派拓网络下一代机器学习防火墙-解决网络安全之道

2020年6月派拓网络推出全球首款基于机器学习技术的下一代防火墙PAN-OS 10.0，在面对不断变化的网络安全挑战交出的最新答卷，也是践行对客户承诺的又一里程碑。为了深入解读此次产品发布的重大意义，并解读多项产品亮点，派拓网络在本周举办在线媒体交流活动。

本次活动邀请到派拓网络大中华区总裁陈文俊先生，派拓网络中国区商业市场技术总监张晨女士出席本次在线活动，发表演讲，并就派拓新防火墙的技术解决方案进行在线解答。

派拓网络中国区商业市场技术总监张晨，针对PAN-OS的本地防御做了详细的介绍。

首先为什么要将机器学习技术嵌入到我们下一代防火墙平台上，它的便利性是什么？这样能给客户带来一些什么样的价值？

随着数字化生活不断推进，生存环境也发生了很大变化，一方面从攻击者来讲，他们能够以更加低廉的成本和更短的时间发起很强大的攻击，并且攻击的形式和形态是多种多样的，这样的话给我们的客户带来的时间窗口就非常短，也就是说需要在非常短的时间窗口之内必须要对攻击进行应对和响应，否则企业网络可能在短时间内就会受到大面积的攻击和感染，有时候这个攻击也是非常有针对性的，靠人的分析可能没有办法及时察觉到。

另外，随着数字化生活的推进，我们在互联网上也会看到越来越多的新型的智能设备，或者企业里面很多数控机床这种数字化设备的使用，在整个互联网上我们看到这种物联网的设备，就是IOT的设备数量在不断激增。因此在这些设备上，由于它的安全漏洞，或者由于对这些设备网络一些不恰当的安全配置带来的安全隐患，从成为我们整个在信息安全领域另外一个重大的薄弱点。

在这两种形势下，实际上我们看到我们的客户所受到的攻击面在不断增大，已经从传统网络和传统数据中心演变到了多态的方式。这里面有我们刚才提到的IOT环境，也有可能企业比如说会在应用开发上，应用很多进化的架构等等。这些新型的IT架构或者说终端形态都会让我们的安全变得更加复杂。

我们在想怎么样能够让客户更加从容的去应对这样一个安全攻击的形势，能够让其在非常短的时间就能够快速、准确的对攻击进行检测、分析甚至是阻断，这个就应运而生了我们派拓网络下一代防火墙最新的版本，就是10.0版本。我们希望客户在这个防火墙平台本身能够处理大量的安全威胁分析，不用一切都存到云端进行分析。因此这个10.0正是基于这样一个考虑，我们也是首次将机器学习技术应用到了下一代防火墙的技术上。并且在这个版本推出的时候我们还有70多项其他功能的增强和不断的提升，在后面我会给大家进行一个介绍。

我们现在看一下，我们把机器学习应用到下一代防火墙上，其实可以从几个方面、几个维度去理解，首先机器学习的模型从哪里来？可能大家有兴趣会问到这个问题，机器学习的模型是基于派拓网络多年的安全大数据的积累和经营，我们是从真实的用户提交的数据和样本中来进行分析，分析之后这就形成了一种安全大数据，这个安全大数据经过这十几年的分析、积累和自我学习优化，它已经形成了一个非常高效和精准的对于安全攻击威胁分析的模型，我们把这个模型应用在、部署在我们下一代防火墙平台上，就可以完成对大量常见文件的分析，并且能够快速的针对这些安全威胁推出相关的安全策略。

另外，派拓网络在物联网这块，当前物联网现在发展的很快，对于很多物联网实际上已经是很多企业在OT网络上主要的组成部分，在PAN-OS新的平台上也利用了机器学习技术能够快速的定位和识别物联网设备，进而发现物联网设备的网络中是不是有异常的网络行为在发生，如果有的话，我们也可以对这样的设备进行相应的安全策略的强制。这一部分都会把我们的机器学习技术进行无限的延展，使得我们企业IT和OT网络都会在一个平台上进行管理。

从实施防御的角度来讲，在防火墙平台上应用了机器学习技术以后，我们也可以对大量的常见、日常的定制攻击这样的恶意软件，比如说像可执行脚本，像一些钓鱼攻击，像JavaScript，我们都可以在我们的防火墙平台本地进行分析和处理，这样真正可以达到几乎是零延时的新型的防火墙能力，也可以让我们的客户实时获得安全防护的能力。同时这样的技术有很广泛的客户使用基础，全球所有派拓网络的客户都可以通过我们在平台上进行版本升级，能够速度体验一下我们这个最新版本的强大。

针对于2020年上半年僵尸网络攻击主要方式是DDoS，其占比达到98%，新型的防火墙如何解决DDoS攻击？

派拓网络中国区商业市场技术总监张晨，也对于本网记者的提问了解答：

派拓这次利用机器学习技术推出的最新版本，它可以在线处理我们能够看到的非常主流的几大类的攻击文件，举几个例子来讲，比如可执行的脚本，比如JavaScript，比如PowerShell ，还有比如最常见的像钓鱼类的攻击和一些Web类攻击。这些在我们后台安全大数据的统计可以看到他们已经占到了95%以上的攻击，每天提交的数量。因此对这样的攻击进行相应的在线处理，就可以大大缓解客户后台提交的数据量，而且也让我们防火墙硬件平台和客户本地这个地方发挥最大的时效性，因为他可以在线时时的基于我们机器学习的模型来进行一个分析，分析之后我们就会对提交上来的这个攻击进行时时的处置，因此它的效率是非常高的。

同样，实际上我们只要说现在这种僵尸网络，当然DDoS可能还会用到网络流量的攻击。结合我们本身在Kubernetes里已经有了DDoS的一些防护能力，再结合我们最新的机器学习技术的应用，实际上我们说现在我们看到的有效性已经可以针对95%以上客户提交上来的攻击样本进行分析和时时处置了。

PAN-OS 10.0版本已于7月中旬推出，现有Palo Alto Networks(派拓网络)客户可持有效支持合同升级使用。