实战案例|Z系列防火墙+边缘威胁情报的硬核之战

Check Point Research (CPR) 于新年伊始发布了2022年网络攻击趋势的报告，数据显示，2022年全球网络攻击增长达38%，四季度全球网络攻击数量达历史新高，每个机构平均每周遭受1,168次攻击。2022年遭受网络攻击最多的三个行业分别是教育/研究、政府和医疗。

2023年2月，锐捷联手腾讯安全推出融合边缘威胁情报功能的防火墙，锐捷新一代Z系列防火墙与腾讯安全强大的威胁情报能力深度集成。在面对未知威胁迭代演化的战场上主动出击，自上线以来，为各行业客户打赢一场场抵御威胁的硬核胜战。

融合边缘威胁情报功能的防火墙与传统防火墙在实际应用中有何不同？它为何能提前发现未知威胁？如何帮助客户跑赢攻击、精准防御？今天让我们一起来看看它在教育行业实际应用中的进击之路。

01 分析：传统的“防” 

在案例中可以了解到，客户此前有部署网络安全设备。但为何传统防火墙对新型网络攻击仍然缺乏防护手段，同时存在外溢风险？

出站方向的精准检测和本地直接阻断是防治出站安全的关键。传统防火墙的威胁情报库放置于云端，当检测到有风险的域名解析时会上传至云端进行校验，但云查需要一定时间。为保证业务优先，传统防火墙会先放行DNS解析，然后再上传至云端校验。然而，在返回结果到阻断的过程中，有风险的通信流量早已外溢到互联网。另一方面，丰富的情报来源和具备调优技术等实力的防火墙也是实现精准检测的关键因素。

02 实战：边缘威胁情报核心优势

基于威胁情报与安全设备集成协同的重要性，锐捷与腾讯安全携手进行了情报引擎实战化应用的深入探索。锐捷的新一代Z系列防火墙具备精细化的安全策略，提供下一代防火墙的强大安全防护能力。锐捷于业内率先把威胁情报通过本地SDK方式与现有安全设备集成，让客户网络边界具备了较强的出站安全检测和阻断能力。

快：快速检测、实时阻断

威胁情报通过被集成方式实现云端情报数据在用户本地下沉。检测出风险域名时，无需上传云端，于本地对网络流量和终端进行实时检测、分析，节省上传云端及回传时间，实时本地检测与阻断，从根源上解决外溢风险。

准：精准识别

在案例中可以了解到，客户在部署设备后半小时内即发现了大量潜在病毒。Z系列防火墙凭借边缘威胁情报功能，同时与防病毒、IPS等多款功能模块配合验证，精准发现并及时切断病毒与控制主机的回连通信。

腾讯安全打造了具备基础情报能力、攻击面情报能力和业务风险情报能力的威胁情报中心TIX。就数据采集的全面性和丰富度来看，腾讯在国内位居前列。锐捷与腾讯安全深度合作，对情报库进行日更及触发式更新，同时利用AI赋能，提升动态变种的DGA域名检出率，使情报库及时更新，实现精准防控。

狠：精确定位溯源至主机

防火墙协助客户分析安全日志，找到对应IP主机进行杀毒验证。在案例中，与客户公司部署的BDS、SMP关联分析，快速溯源锁定到人。对于校园网无线认证，通过安全事件中的时间戳+IP地址在SAM中找到对应账号责任人，真正做到了中毒主机的问题溯源，提高客户对问题终端进行安全处置的效率。

在被集成的场景能力上，腾讯安全还在四大场景中给予锐捷网络“腾讯级”技术能力支持：边界防护，入侵风险阻断场景；流量检测，失陷主机发现场景；安全运营，威胁事件分析场景；威胁管理，情报数据运营场景。

03 客户价值：让威胁无所遁形

上线至今，Z系列防火墙+边缘威胁情报的安全防范效果立竿见影。快速检测、实时阻断帮助客户成功摆脱被攻击及威胁外溢的困扰，丰富的多情源帮助客户转“守”为“攻”，精准溯源功能协助客户快速定位中毒潜伏主机，解决安全隐患。

近年来，国内网络安全威胁事件加速攀升，严峻复杂程度异常突出。企业安全建设面临的形势环境变化之快、风险挑战之多前所未有。在安全常态化、实战化的今天，企业更需要转变防守思路，打造真正意义上的主动纵深防御体系。