信息化觀察網(wǎng)

最近聽到一種聲音說

“NGFW已死”

理由是隨著公有云和SaaS的盛行

內(nèi)網(wǎng)/外網(wǎng)/DMZ的界限會越來越模糊

傳統(tǒng)邊界防護設備會逐漸消亡

……

最終，云會殺死NGFW

真的么？

其實我認為

這種說法很不正確

首先，在國內(nèi)市場上

NGFW，其實從未真正“活”過

又何談被殺死？

雖然，與傳統(tǒng)防火墻相比

NGFW給自己加了太多戲份

但在國內(nèi)行業(yè)市場

大多數(shù)用戶的NGFW

就只有三個核心用途

?NAT?ACL?合規(guī)

即便經(jīng)過近10年的洗牌與洗腦

所有的主流防火墻廠商穿上了NGFW的馬甲

但客戶的用墻習慣，卻始終沒有改變

NGFW的馬甲，更多成了招標參數(shù)

NGFW也好，沒馬甲的傳統(tǒng)FW也好

主流的應用場景，20年沒變

1、在園區(qū)網(wǎng)出口做NAT

IPv4不死，NAT永生

只要IPv4還在，NAT永遠是剛需即使IPv6共產(chǎn)主義了，NAT仍然有需求

一部分安全威脅，NAT地址隱藏可以擋住

剩下一部分安全威脅，訪問控制封端口搞定

還有少量沒防住的咋辦？沒關系

小黑損失沒多少

大黑來了誰也防不了

2、在行業(yè)專網(wǎng)做域間訪問控制

一個園區(qū)網(wǎng)，防火墻最多賣兩臺

防火墻之所以能成為安全三大件之首

離不開行業(yè)專網(wǎng)的集采

每年，各大縱向行業(yè)和國企們

都會有成百上千的防火墻集采

這些防火墻，被橋接部署在縱向?qū)＞W(wǎng)里

實現(xiàn)1、2、3、4級網(wǎng)的邏輯隔離和訪問控制

本質(zhì)上講

專網(wǎng)不需要NGFW這么重的功能

如果需要實現(xiàn)行業(yè)專網(wǎng)的流量可視化

在交換路由上接tap

把流量送給DPI或者分析設備上更穩(wěn)妥

另外

NGFW加戲多，還想吃掉IPS、流控、WAF份額

設備越賣越少，單子越做越小

這既不合規(guī)，也不符合廠商利益

因此，站在廠商角度

即便NGFW能夠“越俎代庖”

大家還是更愿意把它拆開賣

綜上，我們認為

在國內(nèi)火了近10年的NGFW

其實是個偽需求

真正扛銷量、讓客戶買單的

還是防火墻的那些最基本功能

既然云計算沒有殺死NGFW

那么，我們不妨換一個問題

云的興起和業(yè)務的無邊界化

會讓各種傳統(tǒng)邊界防護網(wǎng)關消亡嗎

（FW也好、NGFW也好、IPDS也好，都算）

我們的結(jié)論是

同樣不會

原因有三

1

首先，云、SaaS、移動化的興起

的確讓安全的“邊界”模糊化了

但是Internet和Intranet之間的大邊界

始終沒有消失

只要這條邊界在

邊界安全防護設備就不會消亡

安全邊界的模糊化

只是讓用戶需要投入更多的安全防范手段

安全市場總體變大了

但邊界安全的市場不會被擠壓

2

公有云雖然推進很快

但私有云/專有云不會消失

這點在國內(nèi)政企市場尤為明顯

混合云邊界、專/私有云內(nèi)部

無論功能層面還是合規(guī)層面

還會需要大量的邊界防御設備

3

云上的安全資源池

尤其是南北向安全資源池

短期內(nèi)仍然離不開物理安全設備

國內(nèi)無論大型公有云，還是行業(yè)專有云

在那些靈活調(diào)度的安全資源池背后

都是一臺臺大型安全盒子/箱子在扛

（NGFW、IPS、LB、扛D……）

最后再說個笑話

傷害不大，但侮辱性極強

這些年來

賣云的公司，死了不少

即便大如阿里云，也才剛剛盈虧平衡

而賣墻的安全公司，卻越賣越歡

齊刷刷都完成了IPO

so，云計算要想殺死防火墻

還是多練幾年再說吧

同樣，云原生PK傳統(tǒng)IT架構(gòu)的戰(zhàn)爭

也將是一場曠日持久的拉鋸戰(zhàn)