當(dāng)前絕大多數(shù)企業(yè)都部署有防火墻設(shè)備，然而如何利用好這些安全防護(hù)設(shè)備卻并非全部企業(yè)都擅長(zhǎng)的。因此選擇什么樣的防火墻設(shè)備，來(lái)強(qiáng)化企業(yè)對(duì)自身網(wǎng)絡(luò)安全防護(hù)的把控就顯得相當(dāng)關(guān)鍵了。而未來(lái)防火墻則正向可視化、智能化、軟件化上演進(jìn)。

一、傳統(tǒng)防火墻大幅滯后

防火墻是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全防護(hù)系統(tǒng)，往往會(huì)依照特定的規(guī)則，防止非法訪問(wèn)或限制傳輸?shù)臄?shù)據(jù)通過(guò)，來(lái)確保內(nèi)部網(wǎng)絡(luò)不遭受惡意攻擊。其中傳統(tǒng)的硬件防火墻是指采用狀態(tài)檢測(cè)機(jī)制、集成虛擬專用網(wǎng)、支持橋/路由/NAT等工作模式的作用在2-4層的訪問(wèn)控制設(shè)備。

然而時(shí)至今日，傳統(tǒng)的硬件防火墻已無(wú)法跟上目前網(wǎng)絡(luò)威脅的進(jìn)化速度。由于網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)犯罪的進(jìn)化速度非?？?，企業(yè)IT團(tuán)隊(duì)在監(jiān)控流量方面的阻力重重，常常導(dǎo)致無(wú)法及時(shí)發(fā)現(xiàn)威脅。有調(diào)查發(fā)現(xiàn)，從全球范圍來(lái)看，70%的企業(yè)網(wǎng)絡(luò)流量未被有效監(jiān)管，而一些傳統(tǒng)防火墻背后甚至隱藏著可怕的“后門(mén)”。即便如此，僅亞太區(qū)2017年企業(yè)防火墻的市場(chǎng)規(guī)模也達(dá)到了31億美元，預(yù)計(jì)到2023年更可達(dá)到60.2億美元規(guī)模。防火墻作為企業(yè)網(wǎng)絡(luò)防護(hù)關(guān)鍵組件的重要性可見(jiàn)一斑。

二、防火墻演進(jìn)三大方向

1. 防火墻可視化關(guān)鍵

目前簡(jiǎn)單的安全規(guī)則、端口和協(xié)議過(guò)濾已無(wú)法滿足威脅防御的需求，由此傳統(tǒng)防火墻已逐步向下一代防火墻演進(jìn)。而部署下一代防護(hù)墻的目的是能夠抵御諸如WannaCry等集中出現(xiàn)的威脅，不過(guò)這些威脅依然能夠爆發(fā)至全球規(guī)模，拿到訪問(wèn)權(quán)限，并通過(guò)公司網(wǎng)絡(luò)傳播，顯然就是個(gè)大問(wèn)題了。

引發(fā)此類問(wèn)題凸顯出一個(gè)難以接受的事實(shí)，那就是下一代防火墻經(jīng)常單打獨(dú)斗，無(wú)法形成集群作戰(zhàn)的效果。因此，部署防火墻的企業(yè)通常還需要單獨(dú)配置防火墻規(guī)則、應(yīng)用控制、TLS檢驗(yàn)、沙盒機(jī)制、網(wǎng)絡(luò)過(guò)濾、殺毒和IPS。此外，IT決策者在采購(gòu)防火墻時(shí)還應(yīng)尋找可提供簡(jiǎn)易和可行的可視度的整合系統(tǒng)。對(duì)于企業(yè)來(lái)說(shuō)，最有效的系統(tǒng)是能夠識(shí)別未知應(yīng)用和協(xié)同工作的同步系統(tǒng)，以便提供對(duì)網(wǎng)絡(luò)中所有流量的可視化和可控性。

2. 防火墻智能化保障

雖然下一代防火墻被定義為是一種深度包檢測(cè)防火墻，超越了基于端口、協(xié)議的檢測(cè)和阻斷，更增加了應(yīng)用層的檢測(cè)和入侵防護(hù)了。不僅具備傳統(tǒng)防火墻的功能，還具備應(yīng)對(duì)綜合威脅的發(fā)現(xiàn)能力、阻斷能力，并不是簡(jiǎn)單的功能堆砌和性能疊加，而是從全局視角，幫助用戶解決網(wǎng)絡(luò)面臨的實(shí)際問(wèn)題。

但實(shí)際上，下一代防火墻卻有下述三方面局限：

• 以本地規(guī)則庫(kù)為核心，無(wú)法全面檢測(cè)已知威脅;
• 缺乏數(shù)據(jù)智能，無(wú)法感知未知威脅;
• 沒(méi)有協(xié)同防御機(jī)制，依然在用單機(jī)的、私有的思路來(lái)解決網(wǎng)絡(luò)的、公有的威脅。

因此，面對(duì)數(shù)據(jù)及隱藏其中的各種威脅，防火墻不能再孤軍作戰(zhàn)，而是需要借助AI(人工智能)建立起協(xié)同防御的安全體系，并依托于持續(xù)更新的威脅情報(bào)的技術(shù)能力，持續(xù)提升自身提升發(fā)現(xiàn)和響應(yīng)高級(jí)威脅的能力，從而在邊界上成為一個(gè)智能化的防火墻，為企業(yè)對(duì)抗各種安全威脅提供更好的防護(hù)平臺(tái)。

3. 防火墻軟件化態(tài)勢(shì)

進(jìn)入云計(jì)算時(shí)代，面對(duì)如多租戶混合部署，多應(yīng)用混合部署，虛擬機(jī)(容器)規(guī)模體量極大，資源按需分配，邏輯架構(gòu)與物理架構(gòu)無(wú)關(guān)等安全需求。硬件防火墻的效果勢(shì)必將捉襟見(jiàn)肘，甚至到無(wú)處安放的地步。

然而即便傳統(tǒng)基因的防火墻在云環(huán)境中已無(wú)用武之地，但用戶面對(duì)APT攻擊、勒索病毒，以及多租戶、多應(yīng)用的混合部署，都需要云平臺(tái)提供有效的隔離防護(hù)才行。因此，可以接駁威脅情報(bào)系統(tǒng)和云端可視化分析，支持云內(nèi)虛擬化動(dòng)態(tài)邊界安全防護(hù)，更可借助互聯(lián)網(wǎng)安全大數(shù)據(jù)來(lái)準(zhǔn)確定位攻擊源頭的軟件定義防火墻成為未來(lái)防火墻設(shè)備演進(jìn)的目標(biāo)。

這就需要顛覆傳統(tǒng)物理隔離網(wǎng)絡(luò)架構(gòu)，在防火墻策略的保護(hù)下，使用全網(wǎng)邏輯隔離構(gòu)建出全新網(wǎng)絡(luò)，并對(duì)安全區(qū)域重新定義劃分，甚至可通過(guò)軟件定義出防火墻陣列，來(lái)把控企業(yè)網(wǎng)絡(luò)流量。

三、結(jié)語(yǔ)

未來(lái)，防火墻向上述三大方向發(fā)力不可避免，而防火墻在演進(jìn)過(guò)程中也必須集成并具備與其他系統(tǒng)協(xié)同工作的能力才能最終強(qiáng)化網(wǎng)絡(luò)管控。