信息來源：比特網

        二戰(zhàn)時期，為防備德國人的突然入侵，法國人在德法邊界上修筑了著名的馬奇諾防線，整條防線工程龐大，全部由鋼筋混凝土建造而成，十分堅固。而后卻是由于德國人繞過了其正面，通過阿登山脈，從馬奇諾防線左翼迂回，占領了法國北部，接著進抵馬奇諾防線的后方，使防線喪失了作用。

數字世界里的“馬奇諾”

        如今，在數字世界里的邊界防御與馬奇諾防線有著驚人的相似，在傳統防御體系中，邊界防御同樣占有著非常重要的地位，它能夠看到一個企業(yè)進出雙向的所有流量，還有條件執(zhí)行全局的控制，當外部威脅進入企業(yè)的時候，邊界防御是第一道防線，在發(fā)生泄漏時，也是最后一道防線。

        然而黑客的攻擊手法越來越隱蔽復雜，可以隱藏在業(yè)務必須的應用中，讓應用成為攻擊的載體，也可以通過復合多種手段來發(fā)動攻擊，其復雜性和隱蔽性讓人防不勝防。

        另外，傳統的邊界防御由于各產品之間都是各自為戰(zhàn)，形成了一個個的孤島，在今天主要是以高級威脅、未知威脅為新安全挑戰(zhàn)的網絡環(huán)境中，“邊界防御已死”成為了業(yè)界很多人的看法。

        真正的馬奇諾防線已經成為歷史，而數字世界的“馬奇諾”卻有機會重構。360企業(yè)安全集團副總裁王偉認為，邊界防御依然占據重要的地位。在當前的網絡安全環(huán)境下，邊界防御發(fā)展受限的根本原因是防御的思想出現了問題，如果我們能放棄傳統邊界防御的“銀彈思維”，那么邊界防御依然是有效的，它能夠重新煥發(fā)青春，成為新時代網絡安全體系中的新英雄。

新邊界防御讓數字世界“馬奇諾”起死回生

        重構數字世界的“馬奇諾”需要新邊界防御思想，王偉對新邊界防御的定位提出了兩個關鍵點，一是以消耗攻擊者的資源，加大攻擊的難度，抬高攻擊者的成本為核心，甚至直接讓一些小的攻擊者退避三舍。二是融入到“積極防御體系”中去。

消耗攻擊者的資源

        王偉提到，“消耗攻擊者的資源可以從兩個方面來做，鞏固城防、建立塔防。鞏固城防就是增強邊界防御產品本身自主的防御能力，建立塔防就是導向縱深防御的巷戰(zhàn)?！?/span>

        當傳統防火墻升級為下一代防火墻之后，它開始煥發(fā)出新的能力，如應用識別、用戶識別、內容識別、威脅識別、資產識別、位置識別等能力，這些手段都是提升防火墻內在的安全能力，可以看作加高城墻和鞏固城防。除了城防能力的提升，我們還可以圍繞城防體系再建立相應的塔防體系，也就是說我們可以圍繞著下一代防火墻來構建一個新的消耗攻擊者資源的巷戰(zhàn)體系。

        比如，與端點安全產品形成信息聯動，可以提供惡意文件、未識別應用的行為分析，將可疑樣本還原出來送到部署在本地的沙箱和云端的沙箱可以為我們提供檢測的能力，接收安全云提供的威脅情報可以精準發(fā)現失陷資產，私有安全云可以提供本地數據的檢測，為安全提供流量數據還可以進一步關聯多維數據進行行為異常發(fā)現，這些都是一個個的巷戰(zhàn)場景。通過城防與塔防的配合，可以幫助企業(yè)及早發(fā)現威脅，在損失發(fā)生前加以阻擊，讓攻擊者乘興而來，掃興而去，這也是能夠降低攻擊成功概率的有效手段。

融入積極防御體系

        融入積極防御體系也是新邊界防御的重要一點。SANS學院提出了網絡空間安全的滑動窗口模型，見下圖。

        傳統的邊界防御是以基礎架構安全、被動防御為指導，而新邊界防御則應該是在此基礎上疊加演進，補充積極防御和情報驅動的思想來指導。

        “我們可以通過下一代防火墻的數據透視能力做兩件事，一是為積極防御提供數據支撐，二是為積極防御提供精細控制的能力?！?王偉提醒到，企業(yè)在選型邊界防御產品的時候，一定要考慮到邊界防御的產品和方案是否具備這樣的能力，是否具備這樣的指導思想。

        360新一代智慧防火墻擁有增強的下一代防火墻復雜環(huán)境組網、深度應用識別、精細化訪問控制以及高性能應用層威脅防御能力，并且新增了以NDR模型為基礎的“智慧”特性，超越性地集成了威脅情報、異常行為分析、安全可視化等新一代安全技術。通過與終端安全管理系統、云端威脅情報中心、沙箱檢測系統實現智能化的協同聯動，可以幫助企業(yè)用戶在網絡邊界真正的重構數字世界的“馬奇諾”，建立安全大數據驅動的動態(tài)自適應、積極的防御體系。

        王偉最后表示，“新邊界防御思想通過消耗攻擊者的資源，融入積極防御體系進一步鞏固了企業(yè)的安全對抗能力。在目前的安全威脅演進階段，新邊界防御應該能夠很好地保護企業(yè)的網絡邊界，為企業(yè)新的網絡安全防御體系做出積極貢獻。”