威胁情报驱动：NGFW和威胁情报如何碰撞出火花？

最早提出NGFW定义的Gartner认为，防火墙产品的演进经历了几个阶段：

第一阶段：“传统防火墙”阶段。这要从早期的以基于状态检测为主要手段的防火墙开始说起，安全管理员通过预设规则策略，以确保被明确允许的对象才能通过防火墙访问网络或资源，隔离大部分威胁，主要以五元组ACL为访问控制方式。

第二阶段：“第一代NGFW”阶段。随着基于服务框架 的Web2.0普及，互联网应用迎来井喷式发展，但更多的应用都只是通过少数几个端口及采用有限的几个协议进行通讯，这也就意味着基于端口/协议类安全策略的准确率与效率都越来越低。因此，Gartner首次提出NGFW，强调了深度包检测和基于用户和应用的感知，需要防火墙能对应用、用户、内容的深度识别做更加细粒度的管控。

第三阶段：“性能增强的NGFW”阶段。当第一代NGFW解决了应用层问题，网络环境开始逐渐复杂多变，IDC、云平台、运营商、高校出口等大流量场景日益增多，高性能防火墙应运而生，提出需要基于多核平台的高性能、高可用性来提升防火墙的环境适应性，并且能够大规模设备的集中管理，提升对高级威胁的整体防御效果。

第四阶段：当解决了性能和环境适应性问题后，当下NGFW要解决的是什么？ Gartner认为“下一代防火墙是深度包检测防火墙，它超越了端口/协议检查和阻塞，增加了应用层检查、入侵预防，并从防火墙外引入了情报”。除此之外，Gartner还提出了防火墙要具备终端安全协同、具备全球威胁信誉库等新一代安全技术的协同能力。

由上述路标演进可以看出，尽管在安全域边界部署防火墙设备已在某种程度上被视作“基础防护”手段，但在高级威胁大行其道的今天，客户更加关注的是其安全有效性。  

未知攻、焉知防？知己知彼方能百战不殆，如果把防火墙比喻成守卫疆域的长城，那么威胁情报则是实时掌握敌情的烽火台，烽火狼烟让边防将领可以灵活地调兵遣将，而威胁情报则让防火墙“长了一双千里眼”，能够更加及时的探知威胁事件，采取更为积极主动的防守措施。

在防火墙上可识别的情报信息是什么？是海量的域名、IP、DNS、样本、黑名单等攻击指标。当防火墙遇到威胁情报，会产生什么样的化学反应？

防火墙上的威胁情报绝不是传统特征库那么简单，相比于传统AV、IPS特征库1~2周更新一次，防火墙云端威胁情报库可以做到实时更新，而本地的威胁情报也能达到分钟级的准实时更新。

当某个原本未知的样本或域名在云端威胁情报被标记为恶意之后，在数分钟内推送给防火墙作出自动响应，达到更好的预防效果。而防火墙通过内置精准、热度威胁情报信息，可以对目前流行、突发事件进行精准防御，同时也能支持隔离内网的离线升级补充传统防御手段的不足。

高级威胁通常会伪装正常的网站或恶意网站传播僵尸木马、蠕虫病毒。威胁情报通过自有安全团队挖掘和交换全球威胁情报，通常能获得比传统签名库实时性、准确性更高的恶意网站和非法IP名单，防火墙通过网络流量分析就能知道所有的网络访问行为，当防火墙发现精确度非常高的情报匹配则触发的阻断动作，阻断每一次的恶意访问行为，而用户的正常上网是不会受影响的。

而即使匹配到情报精确度不高，那么防火墙上也会记录“日志”，让安全团队通过日志分析快速定位问题，回溯问题。

众所周知，没有绝对的安全，被动防御也往往是不可靠的，总有被绕过的防御，最大的风险就是不知道风险，中招后不知道。而下一代防火墙通常只能通过IPS签名库和AV库里面文件MD5值匹配方式发现正在发生的常见攻击行为，而防火墙和威胁情报联动后，通过网络行为碰撞威胁情报发现异常，发现已经“失陷”的主机，通常这种主机被植入木马、 僵尸等恶意程序，并受到恶意软件远程控制，成为攻击者进行数据窃取、 横向侧移、传播蠕虫以及发起 DDoS 攻击的工具，其危害度较高且具备高级威胁特征。

当这些在受控情况下产生恶意行为的失陷主机，通常会主动反连外部的域名或IP，如果这些外联的对象是在威胁情报中心里定义为恶意网站、恶意IP或是黑客组织活动域名等，通过对比威胁情报网站上的数据进一步确认事件的准确性，最后通过防火墙一键处置能力，阻断失陷主机与外部控制端的通讯，一定程度上避免失陷主机被“傀儡”。

2018年2月，湖南某医院信息系统疑中勒索病毒，导致患者一度无法正常就医，由于医疗行业是直接关系百姓民生的行业，因此这则新闻再次引发全社会对网络安全的深入思考。无独有偶，近日，湖南某地市一家二甲医院在测试新一代防火墙产品时，在短时间内就发现了大量的挖矿僵尸活动，并且蔓延趋势明显，而帮助技术人员发现这些情况的，正是威胁情报。

随着勒索、挖矿、僵尸网络等威胁的普遍化，360关注到大型挖矿MsraMiner 僵尸网络活动事件和能够发起DDoS攻击的Avzhan 僵尸网络活动事件有卷土重来并大幅蔓延趋势，如果主机一旦中招，可能不会立刻发作，所以网络管理员很难察觉异常，但是这些失陷主机通常会连接到僵尸网络的C＆C已告知自己存活的状态，可随时接受控制者的命令发起攻击行为，因此具有非常大的安全隐患。360已经针对该威胁相关的情报信息下发至部署于边界的新一代防火墙产品。

以该医院其中1台失陷主机为例，在测试期间，检测到该主机向 5 个 MsraMiner Botnet 相关的 C&C 域名发起请求，共计 186 次，访问次数较多，尝试与 C&C 域名 swt.njaavfxcgk3.club对应国外IP 进行通信，产生 69 条流量访问日志；

通过360威胁情报中心对比，该类域名被多个威胁情报源标记为MsraMiner 僵尸网络，具有远控、 恶意站点等恶意标签，主要利用 NSA 武器库感染主机，通过SMB 445端口传播，并显示近一次监测到该域名参与恶意行为的时间为 2018 年 10 月，说明该事件目前处于活跃传播阶段。

根据 360威胁情报显示，域名swt.njaavfxcgk3.club、

rer.njaavfxcgk3.club、 

tar. kziu0tpofwf.club 等多个域名均被标记为 MsraMiner Botnet，通过对该类域名的解析， C2主机地址被返回传递至发起访问的主机。因此，尝试解析该域名的主机极有可能已被植入了对应的恶意软件，并向僵尸网络控制中心注册，请求进一步的指令。

综合以上分析，鉴于该失陷主机向僵尸网络相关域名发送解析地址请求的异常行为，且检测到该主机尝试对解析后的国外IP 进行通信行为，因此判定该主机已失陷的确认度为“高”。

最后，通过智慧防火墙上的“一键处置”阻断该失陷主机的网络行为避免了威胁的进一步扩散。

虽然高级的威胁可能攻破防火墙，但是每多一项安全措施和防火墙联动，黑客成功的概率就越小，进攻的成本就越大，有了威胁情报的防火墙不仅能对正在攻击的行为进行阻断，更能对已经被攻陷的主机或者通过其他途径被感染的主机进行实时监测，及时发现失陷主机实现闭环处置才是目前边界防御安全有效性的最佳实践。

防火墙遇上威胁情报，可以简单高效地发现很多传统安全产品无法发现的威胁，甚至是已经渗透到内部勒索病毒、挖矿蠕虫等高级威胁，在安全有效性、防御实时性等方面给边界安全带来切实、明显的提升。