信息化觀察網(wǎng)

0x00、產(chǎn)品需求

在安全運營數(shù)智化的今天，越來越多的新基建項目要求使用云原生的安全解決方案，同時，新基建有兩個發(fā)展方向，激進一些的解決方案是直接在公有云上構(gòu)建多云場景，完全使用云原生的解決方案；保守一些的解決方案通過x-stack專有云形式對用戶輸出。但是無論哪種解決方案，防火墻將幫助企業(yè)構(gòu)建云上網(wǎng)絡(luò)邊界安全防護能力的需求也依然沒有改變，只是形式發(fā)生了變化。

針對不同用戶的業(yè)務(wù)場景，對防火墻的需求也有所不同，針對大型的企業(yè)集團公司的使用場景、金融云場景以及公有云中小企業(yè)用戶，其業(yè)務(wù)安全訴求強度不盡相同。

 1、降低互聯(lián)網(wǎng)暴露、內(nèi)網(wǎng)非法下載、挖礦外聯(lián)等風(fēng)險，我們需要非法外聯(lián)安全管控功能

 2、暴露在互聯(lián)網(wǎng)上的服務(wù)，有新增0day漏洞時候，需要虛擬補丁防護，做到業(yè)務(wù)0中斷。

 3、等保合規(guī)的業(yè)務(wù)需求，需要滿足安全區(qū)域邊界要求，以及日志保存180天的強監(jiān)管需求。

 4、當然在易用性方面也需要改變過濾規(guī)則的設(shè)置和配置十分復(fù)雜，配置困難的難題，通過機器學(xué)習(xí)等方法幫助用戶快速、準確的設(shè)置防火墻策略。

0x01、技術(shù)迭代

大致按照部署形式，技術(shù)變革里程碑給防火墻技術(shù)發(fā)展史做了一下分類：

一、在傳統(tǒng)防火墻階段，主要介紹一下安全組、傳統(tǒng)包過濾和狀態(tài)防火墻、以及Web防火墻的區(qū)別。

 1、傳統(tǒng)防火墻vs安全組

其實傳統(tǒng)的防火墻就是通過傳統(tǒng)路由表ACL過濾+TCP狀態(tài)監(jiān)控，可以處理IP地址、TCP欺騙等攻擊。設(shè)置阻斷策略。

安全組，是在虛擬網(wǎng)絡(luò)中，把這種傳統(tǒng)防火墻的能力做層分布式部署方式，通過控制節(jié)點和計算節(jié)點把不同的云主機實例劃分到一個安全組，實現(xiàn)安全域的管控。

當然為了提升效率會做DPDK改造。

 2、云防火墻vs Web應(yīng)用防火墻

云防火墻產(chǎn)品定位：多云場景環(huán)境下的SaaS化4層狀態(tài)防火墻，可統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的訪問控制策略（南北向）和業(yè)務(wù)與業(yè)務(wù)之間的微隔離策略（東西向），支持全網(wǎng)流量可視和業(yè)務(wù)間訪問關(guān)系可視。使用場景：多云場景統(tǒng)一防火墻策略管控、CDN、等保安全域劃分。

Web應(yīng)用防火墻產(chǎn)品定位：客戶端到源站服務(wù)器南北向的流量，主要針對七層http協(xié)議。waf對APP或網(wǎng)頁的業(yè)務(wù)請求流量進行惡意特征識別和防護，保護業(yè)務(wù)安全和核心數(shù)據(jù)安全。使用場景：Web應(yīng)用安全防護。

二、下一代防火墻階段，云原生vs UTM

傳統(tǒng)硬件防火墻，下一代防火墻里程碑進步主要要體現(xiàn)在可以對協(xié)議內(nèi)部的數(shù)據(jù)做深度包檢測（DPI），比如：能線速提取，數(shù)據(jù)包的內(nèi)容，URL，包含攜帶的文件，這樣就可以集成更強大的安全檢測能力，可以對接IDPS能力；威脅情報；URL過濾；防毒墻等。當然這是伴隨著NP架構(gòu)升級到x86硬件能力提升的結(jié)果。

在這個階段，云防火墻也得到不斷的進化，這部分突出的技術(shù)就是在云主機層面使用微隔離技術(shù)。也是得益于云計算技術(shù)在虛擬化層面的性能提升。

三、新基建防火墻發(fā)展階段

這個階段，主要是集成平臺側(cè)和租戶側(cè)的統(tǒng)一管理。當然在這部分我更看好云防火墻發(fā)展態(tài)勢，雖然傳統(tǒng)硬件防火墻也在不斷使用自己SDN技術(shù)做虛擬化防火墻，但是要說誰更懂網(wǎng)絡(luò)虛擬化，那當然是公有云了，絕對不是獨立的第三方安全廠商。所以云原生防火墻是最終一統(tǒng)形式。

當然，在此發(fā)展階段還需要向硬件部署的下一代防火墻學(xué)習(xí)，要完善自己的DPI功能

 1、實時發(fā)現(xiàn)新增對外服務(wù)暴露的端口，聯(lián)動掃描器，幫助用戶收斂25%+的網(wǎng)絡(luò)風(fēng)險暴露面

 2、實時入侵防護，對內(nèi)部外聯(lián)IP與威脅情報聯(lián)動，一旦發(fā)現(xiàn)惡意連接挖礦地址、失陷主機，要及時告警和阻斷。

 3、與IPS聯(lián)動，及時發(fā)現(xiàn)CVE掃描，特別是0day攻擊，用戶自定義策略阻斷。

 4、訪問日志審計留存，安全合規(guī)要求。

0x02、展望

在安全運營大行其道的時代，云防火墻是你的剛性安全需求；在選型的階段，也建議多用云原生。