

2018年开始，将人工智能SAVE引擎合入，AF可以智能检测变种病毒。彼时，很多防火墙、防毒墙通过MD5值等特征检测对变种病毒束手无策。有人提出：“那我们的检测是不是检测方式也可以变”，历时6个月的打磨，第一版具备AI检测的防病毒能力——AF8.0.8版本发布；

2019年，网端云联动降低管理员压力。AF人发现用户基本不登陆防火墙，但发现终端问题的时候又很难处置，原因还是产品割裂。“那我们通过与其他产品间的联动实现对攻击事件的快速响应闭环，这就叫网端云联动”，几个人一拍即合，很快AF实现实现了联动终端EDR产品，可将攻击事件追溯至每一个原始进程，同时也调用EDR的处置能力进行一键处置，并通过联动云端威胁情报实现5分钟同步全球未知威胁。

2020年，不一样的主动防御。在一次用户调研中发现，用户现在实战对抗面前毫无抵抗能力，基本都要招人解决，最主要还是过去的防御过于被动。“我们的防御就要主动，发现威胁于发生之前”。产品规划和运营们达成一致，在不久后首创云蜜罐联动方式，为用户提供被动防御无法给予的欺骗诱捕攻击行为、深度溯源攻击者画像、一键阻断攻击源头等主动防御能力。

除此之外，技术方面还研发了针对Web渗透绕过传统检测问题的WISE智能引擎、针对僵尸网络多变的下一代防火墙NTA技术等等。

另外，今年国际第三方安全研究和评测机构CyberRatings.org发布了“2021年企业防火墙+SSL/TLS产品评级”，深信服凭借AF出色的安全性（99.7%安全有效性测评最高分）、良好的稳定性和可靠性、更具竞争力的总拥有成本，以及用户高满意度等方面在11家供应商中脱颖而出，以最高排名获得AAA评级，是国内唯一获得评级的厂商。