當前絕大多數(shù)企業(yè)都部署有防火墻設備，然而如何利用好這些安全防護設備卻并非全部企業(yè)都擅長的。因此選擇什么樣的防火墻設備，來強化企業(yè)對自身網(wǎng)絡安全防護的把控就顯得相當關(guān)鍵了。而未來防火墻則正向可視化、智能化、軟件化上演進。

[[232732]]

一、傳統(tǒng)防火墻大幅滯后

防火墻是一種位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的安全防護系統(tǒng)，往往會依照特定的規(guī)則，防止非法訪問或限制傳輸?shù)臄?shù)據(jù)通過，來確保內(nèi)部網(wǎng)絡不遭受惡意攻擊。其中傳統(tǒng)的硬件防火墻是指采用狀態(tài)檢測機制、集成VPN、支持橋/路由/NAT等工作模式的作用在2-4層的訪問控制設備。

防火墻部署拓撲

然而時至今日，傳統(tǒng)的硬件防火墻已無法跟上目前網(wǎng)絡威脅的進化速度。由于網(wǎng)絡威脅和網(wǎng)絡犯罪的進化速度非常快，企業(yè)IT團隊在監(jiān)控流量方面的阻力重重，常常導致無法及時發(fā)現(xiàn)威脅。有調(diào)查發(fā)現(xiàn)，從全球范圍來看，70%的企業(yè)網(wǎng)絡流量未被有效監(jiān)管，而一些傳統(tǒng)防火墻背后甚至隱藏著可怕的“后門”。

不斷變化的網(wǎng)絡攻擊令傳統(tǒng)防火墻能力大幅滯后

即便如此，僅亞太區(qū)2017年企業(yè)防火墻的市場規(guī)模也達到了31億美元，預計到2023年更可達到60.2億美元規(guī)模。防火墻作為企業(yè)網(wǎng)絡防護關(guān)鍵組件的重要性可見一斑。

二、防火墻演進三大方向

1. 防火墻可視化關(guān)鍵

目前簡單的安全規(guī)則、端口和協(xié)議過濾已無法滿足威脅防御的需求，由此傳統(tǒng)防火墻已逐步向下一代防火墻演進。而部署下一代防護墻的目的是能夠抵御諸如WannaCry等集中出現(xiàn)的威脅，不過這些威脅依然能夠爆發(fā)至全球規(guī)模，拿到訪問權(quán)限，并通過公司網(wǎng)絡傳播，顯然就是個大問題了。

引發(fā)此類問題凸顯出一個難以接受的事實，那就是下一代防火墻經(jīng)常單打獨斗，無法形成集群作戰(zhàn)的效果。因此，部署防火墻的企業(yè)通常還需要單獨配置防火墻規(guī)則、應用控制、TLS檢驗、沙盒機制、網(wǎng)絡過濾、殺毒和IPS。此外，IT決策者在采購防火墻時還應尋找可提供簡易和可行的可視度的整合系統(tǒng)。

對于企業(yè)來說，最有效的系統(tǒng)是能夠識別未知應用和協(xié)同工作的同步系統(tǒng)，以便提供對網(wǎng)絡中所有流量的可視化和可控性。

2. 防火墻智能化保障

雖然下一代防火墻被定義為是一種深度包檢測防火墻，超越了基于端口、協(xié)議的檢測和阻斷，更增加了應用層的檢測和入侵防護了。不僅具備傳統(tǒng)防火墻的功能，還具備應對綜合威脅的發(fā)現(xiàn)能力、阻斷能力，并不是簡單的功能堆砌和性能疊加，而是從全局視角，幫助用戶解決網(wǎng)絡面臨的實際問題。

但實際上，下一代防火墻卻有下述三方面局限：

• 以本地規(guī)則庫為核心，無法全面檢測已知威脅;
• 缺乏數(shù)據(jù)智能，無法感知未知威脅;
• 沒有協(xié)同防御機制，依然在用單機的、私有的思路來解決網(wǎng)絡的、公有的威脅。

因此，面對數(shù)據(jù)及隱藏其中的各種威脅，防火墻不能再孤軍作戰(zhàn)，而是需要借助AI(人工智能)建立起協(xié)同防御的安全體系，并依托于持續(xù)更新的威脅情報的技術(shù)能力，持續(xù)提升自身提升發(fā)現(xiàn)和響應高級威脅的能力，從而在邊界上成為一個智能化的防火墻，為企業(yè)對抗各種安全威脅提供更好的防護平臺。

3. 防火墻軟件化態(tài)勢

進入云計算時代，面對如多租戶混合部署，多應用混合部署，虛擬機(容器)規(guī)模體量極大，資源按需分配，邏輯架構(gòu)與物理架構(gòu)無關(guān)等安全需求。硬件防火墻的效果勢必將捉襟見肘，甚至到無處安放的地步。

然而即便傳統(tǒng)基因的防火墻在云環(huán)境中已無用武之地，但用戶面對APT攻擊、勒索病毒，以及多租戶、多應用的混合部署，都需要云平臺提供有效的隔離防護才行。因此，可以接駁威脅情報系統(tǒng)和云端可視化分析，支持云內(nèi)虛擬化動態(tài)邊界安全防護，更可借助互聯(lián)網(wǎng)安全大數(shù)據(jù)來準確定位攻擊源頭的軟件定義防火墻成為未來防火墻設備演進的目標。

這就需要顛覆傳統(tǒng)物理隔離網(wǎng)絡架構(gòu)，在防火墻策略的保護下，使用全網(wǎng)邏輯隔離構(gòu)建出全新網(wǎng)絡，并對安全區(qū)域重新定義劃分，甚至可通過軟件定義出防火墻陣列，來把控企業(yè)網(wǎng)絡流量。

三、結(jié)語

未來，防火墻向上述三大方向發(fā)力不可避免，而防火墻在演進過程中也必須集成并具備與其他系統(tǒng)協(xié)同工作的能力才能最終強化網(wǎng)絡管控。