它在网络边界安全十年的“革新”路

任何执拗都会成为过往 , 只有时间能评判对错 。
关于我们今天要讲的故事 , 先让我们把时针拨回到2010年 。
2010年 , “震网”(Stuxnet)病毒首次被发现 , 同年9月,伊朗核设施突遭震网病毒攻击 , 纳坦兹离心浓缩厂的上千台离心机报废 , 由此 , 伊朗的核计划进程直接倒退两年 。
迅速席卷全球工业界的“震网” , 成为2010年网络安全人挥之不去的阴影 。 截止2011年 , “震网”感染全球超过45000个网络 , 60%的个人电脑 。
同年 , 某知名搜索引擎遭黑客非法篡改 , 11小时无法正常访问 。
2011年 , 黑客窃取了某知名科技公司7700万PlayStation网络用户的详细信息 。 为了修复漏洞 , 该公司关闭PlayStation网络 , 修复时长足足23天 。
同年 , 荷兰CA安全证书提供商DigiNotar曝出8台证书服务器都遭黑客入侵 。 黑客为包括http://Google.com在内的531个网站发行了伪造的CA证书 。
此时可以明显看到的一个趋势是:网络攻击的趋势正在从网络层转向应用层 , 而传统的防火墙只做基础的转发或拦截 , 无法检测和防御应用层攻击 。
回想起这些 , 深信服下一代防火墙(以下简称AF)初期研发成员朱峥嵘(现任AF产品线主管)依旧很感慨:没想到当年8个人的研发队伍会让深信服下一代防火墙走到了今天 。
它在网络边界安全十年的“革新”路
文章图片
早期AF研发人员合影(还有一位在拍照~)
更让人想不到的是 , 在做AF之前 , 深信服这个名字似乎并没有划在网络安全的行列 , 但也正是因为这一点 , 下一代防火墙AF反而成了公司的实力产品 。
第一个吃螃蟹的勇气与坚持
2010年夏天 , 深圳深信服 。 在一间仅有8人的办公室里 , 研发主管蔡成志和其他7位同事开始搞起了深信服下一代防火墙AF 。 彼时 , 在国内 , 下一代防火墙还是一个新鲜而又遥远的词 , 没有人敢去尝试 。 大部分安全圈的人第一次听到的下一代防火墙的概念是在权威测评机Gartner中听到的 。 根据Gartner的理论 , NGFW应该是一个高性能网络安全处理平台 , 至少应当具备以下几个属性:
(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等;
(2)全方位的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码 。 IPS与防火墙的互动效果应当大于这两部分效果的总和;
(3)应用意识和全栈可见性:识别应用和在应用层上执行的独立端口和协议 , 而不是根据纯端口、纯协议和纯服务的网络安全政策;
(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库 。 但Gartner定义的下一代防火墙产品在国内的网络环境下并不能产生很好的防护效果 , 当时最让人头疼的莫过于爆炸式增长的Web攻击 , 没有人知道应该怎么做 , 但深信服最不怕就是创新 , 此前已经推出的两个爆款产品VPN和AC已经证明这一点 。
没有路就去开出一条路 , 8个人迅速达成一致 , 想到了从国外取经 , 首先肯定是研究Gartner定义要求 , 另外把国外主流的下一代防火墙也都分析了一遍 , 初步有了怎么做的思路 。 但怎么通过防火墙防住Web攻击这一空白领域 , 让团队感到焦灼 。 恰巧 , 深信服在2005年推出的上网行为管理AC已经积累了一些技术实力 , 并且AC本身就具备应用识别的能力 , 这无疑给接下来防火墙要做的应用层安全创造了一定的基础 , 这些让下一代防火墙AF团队看到了希望 。
说干就干 。 从立项到研发 , 仅用一年半时间 , 这个8人的小团队居然真的把深信服下一代防火墙AF就这么做出来了 。 AF在满足Gartner的全部定义的基础上 , 还创新融合了Web攻击防护能力 , 这群吃螃蟹的人 , 为公司打造到了一张崭新的进入网络安全领域的名片 。