產(chǎn)品需求

在安全運(yùn)營(yíng)數(shù)智化的今天，越來(lái)越多的新基建項(xiàng)目要求使用云原生的安全解決方案，同時(shí)，新基建有兩個(gè)發(fā)展方向，激進(jìn)一些的解決方案是直接在公有云上構(gòu)建多云場(chǎng)景，完全使用云原生的解決方案;保守一些的解決方案通過(guò)x-stack專有云形式對(duì)用戶輸出。但是無(wú)論哪種解決方案，防火墻將幫助企業(yè)構(gòu)建云上網(wǎng)絡(luò)邊界安全防護(hù)能力的需求也依然沒(méi)有改變，只是形式發(fā)生了變化。

針對(duì)不同用戶的業(yè)務(wù)場(chǎng)景，對(duì)防火墻的需求也有所不同，針對(duì)大型的企業(yè)集團(tuán)公司的使用場(chǎng)景、金融云場(chǎng)景以及公有云中小企業(yè)用戶，其業(yè)務(wù)安全訴求強(qiáng)度不盡相同。

• 降低互聯(lián)網(wǎng)暴露、內(nèi)網(wǎng)非法下載、挖礦外聯(lián)等風(fēng)險(xiǎn)，我們需要非法外聯(lián)安全管控功能
• 暴露在互聯(lián)網(wǎng)上的服務(wù)，有新增0day漏洞時(shí)候，需要虛擬補(bǔ)丁防護(hù)，做到業(yè)務(wù)0中斷。
• 等保合規(guī)的業(yè)務(wù)需求，需要滿足安全區(qū)域邊界要求，以及日志保存180天的強(qiáng)監(jiān)管需求。
• 當(dāng)然在易用性方面也需要改變過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜，配置困難的難題，通過(guò)機(jī)器學(xué)習(xí)等方法幫助用戶快速、準(zhǔn)確的設(shè)置防火墻策略。

技術(shù)迭代

大致按照部署形式，技術(shù)變革里程碑給防火墻技術(shù)發(fā)展史做了一下分類：

1. 在傳統(tǒng)防火墻階段，主要介紹一下安全組、傳統(tǒng)包過(guò)濾和狀態(tài)防火墻、以及Web防火墻的區(qū)別。

(1) 傳統(tǒng)防火墻vs安全組

其實(shí)傳統(tǒng)的防火墻就是通過(guò)傳統(tǒng)路由表ACL過(guò)濾+TCP狀態(tài)監(jiān)控，可以處理IP地址、TCP欺騙等攻擊。設(shè)置阻斷策略。

安全組，是在虛擬網(wǎng)絡(luò)中，把這種傳統(tǒng)防火墻的能力做層分布式部署方式，通過(guò)控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)把不同的云主機(jī)實(shí)例劃分到一個(gè)安全組，實(shí)現(xiàn)安全域的管控。

當(dāng)然為了提升效率會(huì)做DPDK改造。

(2) 云防火墻vs Web應(yīng)用防火墻

云防火墻產(chǎn)品定位：多云場(chǎng)景環(huán)境下的SaaS化4層狀態(tài)防火墻，可統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的訪問(wèn)控制策略(南北向)和業(yè)務(wù)與業(yè)務(wù)之間的微隔離策略(東西向)，支持全網(wǎng)流量可視和業(yè)務(wù)間訪問(wèn)關(guān)系可視。使用場(chǎng)景：多云場(chǎng)景統(tǒng)一防火墻策略管控、CDN、等保安全域劃分。

Web應(yīng)用防火墻產(chǎn)品定位：客戶端到源站服務(wù)器南北向的流量，主要針對(duì)七層http協(xié)議。waf對(duì)APP或網(wǎng)頁(yè)的業(yè)務(wù)請(qǐng)求流量進(jìn)行惡意特征識(shí)別和防護(hù)，保護(hù)業(yè)務(wù)安全和核心數(shù)據(jù)安全。使用場(chǎng)景：Web應(yīng)用安全防護(hù)。

2. 下一代防火墻階段，云原生vs UTM

傳統(tǒng)硬件防火墻，下一代防火墻里程碑進(jìn)步主要要體現(xiàn)在可以對(duì)協(xié)議內(nèi)部的數(shù)據(jù)做深度包檢測(cè)(DPI)，比如：能線速提取，數(shù)據(jù)包的內(nèi)容，URL，包含攜帶的文件，這樣就可以集成更強(qiáng)大的安全檢測(cè)能力，可以對(duì)接IDPS能力;威脅情報(bào);URL過(guò)濾;防毒墻等。當(dāng)然這是伴隨著NP架構(gòu)升級(jí)到x86硬件能力提升的結(jié)果。

在這個(gè)階段，云防火墻也得到不斷的進(jìn)化，這部分突出的技術(shù)就是在云主機(jī)層面使用微隔離技術(shù)。也是得益于云計(jì)算技術(shù)在虛擬化層面的性能提升。

3. 新基建防火墻發(fā)展階段

這個(gè)階段，主要是集成平臺(tái)側(cè)和租戶側(cè)的統(tǒng)一管理。當(dāng)然在這部分我更看好云防火墻發(fā)展態(tài)勢(shì)，雖然傳統(tǒng)硬件防火墻也在不斷使用自己SDN技術(shù)做虛擬化防火墻，但是要說(shuō)誰(shuí)更懂網(wǎng)絡(luò)虛擬化，那當(dāng)然是公有云了，絕對(duì)不是獨(dú)立的第三方安全廠商。所以云原生防火墻是最終一統(tǒng)形式。

當(dāng)然，在此發(fā)展階段還需要向硬件部署的下一代防火墻學(xué)習(xí)，要完善自己的DPI功能

• 實(shí)時(shí)發(fā)現(xiàn)新增對(duì)外服務(wù)暴露的端口，聯(lián)動(dòng)掃描器，幫助用戶收斂25%+的網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露面
• 實(shí)時(shí)入侵防護(hù)，對(duì)內(nèi)部外聯(lián)IP與威脅情報(bào)聯(lián)動(dòng)，一旦發(fā)現(xiàn)惡意連接挖礦地址、失陷主機(jī)，要及時(shí)告警和阻斷。
• 與IPS聯(lián)動(dòng)，及時(shí)發(fā)現(xiàn)CVE掃描，特別是0day攻擊，用戶自定義策略阻斷。
• 訪問(wèn)日志審計(jì)留存，安全合規(guī)要求。

展望

在安全運(yùn)營(yíng)大行其道的時(shí)代，云防火墻是你的剛性安全需求;在選型的階段，也建議多用云原生。