防火墻即服務(wù)（FWaaS）是一種多功能防火墻產(chǎn)品，并作為一項(xiàng)基于云的服務(wù)來提供。通過利用集中策略管理、多企業(yè)防火墻特性和流量隧道等技術(shù)，F(xiàn)WaaS將下一代防火墻（NGFW）的核心功能部分或全部轉(zhuǎn)移到云上，并且提供更簡(jiǎn)單、更靈活的部署架構(gòu)。

近年來，F(xiàn)WaaS已在政府、運(yùn)營(yíng)商、醫(yī)療、制造、能源與公用事業(yè)等眾多行業(yè)中廣泛應(yīng)用。而隨著云計(jì)算應(yīng)用的不斷發(fā)展，會(huì)有更多企業(yè)組織采用FWaaS來保護(hù)其云上的應(yīng)用和數(shù)據(jù)。然而，F(xiàn)WaaS方案在給企業(yè)帶來便利的同時(shí)，也會(huì)面臨云上應(yīng)用程序快速增長(zhǎng)、公共云數(shù)據(jù)泄露激增以及防火墻協(xié)議不斷變化等因素的制約和影響。此外，在一些不發(fā)達(dá)地區(qū)，不完善的IT基礎(chǔ)架構(gòu)也會(huì)阻礙用戶獲得滿意的FWaaS服務(wù)。

FWaaS的應(yīng)用價(jià)值

相比傳統(tǒng)的防火墻產(chǎn)品，F(xiàn)WaaS可以將防火墻保護(hù)功能添加到一個(gè)更廣泛的虛擬網(wǎng)絡(luò)空間，從而保護(hù)更多的組件和應(yīng)用。在實(shí)際應(yīng)用中，F(xiàn)WaaS的應(yīng)用價(jià)值主要體現(xiàn)在以下方面：

1、更高性能的安全防護(hù)

FWaaS能夠與云系統(tǒng)和虛擬網(wǎng)絡(luò)無縫整合，能夠在保護(hù)業(yè)務(wù)和數(shù)據(jù)的同時(shí)，確保安全工作并未妨礙業(yè)務(wù)運(yùn)營(yíng)，這樣可以幫助企業(yè)更安全地發(fā)展和變革。這使組織能夠保持敏捷性，并為員工和客戶提供一流的數(shù)字化業(yè)務(wù)體驗(yàn)和服務(wù)。

2、靈活地云擴(kuò)展

隨著組織不斷發(fā)展，安全也需要跟上。FWaaS消除了企業(yè)數(shù)字化擴(kuò)展過程中安全能力不足的擔(dān)憂，因?yàn)镕WaaS的服務(wù)能力可以根據(jù)用戶需求輕松擴(kuò)展。這種靈活性確保了強(qiáng)大的安全性，幫助企業(yè)專注于業(yè)務(wù)目標(biāo)。

3、全面覆蓋和控制

在不同地方保持一致的安全是一項(xiàng)挑戰(zhàn)。FWaaS使組織能夠集中控制大型虛擬環(huán)境。無論運(yùn)營(yíng)范圍如何，貴組織都可以從一個(gè)地方管理和執(zhí)行安全策略。無論數(shù)據(jù)在哪里，這種全面覆蓋和控制能力，確保了企業(yè)獲得真正有效的安全措施。

4、支持現(xiàn)代網(wǎng)絡(luò)架構(gòu)

FWaaS可以與現(xiàn)代網(wǎng)絡(luò)系統(tǒng)順利整合，支持最新的技術(shù)和協(xié)議，擴(kuò)展了網(wǎng)絡(luò)安全的定義。企業(yè)業(yè)務(wù)無論是遷移到微服務(wù)還是探索邊緣計(jì)算，F(xiàn)WaaS都能靈活適應(yīng)，確保適應(yīng)未來的強(qiáng)大安全性。

5、簡(jiǎn)化地網(wǎng)絡(luò)架構(gòu)

FWaaS不需要在本地部署安全設(shè)備，能夠幫助企業(yè)簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)和安全，消除了招致漏洞的混亂和迥異設(shè)置。這種簡(jiǎn)單直觀的方法不僅增強(qiáng)了企業(yè)的安全性，還減輕了安全人員的管理負(fù)擔(dān)。

6、精簡(jiǎn)策略執(zhí)行

FWaaS采用分布式網(wǎng)絡(luò)自動(dòng)執(zhí)行策略，可以確保防護(hù)措施的一致性，在降低風(fēng)險(xiǎn)的同時(shí)，提高了敏捷性，還能夠更好地滿足合規(guī)要求。由于不需要本地安全解決方案，它還可以在組織內(nèi)更廣泛地部署各種安全能力，比如入侵檢測(cè)、Web應(yīng)用程序防火墻以及數(shù)據(jù)丟失防護(hù)。

7、提高網(wǎng)絡(luò)可見性

FWaaS通過更廣泛地了解流量模式、潛在威脅和異常情況來提高網(wǎng)絡(luò)可見性。更好的可見性意味著可以更快地檢測(cè)和響應(yīng)可疑活動(dòng)，從而潛在地防止小的安全事件演變成大的事件。

8、增強(qiáng)可靠性

FWaaS具有更高的洞察威脅和漏洞檢測(cè)的能力，因此可以幫助企業(yè)提升網(wǎng)絡(luò)運(yùn)營(yíng)的可靠性。這些主動(dòng)地安全保護(hù)措施能夠降低網(wǎng)絡(luò)系統(tǒng)中斷的隱患。

CVSS的漏洞評(píng)價(jià)機(jī)制

雖然FWaaS具有以上諸多優(yōu)點(diǎn)，但是也同樣存在很多應(yīng)用的限制和挑戰(zhàn)。企業(yè)在選型FWaaS方案時(shí)，要充分考慮自己的安全需求和現(xiàn)有基礎(chǔ)設(shè)施環(huán)境。企業(yè)在評(píng)估FWaaS優(yōu)點(diǎn)的同時(shí)，也要充分了解FWaaS應(yīng)用中可能存在的挑戰(zhàn)：

1、依賴互聯(lián)網(wǎng)連接

FWaaS高效工作嚴(yán)重依賴穩(wěn)定的互聯(lián)網(wǎng)連接。如果企業(yè)目前還存在互聯(lián)網(wǎng)連接中斷或被限速等情況時(shí)，F(xiàn)WaaS提供的網(wǎng)絡(luò)安全能力就會(huì)受到影響。

2、定制化能力不足

與傳統(tǒng)的本地防火墻不同，F(xiàn)WaaS在定制服務(wù)時(shí)會(huì)存在很多限制。如果組織有較多特定的安全要求時(shí)，就不太適合選用FWaaS，因?yàn)轭A(yù)定義的安全設(shè)置會(huì)與組織的需求不一致，這樣將影響到企業(yè)獲得期望的保護(hù)效果。

3、數(shù)據(jù)隱私問題

FWaaS使用第三方云服務(wù)器來傳輸網(wǎng)絡(luò)流量，這會(huì)引發(fā)部分企業(yè)對(duì)數(shù)據(jù)隱私和合規(guī)方面的擔(dān)憂。處理敏感數(shù)據(jù)的組織可能會(huì)因潛在的數(shù)據(jù)泄露和合規(guī)要求而猶豫不決。因?yàn)楫?dāng)數(shù)據(jù)在組織外部進(jìn)行處理時(shí)，數(shù)據(jù)保護(hù)會(huì)變得更復(fù)雜，此時(shí)需要認(rèn)真評(píng)估FWaaS提供商的數(shù)據(jù)處理實(shí)踐。

4、供應(yīng)商的可靠性

FWaaS的應(yīng)用效果很大程度上取決于所選供應(yīng)商的服務(wù)能力和可靠性。停運(yùn)時(shí)間、技術(shù)故障或突發(fā)性安全事件都可能危及企業(yè)網(wǎng)絡(luò)安全的穩(wěn)定性。審查FWaaS供應(yīng)商的近期市場(chǎng)表現(xiàn)和安全措施對(duì)于減小這類風(fēng)險(xiǎn)至關(guān)重要。

5、初始服務(wù)配置較復(fù)雜

實(shí)施FWaaS方案通常會(huì)需要修改現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)和配置。這個(gè)初始配置的過程可能很棘手，需要更改網(wǎng)絡(luò)路由并與當(dāng)前安全措施整合，這種復(fù)雜性可能導(dǎo)致一段較長(zhǎng)時(shí)間的服務(wù)中斷。

6、持續(xù)地成本

FWaaS消除了前期硬件設(shè)備的購(gòu)買費(fèi)用，但同時(shí)也帶來了基于訂閱的持續(xù)成本。隨著時(shí)間的積累，這些成本可能會(huì)超過傳統(tǒng)防火墻方面的投入。組織必須綜合考慮預(yù)算的科學(xué)性和回報(bào)率。

7、本地檢測(cè)能力不足

傳統(tǒng)防火墻能夠?qū)Ρ镜鼐W(wǎng)絡(luò)流量進(jìn)行細(xì)致深入的檢測(cè)。然而，F(xiàn)WaaS是在云端執(zhí)行檢測(cè)，難以獲取全面的本地?cái)?shù)據(jù)，因而難以深入了解本地網(wǎng)絡(luò)中的異常行為情況。這可能會(huì)影響對(duì)本地網(wǎng)絡(luò)中的威脅檢測(cè)，因而需要部署額外的安全措施進(jìn)行補(bǔ)充。

8、與現(xiàn)有系統(tǒng)整合

將FWaaS與現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)和工具整合可能會(huì)很復(fù)雜，因?yàn)橐_保無縫兼容，不僅需要認(rèn)真地規(guī)劃，還需要大量的定制化開發(fā)。而如果不能與現(xiàn)有系統(tǒng)有效整合，就可能導(dǎo)致服務(wù)中斷或者引發(fā)安全漏洞。組織在選型FWaaS方案時(shí)，必須評(píng)估整合的可行性，以確保順利過渡。

參考鏈接：https://www.esecurityplanet.com/cloud/firewalls-as-a-service-fwaas/