盛邦人说丨一个游戏迷的升级打怪网络安全之旅

十几年前的一个夏天，某五线县城的黑小子因为对游戏的好奇选择了网络工程专业，这一选择就像打开了一扇未知的大门，从此他的网络安全职业生涯拉开了序幕。

看起来有些意料之外，但也在情理之中。

当小时候的作家梦被语文老师的评语洗刷得模糊殆尽时，高中计算机课上那些小游戏带给他的惊喜就宛如一剂兴奋剂，让他在当年的专业选择中，牢牢抓住了网络工程这个计算机相关的专业。当年网络安全还不像现在这么热门，对于他来说更像是一次年少时叛逆的选择，但命运的齿轮就此开始转动，引领他走向一个未来几十年里要去学习和探索、甚至在毕业后要以此安身立命的领域。

在成为一名网络安全行业的产品经理之前，聂晓磊与网络的结缘可谓曲折又神奇。第一次亲密接触发生在中学时期，通过联通的CDMA网络，他首次接触到了互联网的魅力；而第二次上网则直接跨越到了大学军训后的网吧。机缘巧合下，大三的网络安全教程引领他第一次接触到密码学，而实习期的防火墙培训则让他对网络安全有了更深入的理解和初步的实践。

从TCP的三次握手到SSL的四次握手，从包过滤到状态检测再到下一代防火墙，他逐渐找到了节奏。他说自己很庆幸，初入职场接触的第一个产品就是防火墙，也十分建议其他刚刚入行的同学先从防火墙开始学习，因为这是一个很适合打基础的安全产品。

在2015年之前，中国的网络安全建设还是以合规为主要导向，而访问控制是最主要的攻击防护策略之一。那个时期的网络也被称为“黑白网络”，非黑即白。也是在那时，聂晓磊接触到了防火墙、防病毒网关、UTM、下一代防火墙等网关类产品，他自己也在工程师的岗位上全方位地经历了售后、测试到产品等不同岗位的工作内容。

2015年，他选择加入盛邦安全时，怀着的是做一名出色的产品经理的职场追求。如果说当初吸引他来公司的是老板一直坚持的工程师文化，那么差点给他劝退的则是真的成为一名产品经理时面临的三重挑战。

挑战一：思路的挑战。

2016年是安全实战化的元年，整个行业从传统的合规建设要求转向对实战能力的检验。当时团队承接了某大型央企的安全保障任务。时间紧，任务重，为保证项目顺利交付，从产品经理、技术工程师到研发大牛都纷纷到客户现场，边沟通边协调，边理解边调整，难题一个接一个，考验一波接一波……终于在第二周的一个凌晨三点，他们完成了最重要的一项保障任务，也获得了客户方的高度认可。这次项目过后，除了积累了实战经验之外，更重要的是转变了他看待网络安全的思路。

挑战二：技术的挑战。

在早期，盛邦安全专注的是应用层的安全，还属于细分领域。记得当时某个客户的WAF需求，随便一张SPEC表就有上百行，对HTTP某个头部字段的拆解与检测，就涉及多条不同的要求，需要同研发同事反复讨论，还需要学习和理解不同的技术规范，每次的沟通和交付过程都很痛苦。但事后看，这样的“折磨”是值得的，现在客户的精细化需求越来越多，产品的能力也越分越细，需要的就是专业领域的“钻牛角尖”的精神和细致到较真的负责任的态度，他感慨到。

挑战三：能力的挑战。

产品经理需要随时转变角色来应对各种问题，对于这一点，他虽早有准备，但当事情摆在面前的时候还是有些措手不及。记得刚成为产品经理时，某个项目的客户对标签纸、外包材等一系列生产工艺都有特定的要求。当时某类标签需要用到专用的打印机，而通用设备不满足该客户的要求，作为产品接口人，他必须主动寻求解决方案。在从未做过采购等工作的情况下，几经辗转，终于让他找到了合适的设备，并顺利完成了前几批的生产工作，保障了项目的如期交付。这虽然只是一个小插曲，却让他深刻地体会到了对于一名产品经理而言，应变能力和复合型的能力要求有多么的重要。

转眼间来到了35岁大关，在公司已经八年的他，从产品经理转变为产品线市场总监，开始了又一个新的角色和挑战。作为产品线的市场负责人，需要更多的考虑产品的市场方向，考虑如何更好地满足客户需求，以及更深刻地理解网络安全相关政策、环境与行业趋势。聂晓磊说到，就像一款安全产品不断成长的过程，既需要扎实的技术基础，也需要场景化的解决方案，只有不断提升自己的硬实力与适应性，才能更好地面对大大小小的挑战，一路打怪，升级，再打怪，再升级。

大记者：如果把你的经历比作一个产品，你觉得是哪个？

黑小子：WAF？这么说也不是给我自己脸上贴金啊，哈哈哈

如果要把这一路走来的过程提炼的话，我觉得就是打怪升级再挑战。

这里的怪指的是疑难问题哈，那这点和WAF其实就是很像的。你看最早的WAF就是纯粹的Web应用防火墙，从名字看就感觉是防火墙的一个细分领域。

那会儿讲Web攻击就看OWASP总结的TOP10。

需要防的就是各种注入、跨站脚本和挂马攻击，当时用户问得最多的是WAF和IPS还有防火墙的区别。

后来大家对WAF的概念就很了解了。

那攻击者也在升级自己的手法，你用规则防，我就想办法绕过，你查攻击特征，我就搞逻辑漏洞，这时候WAF就得升级啊，不能只靠规则，要想办法识别语义，也不能只看特征，要总结上下文的关联，提取逻辑关系。

所以这时候有些朋友已经开始讲下一代WAF了。

这样又过了几年，攻击手段还在升级，业务也在变化，现在讲WAF的保护对象，早已不局限于网站和业务系统了，比如说API越来越多，暴露面就越来越大，部署的安全产品越多，供应链攻击的面也就越大了，这些都需要WAF来保护，所以呢还得接着升级。

这两年又有个概念是WAAP。

我们不一定要讲概念，但是要理解该做的事情，所以对BOT的识别、对API的保护，乃至怎么利用这两年大火的AI来做攻击检测，这些都是要实现的。

所以说，我认为WAF至少有一点和我是像的，就是不断的打怪，升级，再打怪，再升级。

大记者：你现在还玩游戏吗？

黑小子：还玩。不过可能和大家熟悉的不同。我一直喜欢比较闷的暗黑类刷子游戏，随着等级的提升，难度也会不断上升，在未知的挑战中不断升级装备来冲击下一个挑战，这个过程还挺享受的。

看到如今的他，就像很多和公司一路成长起来的盛邦人一样，在一个行业站稳脚跟，在一个城市安家落户，从职场新人到中流砥柱，在面对新的角色和挑战时多了几分从容，对技术的热爱和追求是这份从容的底气，以开放的心态去学习和成长是自信的源泉。