在企業(yè)網(wǎng)絡(luò)安全建設(shè)中，部署防火墻系統(tǒng)仍然是最基礎(chǔ)的防護(hù)手段之一。隨著企業(yè)組織數(shù)字化業(yè)務(wù)轉(zhuǎn)型的加快，網(wǎng)絡(luò)安全人員認(rèn)識(shí)到傳統(tǒng)的網(wǎng)絡(luò)防火墻系統(tǒng)需要一些新的轉(zhuǎn)變，才能跟上企業(yè)應(yīng)用需求的發(fā)展：

• 敏捷性要求，網(wǎng)絡(luò)安全防護(hù)需要能夠與數(shù)字化業(yè)務(wù)加快的步伐保持同步；
• 靈活性要求，防火墻系統(tǒng)需要在不同的場(chǎng)景（公共云、私有云、混合云）中進(jìn)行部署，并根據(jù)需要將安全防護(hù)擴(kuò)展到組織網(wǎng)絡(luò)系統(tǒng)的內(nèi)外部；
• 可擴(kuò)展要求，防火墻需要根據(jù)需要增刪安全服務(wù)，同時(shí)要能夠快速添加新服務(wù)。

鑒于所有企業(yè)面臨的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)越來越大，應(yīng)用更智能化的防火墻系統(tǒng)的需求也越來越大，對(duì)防火墻產(chǎn)品能力的要求也越來越高。隨著網(wǎng)絡(luò)泛在化的發(fā)展，防火墻將來不僅只部署在網(wǎng)絡(luò)的邊界，需要防護(hù)的對(duì)象還可以不斷擴(kuò)大。企業(yè)需要盡快將傳統(tǒng)的內(nèi)部防火墻，進(jìn)行現(xiàn)代化的升級(jí)改造，部署更加先進(jìn)的網(wǎng)絡(luò)版防火墻系統(tǒng)。

日前，安全研究人員總結(jié)了保障新一代網(wǎng)絡(luò)防火墻系統(tǒng)可用性的三個(gè)關(guān)鍵要素：

虛擬化能力

今天的網(wǎng)絡(luò)防火墻系統(tǒng)，既需要傳統(tǒng)物理防火墻才具備的應(yīng)用方式，同時(shí)也需要融合虛擬化技術(shù)帶來的靈活性。虛擬化技術(shù)消除了傳統(tǒng)硬件部署的復(fù)雜性、高成本和架構(gòu)風(fēng)險(xiǎn)，同時(shí)為可以幫助企業(yè)簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)。

通過虛擬化，可以給網(wǎng)絡(luò)防火墻帶來以下優(yōu)點(diǎn)：

• 可擴(kuò)展性：可以根據(jù)日常變化輕松快速地加強(qiáng)檢查能力。
• 敏捷性：通過一個(gè)按鈕就可以靈活添加帶寬容量。
• 靈活部署：可以支持從本地、混合（本地和云）、公共云到私有云的眾多部署模式。
• 部署成本低：如果企業(yè)采用訂閱模式按使用付費(fèi)，可以將設(shè)備成本支出變成安全運(yùn)營(yíng)支出，僅為所需的資源付費(fèi)。

自動(dòng)化能力

如果我們要實(shí)現(xiàn)網(wǎng)絡(luò)防火墻應(yīng)用的虛擬化，將面臨一定的工程化任務(wù)挑戰(zhàn)。將防火墻應(yīng)用虛擬化需要專業(yè)的工程知識(shí)和一定的時(shí)間投入。這種虛擬化項(xiàng)目的主要階段包括如下：

• 配置和優(yōu)化虛擬化管理軟件
• 啟動(dòng)和初始配置下一代防火墻（NGFW）虛擬機(jī)
• 集成多家防火墻供應(yīng)商的軟件許可
• 健康檢查機(jī)制
• 維護(hù)平臺(tái)

由此可見，為了實(shí)現(xiàn)防火墻的虛擬化，需要盡可能將各種安全任務(wù)實(shí)現(xiàn)自動(dòng)化，我們就能獲得速度、可擴(kuò)展性和可靠性。自動(dòng)化會(huì)大大簡(jiǎn)化防火墻的工作流程，并改善了一致性和準(zhǔn)確性。在實(shí)施自動(dòng)化后，我們會(huì)開始看到以下能力提升：

• 更簡(jiǎn)單、集中式、更輕松地管理各種安全任務(wù)和操作
• 更快速地提供新服務(wù)和新功能
• 動(dòng)態(tài)快速地改變網(wǎng)絡(luò)防火墻容量

智能編排能力

將傳統(tǒng)物理防火墻變成虛擬防火墻是一個(gè)巨大的挑戰(zhàn)，盡管自動(dòng)化技術(shù)能夠幫助企業(yè)應(yīng)對(duì)這種挑戰(zhàn)，但是DevOps和DevSecOps仍需要扎實(shí)的專業(yè)知識(shí)和大量投入。對(duì)自動(dòng)化應(yīng)用實(shí)現(xiàn)真正影響重大的是智能編排（Intelligent Orchestration）。編排允許流程在沒有人工干預(yù)的情況下順暢運(yùn)轉(zhuǎn)，其核心是在合適的時(shí)間啟動(dòng)合適的工作流程（使用合適的參數(shù)）。這種強(qiáng)大的工具便于呈現(xiàn)和控制網(wǎng)絡(luò)防火墻更有效的運(yùn)行工作，包括：

• 簡(jiǎn)化復(fù)雜操作：它可以自動(dòng)管理內(nèi)部虛擬防火墻從部署、擴(kuò)展到優(yōu)化的整個(gè)生命周期。
• 優(yōu)化資源分配：可以針對(duì)網(wǎng)絡(luò)吞吐量和安全性要求自動(dòng)提升虛擬防火墻性能，并隨時(shí)了解不斷更新的資源利用率情況。智能編排中的智能不僅代表著用戶需要做什么，還能根據(jù)用戶環(huán)境的要求執(zhí)行用戶需要它執(zhí)行的操作。
• 洞察所有系統(tǒng)：全面顯示系統(tǒng)的總體健康狀況、服務(wù)器資源分配、虛擬機(jī)和網(wǎng)絡(luò)利用率，將所有可用的資源作為一個(gè)整體加以洞察。這使得IT團(tuán)隊(duì)能夠跨多個(gè)平臺(tái)自動(dòng)處理安全運(yùn)維任務(wù)，使團(tuán)隊(duì)可以更靈活地應(yīng)對(duì)安全形勢(shì)發(fā)展變化。

結(jié)語(yǔ)

虛擬化、自動(dòng)化和智能編排這三個(gè)關(guān)鍵要素將使組織的網(wǎng)絡(luò)安全能力跟上數(shù)字化業(yè)務(wù)發(fā)展的步伐。因?yàn)檫@些要素提供了新一代網(wǎng)絡(luò)防火墻所必需的速度和簡(jiǎn)潔性，從而有能力應(yīng)對(duì)不斷變化的情形。結(jié)合虛擬化、自動(dòng)化和智能編排，組織就能實(shí)現(xiàn)防火墻能力的云化，大大縮短防火墻部署時(shí)間。組織可以借助簡(jiǎn)單的單一用戶界面和零接觸操作，管理內(nèi)部虛擬防火墻的可用性和實(shí)用性，從而以正確的方式實(shí)現(xiàn)防火墻應(yīng)用現(xiàn)代化。