防火墻作為面向外部入侵的第一道防線(xiàn)，它在網(wǎng)絡(luò )與外部之間建立一道安全壁壘，對進(jìn)入或離開(kāi)網(wǎng)絡(luò )的數據流進(jìn)行篩選和過(guò)濾，以保護網(wǎng)絡(luò )免受未經(jīng)授權的訪(fǎng)問(wèn)、惡意攻擊和數據泄露等威脅。

　　然而，隨著(zhù)AI的普及，攻擊門(mén)檻降低的同時(shí)，攻擊的破壞性還增強了。無(wú)疑，防火墻也需要隨之“進(jìn)化”。

防火墻進(jìn)化史

　　20世紀80年代，防火墻技術(shù)幾乎與路由器同時(shí)出現。

　　最早的防火墻是由一些基于路由器和過(guò)濾器的簡(jiǎn)單設備，用于隔離內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )，僅能實(shí)現簡(jiǎn)單的訪(fǎng)問(wèn)控制。

　　隨著(zhù)互聯(lián)網(wǎng)的增長(cháng)和威脅的不斷演化，防火墻開(kāi)始逐漸進(jìn)化。從簡(jiǎn)單的數據包過(guò)濾發(fā)展到代理防火墻、狀態(tài)監測防火墻、統一威脅管理(UTM)，再到下一代防火墻(NGFW)。

　　包過(guò)濾防火墻和代理防火墻除了制定內向外連接的安全策略外，還要制定外向內的策略，存在安全隱患。狀態(tài)監測防火墻通過(guò)狀態(tài)監測機制提高轉發(fā)效率和安全性，但其功能較為單一。通過(guò)給狀態(tài)監測防火墻上集成VPN、防病毒、郵件過(guò)濾關(guān)鍵字過(guò)濾等功能，漸漸形成了第四代防火墻：統一威脅管理，但其效率不高且并沒(méi)有集成深度報文檢測功能。于是又發(fā)展出第五代防火墻：下一代防火墻(NGFW)，解決了統一威脅管理防火墻效率不足和報文深度檢測能力不足的弱點(diǎn)。

　　Gartner把NGFW看作不同信任級別的網(wǎng)絡(luò )之間的一個(gè)線(xiàn)速實(shí)時(shí)防護設備，能夠對流量執行深度檢測，并阻斷攻擊。關(guān)于NGFW的定義，Gartner強調，傳統的防火墻功能、應用識別與應用控制技術(shù)、IPS與防火墻深度集成、利用防火墻以外的信息來(lái)增強管控能力等是下一代防火墻的關(guān)鍵方面。

　　眾多主流廠(chǎng)家也都推出了各自的下一代墻。例如，Cisco Firepower，思科(Cisco)推出的下一代防火墻解決方案，集成了防火墻、IPS、VPN和高級威脅防御(ATP)功能，采用深度數據包檢測(DPI)和先進(jìn)的分析來(lái)識別和阻止威脅，同時(shí)能提供對網(wǎng)絡(luò )流量的細粒度控制。可以看到，NGFW以其先進(jìn)的安全功能和適應性為企業(yè)網(wǎng)絡(luò )提供了更全面、更高級的保護。

　　但防火墻在升級，威脅也在同步演變。傳統的病毒、木馬等威脅逐漸被以高級持續性威脅(APT)為代表的新型威脅所取代。這些高級威脅更加隱蔽、擴散更快，并能長(cháng)期存在于受攻擊者的網(wǎng)絡(luò )中。面對快速變化的威脅種類(lèi)，傳統NGFW基于簽名的威脅檢測無(wú)法應對高級、未知威脅，簽名匹配無(wú)法防御整體攻擊鏈，并且還存在威脅處置人工程度高、花費時(shí)間長(cháng)的問(wèn)題。

　　因此，面對網(wǎng)絡(luò )和威脅的不斷演進(jìn)，NGFW也需要更新?lián)Q代。2023年以來(lái)，蓬勃發(fā)展的生成式人工智能技術(shù)，也為防火墻的發(fā)展帶來(lái)了新的契機，各大安全廠(chǎng)商紛紛探索如何獲得AI技術(shù)的加持。思科，也不例外，發(fā)布了基于自然語(yǔ)言的安全人工智能助理(AI Assistant for Security)，并將其融入到全線(xiàn)防火墻產(chǎn)品中，旨在幫助企業(yè)客戶(hù)更好地評估安全狀況、消除配置錯誤并自動(dòng)執行復雜任務(wù)。

AI與防火墻

　　其實(shí)，AI在防火墻中的應用并非是2023年才開(kāi)始的。

　　早在2017年左右，預測式AI已經(jīng)比較成熟，并且嵌入到了很多產(chǎn)品和解決方案中，基于現有數據進(jìn)行分析，主要用來(lái)實(shí)現自動(dòng)化、推薦、預測等。

　　2023年，生成式AI風(fēng)靡全球，其利用文本、圖片、音視頻等創(chuàng )作新內容的能力，給安全行業(yè)帶來(lái)很多具有突破性的創(chuàng )新和應用場(chǎng)景。

　　以思科公司的AI下一代防火墻Firepower為例，以前在生成訪(fǎng)問(wèn)控制規則時(shí)需要手動(dòng)輸入。對于中小企業(yè)來(lái)說(shuō)，由于策略較少，操作相對簡(jiǎn)單;但是對于大中型企業(yè)來(lái)說(shuō)，成千上萬(wàn)條的策略需要人工統一維護和優(yōu)化，是一個(gè)沉重的負擔。現在有了安全人工智能助理的助力，安全運維人員可以通過(guò)語(yǔ)音/文本指示系統自動(dòng)生成策略，并給出優(yōu)化建議。

　　值得一提的是，思科還在探索使用生成式AI增強加密流量檢測的能力，通過(guò)獨特的EVE/加密可視化引擎在不解密情況下檢測惡意文件并觸發(fā)告警，最小化性能開(kāi)銷(xiāo)，豐富主機透視畫(huà)像中的應用和系統檢測。

　　對于探索生成式AI與安全的深度融合，思科的優(yōu)勢在于對搜集上來(lái)的海量數據有深刻認知，比如對基礎漏洞有深入研究，并全面了解攻擊的方式和方法。思科運營(yíng)的 Talos 是享譽(yù)全球的網(wǎng)絡(luò )安全情報組織，這是一個(gè)由500多名專(zhuān)家組成的團隊，每天分析來(lái)自全球的海量安全信息包括各種來(lái)源的惡意軟件樣本、攻擊樣本數據、漏洞信息、惡意域名和 IP 地址等，同時(shí)結合大量機器學(xué)習與AI算法，總結出各類(lèi)攻擊發(fā)動(dòng)的行為、流量等特征，提供業(yè)內最全面和主動(dòng)的安全與威脅情報解決方案，并將這些洞察融入到思科的安全產(chǎn)品中。

　　并且，思科在人工智能版圖還在不斷擴大。今年以來(lái)，思科收購了大語(yǔ)言模型領(lǐng)域的領(lǐng)導性安全廠(chǎng)商Armorblox，并將其產(chǎn)品融入到思科現有的解決方案中。預計2024年8月，思科將正式完成對Splunk的并購，此舉將大幅提升思科在生成式AI、大數據、方面的方案完整性和能力。

AI是企業(yè)的必答題

　　根據2023年思科發(fā)布的《思科人工智能就緒指數》，僅有9%的中國企業(yè)在部署和利用人工智能方面做好了充分準備。

　　但與此同時(shí)，攻擊者已經(jīng)開(kāi)始使用生成式AI來(lái)升級他們的攻擊行為。與傳統網(wǎng)絡(luò )攻擊相比，AI驅動(dòng)的網(wǎng)絡(luò )安全威脅具有更高的智能和適應性。

　　面對AI驅動(dòng)的網(wǎng)絡(luò )安全威脅，防御方面臨著(zhù)諸多嚴峻挑戰。對于中小企業(yè)而言更是如此。

　　首先，技術(shù)的迅速發(fā)展使得防御方難以跟上攻擊者的步伐，因為攻擊者通常能夠快速適應新的防御手段，這就要求防御方不斷進(jìn)行技術(shù)創(chuàng )新和研究。其次，大數據時(shí)代下，處理和分析海量數據成為一項艱巨任務(wù)，如何在繁多數據中精準識別威脅是亟待解決的問(wèn)題。再者，高素質(zhì)人才的匱乏也制約了AI技術(shù)在網(wǎng)絡(luò )安全領(lǐng)域的應用，當前的人才儲備遠遠不能滿(mǎn)足日益增長(cháng)的需求。

　　針對中小企業(yè)的需求，思科推出了AI下一代防火墻Firepower 1010/1010E，這款桌面級的下一代防火墻采用了基于人工智能的智能管理和七層安全防護技術(shù)，可以在不解密加密流量的情況下對其進(jìn)行深入分析，檢測每個(gè)應用程序，并標記和阻止惡意軟件，同時(shí)還提供漏洞防護功能。

　　該防火墻整合了多項可擴展的功能，包括基于威脅情報Talos的高級威脅防御、基于信譽(yù)地址庫URL過(guò)濾、與威脅情報系統Talos聯(lián)動(dòng)的惡意軟件防護、應用控制以及安全VPN遠程連接等。用戶(hù)可以通過(guò)簡(jiǎn)單易懂的中文界面進(jìn)行操作，并且提供策略推薦功能，幫助用戶(hù)輕松管理網(wǎng)絡(luò )運維。

　　另外，該防火墻還提供了多種管理模式可供選擇，包括本地硬件集中管理控制中心、云端SaaS集中管理控制中心以及防火墻本地Web頁(yè)面直連管理。全新升級的思科AI下一代防火墻Firepower系列還免費提供了SD-WAN功能，讓企業(yè)能夠輕松組建企業(yè)安全專(zhuān)網(wǎng)，保障業(yè)務(wù)安全可持續。

　　用”魔法“才能打敗”魔法“，隨著(zhù)AI技術(shù)帶來(lái)的攻擊模式進(jìn)化，更快、更強、更精準的攻擊不斷涌現，使用AI來(lái)升級防御手段，已經(jīng)成為企業(yè)的必答題。

　　結語(yǔ):

　　在安全行業(yè)，生成式AI變革的潛力已經(jīng)開(kāi)始展現。安全解決方案提供商思科已經(jīng)將包括生成式AI在內的許多AI新技術(shù)應用于自己的解決方案當中，在實(shí)踐中也幫助用戶(hù)提高了安全運維效率和檢測效率。‘跑得更快’不僅僅只是思科的一個(gè)理念，它已經(jīng)逐漸成為現實(shí)。