互聯(lián)網(wǎng)日益繁榮，網(wǎng)絡(luò)應(yīng)用飛速發(fā)展，網(wǎng)絡(luò)邊界的防護(hù)需求隨之發(fā)生諸多變化。在云原生與物聯(lián)網(wǎng)等的興起、企業(yè)數(shù)據(jù)中心去中心化趨勢升級、網(wǎng)絡(luò)攻擊類型日益復(fù)雜等變化下，邊界安全防護(hù)技術(shù)正在悄然發(fā)生變革。防火墻類產(chǎn)品作為網(wǎng)絡(luò)安全防御體系建設(shè)的剛需，正在不斷完善自身以應(yīng)對時代變革浪潮。

自1996年成功研制出我國第一套自主版權(quán)的防火墻系統(tǒng)以來，天融信始終踏浪中國防火墻領(lǐng)域改革熱潮，見證了我國防火墻從無到有、從有到好的發(fā)展史。如今天融信已發(fā)布下一代防火墻3.6版本（簡稱NGFW3.6），可在紛繁復(fù)雜的威脅信息中抽絲剝繭、理清頭緒，憑“三步”從容應(yīng)對網(wǎng)絡(luò)安全威脅：局部切入，開展事件聚焦；全盤謀劃，進(jìn)行事件關(guān)聯(lián)；最終勾勒出威脅全景，實(shí)現(xiàn)威脅的全方位可視、可知、可控。

事件聚焦

Q：防火墻模塊增加、監(jiān)控面擴(kuò)大意味著數(shù)據(jù)量大幅增長，數(shù)據(jù)未經(jīng)整合零散分布在各個安全模塊。出現(xiàn)網(wǎng)絡(luò)安全事件時，網(wǎng)絡(luò)安全管理員需要從各模塊產(chǎn)生的數(shù)據(jù)中搜集與事件相關(guān)的佐證信息，耗時費(fèi)力。如何解決？

A：天融信NGFW3.6整合各模塊數(shù)據(jù)，針對選定的安全事件提供多維度信息，進(jìn)行事件聚焦，解決防火墻各模塊孤軍作戰(zhàn)、無法將數(shù)據(jù)匯聚一處呈現(xiàn)事件全貌等問題，從而降低運(yùn)維難度，提高易用性。

事件詳情及處置：

顯示各模塊上報的安全事件詳細(xì)信息，提供一鍵處置功能。

行為分析：

通過行為基線實(shí)現(xiàn)對資產(chǎn)的行為分析。主動學(xué)習(xí)目的地址的訪問流量、訪問次數(shù)，利用內(nèi)置模型生成基線。管理員通過對比基線與實(shí)際行為，及時發(fā)現(xiàn)異常。

留存取證：

提供報文的關(guān)鍵字段作為佐證，并可一鍵留存。

事件關(guān)聯(lián)

Q：近年來網(wǎng)絡(luò)攻擊逐漸呈現(xiàn)出協(xié)同、多階段的特點(diǎn)，一套完整的攻擊往往需要運(yùn)用多種技術(shù)與戰(zhàn)術(shù)，從發(fā)現(xiàn)漏洞、資源偵查到攻破系統(tǒng)獲取控制權(quán)，再到橫向移動造成更多破壞是一個復(fù)雜過程，而單一安全事件、網(wǎng)絡(luò)流量和報文均僅能反映某一時間點(diǎn)的系統(tǒng)狀態(tài)和網(wǎng)絡(luò)安全事件，無法串聯(lián)整個攻擊過程從而進(jìn)行描述。此類問題又該如何解決？

A：如果將事件聚焦看作對某一網(wǎng)絡(luò)安全事件的全方位剖析，事件關(guān)聯(lián)則是利用同一攻擊在不同階段留下的蛛絲馬跡（網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)行為），尋找不同事件之間的關(guān)聯(lián)。天融信NGFW3.6從攻擊者、受害者視角出發(fā)，借助關(guān)聯(lián)分析引擎統(tǒng)籌考慮，力圖還原攻擊全過程。

攻擊者視角：

同一攻擊者往往不會止步于單次攻擊，而是進(jìn)行一系列攻擊以達(dá)成目的，因此從攻擊者視角出發(fā)，整合與之相關(guān)的所有攻擊事件，構(gòu)建攻擊鏈，有助于用戶發(fā)掘攻擊者最終目的，判斷攻擊進(jìn)展情況，從而做出針對性防護(hù)。

受害者視角：

受自身特性、安全性等因素影響，系統(tǒng)中某些設(shè)備更容易成為攻擊者目標(biāo)，因此從受害資產(chǎn)角度出發(fā)，利用資產(chǎn)管理模塊提供的資產(chǎn)信息，結(jié)合該資產(chǎn)的網(wǎng)絡(luò)安全事件判斷其當(dāng)前所處狀態(tài)、風(fēng)險等級，便于對資產(chǎn)進(jìn)行合理防護(hù)。

攻擊者視角和受害者視角一定程度上詮釋了不同事件之間的關(guān)聯(lián)，為減少運(yùn)維人員負(fù)擔(dān)，進(jìn)一步挖掘事件關(guān)聯(lián)呈現(xiàn)攻擊全貌，天融信NGFW3.6借助關(guān)聯(lián)分析引擎自動對事件進(jìn)行關(guān)聯(lián)分析。它以時間為橫軸，威脅處置分層階段為縱軸，將安全事件（如：IPS、WAF、僵木蠕）以及行為記錄（異常控制檢測、代理檢測、行為基線異常）進(jìn)行關(guān)聯(lián)分析，依照ATT&CK框架構(gòu)建完整攻擊鏈，直觀顯示攻擊全過程，協(xié)助運(yùn)維人員攻擊回溯。

威脅全景

Q：單一安全事件和彼此之間具有關(guān)聯(lián)的事件集呈現(xiàn)的是系統(tǒng)局部情況，而且由于是歷史數(shù)據(jù)，無法實(shí)時描述系統(tǒng)整體狀態(tài)，如何提取、融合各模塊重點(diǎn)數(shù)據(jù)，實(shí)時呈現(xiàn)系統(tǒng)整體安全態(tài)勢？

A：天融信NGFW3.6全新推出了威脅地圖功能，融合地理信息數(shù)據(jù)和安全事件數(shù)據(jù)，展示攻擊來源地理分布圖；進(jìn)行安全事件實(shí)時播報，協(xié)助用戶在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中及時掌握系統(tǒng)狀態(tài)；采集并整合系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)相關(guān)的態(tài)勢要素，如安全事件、網(wǎng)絡(luò)資產(chǎn)狀態(tài)，并從攻擊數(shù)量趨勢、攻擊源數(shù)量排行榜、風(fēng)險資產(chǎn)統(tǒng)計等維度呈現(xiàn)威脅全景，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險的全方位可視、可知、可控，為安全事件的預(yù)防、實(shí)時監(jiān)測和處置提供支持。

天融信提出了面向后NGFW時代防火墻產(chǎn)品發(fā)展的“五化”理念，即“智能化、平臺化、協(xié)同化、多態(tài)化、行業(yè)化”，致力于利用主被動探測、機(jī)器學(xué)習(xí)、關(guān)聯(lián)分析等技術(shù)，滿足多業(yè)態(tài)多行業(yè)細(xì)分需求，目前已推出車載防火墻、工控防火墻等一系列產(chǎn)品。未來，天融信也將不斷推動防火墻產(chǎn)品全場景的布局與落地，助力防火墻產(chǎn)品從標(biāo)準(zhǔn)化、同質(zhì)化的狀態(tài)向精準(zhǔn)匹配客戶場景和差異化競爭的方向發(fā)展。

TOPSEC

作為國內(nèi)網(wǎng)絡(luò)安全領(lǐng)軍企業(yè)，天融信從中國第一臺商用防火墻的締造者成長為中國頂尖的網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商。目前，天融信防火墻已經(jīng)連續(xù)22年市場排名第一，多領(lǐng)域產(chǎn)品連續(xù)多年位居市場前列，持續(xù)領(lǐng)跑中國網(wǎng)絡(luò)安全硬件市場。據(jù) IDC《2022 年 V2 全球網(wǎng)絡(luò)安全支出指南》顯示，預(yù)計到 2026 年， 中國網(wǎng)絡(luò)安全支出規(guī)模將達(dá)到 318.6 億美元。未來，天融信將以昨日的成績作為新的起點(diǎn)，在云化、智能化的時代背景下，樹立總體國家安全觀，持續(xù)聚焦網(wǎng)絡(luò)安全，為加快構(gòu)建“大安全”格局奉獻(xiàn)企業(yè)力量。