防火墻即服務(wù)（FWaaS）是一種多功能防火墻產(chǎn)品，并作為一項基于云的服務(wù)來提供。通過利用集中策略管理、多企業(yè)防火墻特性和流量隧道等技術(shù)，F(xiàn)WaaS將下一代防火墻（NGFW）的核心功能部分或全部轉(zhuǎn)移到云上，并且提供更簡單、更靈活的部署架構(gòu)。

近年來，F(xiàn)WaaS已在政府、運營商、醫(yī)療、制造、能源與公用事業(yè)等眾多行業(yè)中廣泛應(yīng)用。而隨著云計算應(yīng)用的不斷發(fā)展，會有更多企業(yè)組織采用FWaaS來保護(hù)其云上的應(yīng)用和數(shù)據(jù)。然而，F(xiàn)WaaS方案在給企業(yè)帶來便利的同時，也會面臨云上應(yīng)用程序快速增長、公共云數(shù)據(jù)泄露激增以及防火墻協(xié)議不斷變化等因素的制約和影響。此外，在一些不發(fā)達(dá)地區(qū)，不完善的IT基礎(chǔ)架構(gòu)也會阻礙用戶獲得滿意的FWaaS服務(wù)。

FWaaS的應(yīng)用價值

相比傳統(tǒng)的防火墻產(chǎn)品，F(xiàn)WaaS可以將防火墻保護(hù)功能添加到一個更廣泛的虛擬網(wǎng)絡(luò)空間，從而保護(hù)更多的組件和應(yīng)用。在實際應(yīng)用中，F(xiàn)WaaS的應(yīng)用價值主要體現(xiàn)在以下方面：

1、更高性能的安全防護(hù)

FWaaS能夠與云系統(tǒng)和虛擬網(wǎng)絡(luò)無縫整合，能夠在保護(hù)業(yè)務(wù)和數(shù)據(jù)的同時，確保安全工作并未妨礙業(yè)務(wù)運營，這樣可以幫助企業(yè)更安全地發(fā)展和變革。這使組織能夠保持敏捷性，并為員工和客戶提供一流的數(shù)字化業(yè)務(wù)體驗和服務(wù)。

2、靈活地云擴展

隨著組織不斷發(fā)展，安全也需要跟上。FWaaS消除了企業(yè)數(shù)字化擴展過程中安全能力不足的擔(dān)憂，因為FWaaS的服務(wù)能力可以根據(jù)用戶需求輕松擴展。這種靈活性確保了強大的安全性，幫助企業(yè)專注于業(yè)務(wù)目標(biāo)。

3、全面覆蓋和控制

在不同地方保持一致的安全是一項挑戰(zhàn)。FWaaS使組織能夠集中控制大型虛擬環(huán)境。無論運營范圍如何，貴組織都可以從一個地方管理和執(zhí)行安全策略。無論數(shù)據(jù)在哪里，這種全面覆蓋和控制能力，確保了企業(yè)獲得真正有效的安全措施。

4、支持現(xiàn)代網(wǎng)絡(luò)架構(gòu)

FWaaS可以與現(xiàn)代網(wǎng)絡(luò)系統(tǒng)順利整合，支持最新的技術(shù)和協(xié)議，擴展了網(wǎng)絡(luò)安全的定義。企業(yè)業(yè)務(wù)無論是遷移到微服務(wù)還是探索邊緣計算，F(xiàn)WaaS都能靈活適應(yīng)，確保適應(yīng)未來的強大安全性。

5、簡化地網(wǎng)絡(luò)架構(gòu)

FWaaS不需要在本地部署安全設(shè)備，能夠幫助企業(yè)簡化網(wǎng)絡(luò)架構(gòu)和安全，消除了招致漏洞的混亂和迥異設(shè)置。這種簡單直觀的方法不僅增強了企業(yè)的安全性，還減輕了安全人員的管理負(fù)擔(dān)。

6、精簡策略執(zhí)行

FWaaS采用分布式網(wǎng)絡(luò)自動執(zhí)行策略，可以確保防護(hù)措施的一致性，在降低風(fēng)險的同時，提高了敏捷性，還能夠更好地滿足合規(guī)要求。由于不需要本地安全解決方案，它還可以在組織內(nèi)更廣泛地部署各種安全能力，比如入侵檢測、Web應(yīng)用程序防火墻以及數(shù)據(jù)丟失防護(hù)。

7、提高網(wǎng)絡(luò)可見性

FWaaS通過更廣泛地了解流量模式、潛在威脅和異常情況來提高網(wǎng)絡(luò)可見性。更好的可見性意味著可以更快地檢測和響應(yīng)可疑活動，從而潛在地防止小的安全事件演變成大的事件。

8、增強可靠性

FWaaS具有更高的洞察威脅和漏洞檢測的能力，因此可以幫助企業(yè)提升網(wǎng)絡(luò)運營的可靠性。這些主動地安全保護(hù)措施能夠降低網(wǎng)絡(luò)系統(tǒng)中斷的隱患。

CVSS的漏洞評價機制

雖然FWaaS具有以上諸多優(yōu)點，但是也同樣存在很多應(yīng)用的限制和挑戰(zhàn)。企業(yè)在選型FWaaS方案時，要充分考慮自己的安全需求和現(xiàn)有基礎(chǔ)設(shè)施環(huán)境。企業(yè)在評估FWaaS優(yōu)點的同時，也要充分了解FWaaS應(yīng)用中可能存在的挑戰(zhàn)：

1、依賴互聯(lián)網(wǎng)連接

FWaaS高效工作嚴(yán)重依賴穩(wěn)定的互聯(lián)網(wǎng)連接。如果企業(yè)目前還存在互聯(lián)網(wǎng)連接中斷或被限速等情況時，F(xiàn)WaaS提供的網(wǎng)絡(luò)安全能力就會受到影響。

2、定制化能力不足

與傳統(tǒng)的本地防火墻不同，F(xiàn)WaaS在定制服務(wù)時會存在很多限制。如果組織有較多特定的安全要求時，就不太適合選用FWaaS，因為預(yù)定義的安全設(shè)置會與組織的需求不一致，這樣將影響到企業(yè)獲得期望的保護(hù)效果。

3、數(shù)據(jù)隱私問題

FWaaS使用第三方云服務(wù)器來傳輸網(wǎng)絡(luò)流量，這會引發(fā)部分企業(yè)對數(shù)據(jù)隱私和合規(guī)方面的擔(dān)憂。處理敏感數(shù)據(jù)的組織可能會因潛在的數(shù)據(jù)泄露和合規(guī)要求而猶豫不決。因為當(dāng)數(shù)據(jù)在組織外部進(jìn)行處理時，數(shù)據(jù)保護(hù)會變得更復(fù)雜，此時需要認(rèn)真評估FWaaS提供商的數(shù)據(jù)處理實踐。

4、供應(yīng)商的可靠性

FWaaS的應(yīng)用效果很大程度上取決于所選供應(yīng)商的服務(wù)能力和可靠性。停運時間、技術(shù)故障或突發(fā)性安全事件都可能危及企業(yè)網(wǎng)絡(luò)安全的穩(wěn)定性。審查FWaaS供應(yīng)商的近期市場表現(xiàn)和安全措施對于減小這類風(fēng)險至關(guān)重要。

5、初始服務(wù)配置較復(fù)雜

實施FWaaS方案通常會需要修改現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)和配置。這個初始配置的過程可能很棘手，需要更改網(wǎng)絡(luò)路由并與當(dāng)前安全措施整合，這種復(fù)雜性可能導(dǎo)致一段較長時間的服務(wù)中斷。

6、持續(xù)地成本

FWaaS消除了前期硬件設(shè)備的購買費用，但同時也帶來了基于訂閱的持續(xù)成本。隨著時間的積累，這些成本可能會超過傳統(tǒng)防火墻方面的投入。組織必須綜合考慮預(yù)算的科學(xué)性和回報率。

7、本地檢測能力不足

傳統(tǒng)防火墻能夠?qū)Ρ镜鼐W(wǎng)絡(luò)流量進(jìn)行細(xì)致深入的檢測。然而，F(xiàn)WaaS是在云端執(zhí)行檢測，難以獲取全面的本地數(shù)據(jù)，因而難以深入了解本地網(wǎng)絡(luò)中的異常行為情況。這可能會影響對本地網(wǎng)絡(luò)中的威脅檢測，因而需要部署額外的安全措施進(jìn)行補充。

8、與現(xiàn)有系統(tǒng)整合

將FWaaS與現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)和工具整合可能會很復(fù)雜，因為要確保無縫兼容，不僅需要認(rèn)真地規(guī)劃，還需要大量的定制化開發(fā)。而如果不能與現(xiàn)有系統(tǒng)有效整合，就可能導(dǎo)致服務(wù)中斷或者引發(fā)安全漏洞。組織在選型FWaaS方案時，必須評估整合的可行性，以確保順利過渡。

參考鏈接：https://www.esecurityplanet.com/cloud/firewalls-as-a-service-fwaas/