防火墻已死？至少本世紀不會！

Siddharth Deshpande，派拓網(wǎng)絡亞太及日本地區(qū)首席技術官

在過去一年里，我和上百家大型企業(yè)就SASE進行了交流。我對云端交付的網(wǎng)絡和安全服務如何深入改變企業(yè)很感興趣，同時也深有體會。盡管如此，我依然堅信防火墻對于數(shù)字業(yè)務領域仍十分重要。分析師們也同意這一點：Gartner預測，到2026年，60%以上的企業(yè)將部署一種以上的防火墻，這將推動混合式網(wǎng)狀防火墻（HMF）的應用。隨著云計算在企業(yè)中日漸成為主流，防火墻變得比以往更加重要。關于防火墻在未來幾年的重要戰(zhàn)略意義，我在與首席信息安全官（CISO）和首席信息官（CIO）交流時談到了以下幾個重要方面：

防火墻已今非昔比

防火墻不但不會消亡，而且還會不斷發(fā)展進化。多年來，領先的防火墻架構已從單純的網(wǎng)絡層檢查發(fā)展到應用感知，從提供基本的安全功能發(fā)展到幫助檢測和阻止零日攻擊，從保護IT發(fā)展到保護OT/IoT等等。防火墻還是保障5G網(wǎng)絡安全的關鍵部分，而且發(fā)展出了嵌入式代理功能，使用戶不再需要管理多個不同的網(wǎng)絡安全架構和部署。

如今，混合式網(wǎng)狀防火墻（HMF）的概念正在興起，其中的防火墻并不僅是硬件設備�？蛻粝Ｍ�能夠自行選擇防火墻功能的提供形式，比如硬件、軟件、容器化、防火墻即服務等。所有這些形式都需要通過同一個管理控制臺進行管理，才能使混合式網(wǎng)狀防火墻戰(zhàn)略生效。

別讓防火墻成為擺設

防火墻的部署不應只是為了完成任務。只有當防火墻被用于防御具有躲避能力的攻擊者并啟用真正的零信任架構時，它才能發(fā)揮作用。如果企業(yè)的防火墻廠商未能將深度學習和機器學習模型應用于流量，那么防火墻就只是擺設。要想實時抵御攻擊，防火墻不僅需要具備高級安全功能，還要在開啟這些功能的同時保持出色的性能。這就需要仔細查看防火墻廠商的數(shù)據(jù)表并按照實際用例進行測試。在某些情況下，防火墻在打開關鍵的安全檢查功能時，性能會下降近75%。以上都是在選擇防火墻供應商時非常重要的評估標準。

防火墻在SASE架構中的作用

通用的網(wǎng)絡安全架構非常罕見。當企業(yè)想使用“安全即服務”架構檢查云中流量，而非回傳到DC中的集中設備時，SASE/SSE能夠發(fā)揮作用。這種方法在很多用例中都非常有效，比如分支機構流量、遠程用戶、云應用安全訪問等。而當企業(yè)想要實現(xiàn)高帶寬數(shù)據(jù)中心環(huán)境、關鍵基礎設施保護、5G網(wǎng)絡安全、東西向流量檢測、云安全、物聯(lián)網(wǎng)安全等專門用例時，防火墻和網(wǎng)絡安全設備就會派上用場。關鍵在于網(wǎng)絡安全架構中的 SASE 部分是否可以與防火墻和代理服務器使用相同的管理控制臺進行管理，例如兩個具有獨立策略結構和管理控制臺的不同技術堆棧會降低運行效率和安全性。建議企業(yè)選擇在混合式網(wǎng)狀防火墻（HMF）和SASE領域都具有領先優(yōu)勢的網(wǎng)絡安全合作伙伴。

網(wǎng)絡轉型路徑

防火墻作為企業(yè)安全戰(zhàn)略的重要組成部分無法孤立存在。它需要接入安全堆棧的其他部分才能充分發(fā)揮潛力。我們觀察到客戶正在大規(guī)模轉向XDR，將網(wǎng)絡安全與端點和云安全相連接，從而統(tǒng)一對威脅的認知并加快檢測和響應速度。因此，企業(yè)應向防火墻供應商了解的關鍵信息是：他們的XDR解決方案是什么？如何助力實現(xiàn)跨網(wǎng)絡、終端和云的統(tǒng)一分析？

另一個需要考慮的重要方面是將云防火墻集成到更大的云安全平臺（通常稱為 CNAPP，即云原生應用保護平臺）中。因此企業(yè)需要關心的另一個重點就是防火墻供應商的CNAPP戰(zhàn)略，以及防火墻和企業(yè)整個云安全架構的結合點。

在云服務提供商（CSP）環(huán)境中部署防火墻

一個常見誤區(qū)是Azure、AWS和GCP等公有云服務提供商（CSP）環(huán)境不需要防火墻，然而事實上情況恰恰相反。我們發(fā)現(xiàn)擁有嚴謹云戰(zhàn)略的CISO都會在云端VPC中部署虛擬化（有時是容器化）版本的企業(yè)防火墻。不過值得注意的是，我們要關注的不僅是形式，還有深度安全檢查和可管理性。在同頭部CSP合作的過程中，采取極富策略性的方法十分重要——讓防火墻技術作為CSP管理控制臺中的本地服務提供。

總而言之，防火墻的生命力非常旺盛，且正向混合式網(wǎng)狀防火墻（HMF）發(fā)展，這使得企業(yè)能夠選擇在哪里以及如何利用這項重要的網(wǎng)絡安全功能。建議CIO、CISO和網(wǎng)絡領導者根據(jù)企業(yè)支持數(shù)字業(yè)務需求的能力，謹慎選擇防火墻架構和供應商。