在網絡安全硬件子市場中����,防火墻是體量的單品,具有廣泛的應用場景����。防火橋架即便是今日在云化大潮下���,防火墻依然占有單品體量的首要位置���。
防火墻歷史較久,這些年幾個重要的演進階段�����,包括:包過濾防火墻、代理防火墻��、狀態監測防火墻��、統一威脅管理(簡稱UTM)�����、下一代防火墻(簡稱NGFW)。時至今日��,如果按照Palo Alto在2007年次推出NGFW來算����,下一代防火墻迄今已經15年歷史了。那么下一代防火墻后續會如何演進��?
關于防火墻的未來走向�����,技術層面的討論����,背后的驅動力主要是需求的演進����,本質上是以客戶需求的變化為主線,這是一條穩定的脈絡����,決定了產品形態演進的技術路線。
防火墻部署在網絡邊界出口位置的����,負責流量的檢測和放行��,十幾年來這個邊界出口的定位一直沒有變。防火墻技術層面演進的主要線索�����,是隨著用戶邊界流量的變化��,而帶來的防護要求的變化而演進的���。
30年前�����,網絡應用有限,流量不大,用戶較少���,只有簡單的如Email,BBS,文件服務器等。舉個例子�����,那時候的防火墻就像農家小院的鐵門���,客人來敲門�����,主人就會去開門;客人走了,主人就送客關門�,(過濾規則)簡單且有效��。所以,包過濾防火墻,原理就是對進出的每一個報文,按照提前設置好的雙向規則(ACL)進行檢測并放行即可�����。
后來�����,互聯網開始繁榮���,網絡應用的類型和數量大大增加����,上網人數急劇增多,帶寬也大大增加;與此同時�,網絡應用也變得日益復雜起來�����,往往有自身的交互邏輯和運行狀態,如PC從內部網絡訪問外部網站,出流量需要進行ACL檢測放行,而入流量的目的端口是隨機的�。在這種情況下如果采用人工靜態配置“進和出”策略這樣來放行每一個訪問行為����,是不可能做到的�����。所以��,可行的辦法是防火墻智能記住這條流量的出入端口,采用動態策略進行放行:只要首包ok,就建立狀態表��,記住這條流的來回端口�����,這樣后續這條訪問相關的持續的報文就不再逐包檢測,而是根據狀態表進行放行�。一些防火墻技術如nat��,alg,sip支持等都是在這個歷史時期產生的����。這就好比農家小院里的人口增加了�,主人來來回回開門關門覺得很麻煩���,這個時候在門口綁一條狗�����,凡來過的客人�,狗就認識了(有了狀態)����,下次再來就根據記憶(狀態表)默認放行,這讓主人覺得“既方便也安全”�����,即“狀態防火墻”���。
再后來�,網絡帶寬再次革命,加上3G的落地催生了移動互聯網���,帶來了新一輪的應用爆炸���。有代表性的應用就是Web2.0��,在這種環境下�����,以往的檢測機制過于粗曠且不夠準確:舉例來說,一個80端口可以是訪問一個網頁�,也可以是一個網盤�����,或者一個頁游。因此��,傳統的基于五元組過濾的策略模式�����,根據端口和訪問地址禁止掉所有的不同類型的應用���,過于粗放�����,防火橋架無法滿足應用發展的實際情況了��。所以在這個時候,PaloAlto這個����,首次重新定義了防火墻�,核心原理就是在五元組的基礎上��,增加了APP ID和User ID,通過深度識別用戶和應用���,并結合傳統五元組,共同組成了新的過濾規則�,能夠更為精準的檢測和識別流量內涵應用����,從而滿足應用爆炸帶來的新的流量管控問題��。此處�,還是得再接著舉個例子:農家小院人口爆炸��,院子住不下了����,所以大家都搬進了大型小區�����。狗的記性再好����,也記不住這么多人(應用)了���。張家的人���,李家的人���,王家的人���,車庫的車����,小區對外營業的商業�,還有保潔、外賣��、裝修····· 所以�,得設立專業的物業保安隊伍,對人員進行深度識別(登記)�,各色人等按照安全規則放行�����,比如有門禁卡的業主,默認放行;沒有門禁的��,門崗登記并問詢業主確認后放行���;對車輛�����,建立車牌識別系統����,自動識別業主車和外來車輛;對外賣,設置統一的存放點和登記制度�,等等���,這就是新一代防火墻(NGFW)的核心工作原理��。
防火墻的每一次演進,都是隨著流量的變化而變化。而流量變化的根因,是隨著網絡基礎設施的演進而帶來的應用爆炸?��,F實中“應用類型、網絡架構、攻擊方式���、企業信息管理機制�、算力基礎設施”等多個因素會綜合影響防火墻的形態,需要要把這些因素關聯起來分析���,它們一起決定了防火墻的形態、部署方式和核心功能���。任何一個新一代次產品的產生,背后的核心推手是需求的變化���。需求這個,即使短時間變化不大,經過日積月累�,也會經歷量變到質變的過程從而產生新一代產品���。無數的產品生命周期���,都是隨著核心需求的變化而潮起潮落��。
物理邊界的變化。前10年����,防火墻主要部署位置在物理網絡的邊界處�,起到邊界的“墻”的作用�����。彼時大部分部署環境是以物理網絡環境為主�,防火墻的形態絕大部分也是采用硬件形態為主����。近年來,業務紛紛上云�,從而產生了大量云防火墻需求���。云內部署防火墻和傳統模式有較大區別���,主要影響因素在于網絡的虛擬化,以及帶來的東西向隔離需求。所以在云內使用防火墻�����,一個是形態必須是虛擬化的軟件形態���,另一方面需要適配云內新型網絡結構��,以及具東西向隔離能力�����。
云原生的興起。另一個環境變化是����,因為云的興起�,相應的云原生應用也在加速發展��,以及未來云網融合的趨勢����。云內應用�,當屬Saas類應用為核心。云原生應用和傳統應用相比�����,從應用模式和底層運行環境都有巨大差異,對這類防護需求�,傳統防火墻無法直接部署����,且適配的要求會比云防火墻更多�����。云技術的深層意義,是代表了軟件Saas化的革命方向�,而容器是Saas編程未來的重要基礎設施���。因此可以大膽的預測��,未來會有越來越多的應用跑在容器化的運行環境上,硬件��,操作系統�,云OS、傳統網絡等底層因素會進一步被屏蔽�,一切的一切都是“overlay”的��,這將是對防火墻重特大的變化訴求。
物聯網的興起����。另外一個變化����,是隨著5G 的加速落地���,大量的“物”開始聯網成為新的主流場景�����。5G自身的組網網絡模型也有了很大的改變���,相應防火墻的防護位置和部署模式也有所不同�����;另外隨著應用分布到了網絡的邊緣��,防火墻安全能力也需要隨之而部署到邊緣位置���。
工業網絡的變化�。隨著智慧制造戰略的深入��,越來越多的工業設會需要聯網�����。企業網絡的一次錯誤阻斷,可能影響不大���;而在工業網絡這種誤報可能會引發嚴重的生產事故。另外��,工業網絡的拓撲�、工控設的協議識別、工業網絡穩定性要求等和傳統墻都有所不同��,這些都是需要防火墻進行重新設計的���。
泛化的“網關”的需求���。從泛在的角度來看�,防火墻將來未必只能部署在網絡的邊界,只要是有信息進出的��,都有“網關”的需求�����。因此防護對象可以大大的擴大�����,如,交易數據流�����,審批數據流��,API的訪問���,云內東西向流量等等�,本質上都適用防火墻的“鑒別��、檢測���、放行”的工作模式���,業務防火墻會更為靈活的部署在任何需要的業務場景路徑上���,目前已經有一些商在研制專用的業務防火墻了�����,這是個值得關注的趨勢。
更精準的檢測要求:隨著IT的持續發展���,防火橋架信息安全已經深入到社會生活的方方面面。一些更棘手的攻擊越來越難以防范���,同時防護的要求也越來越高,如APT���、0Day、變種木馬���、勒索病毒��,需要更強大�����、智能的防護引擎,需要結合除了網絡檢測外�,結合其他各種技術手段如終端檢測軟件��、沙箱、云端情報��、大數據分析等來進行綜合防護�。僅僅是網的數據檢測,精準度和可溯源度是不夠的,新一代的防火墻需要廣泛結合沙箱技術、更強大的智能分析引擎�����,并且結合端點分析��、云端情報等進行高級防護�����,相信未來這一塊的核心競爭力在于安全檢測能力的算法改進。
加密流量的盛行:現在互聯網上主流的門戶網站���,90%以上都是采用了加密訪問機制。隨著加密流量的比例越來越大��,傳統檢測手段越來越難以檢測����。如果無法識別加密流量,防火墻的檢測效果就約等于零����。針對加密流量的行為特征,結合用戶身份和平臺API分析,以及更多的結合其他手段如端的輔助手段��,對加密流量進行檢測勢在必行���。
零日攻擊及攻擊溯源:隨著人類社會數字化進程的逐步深入�,未來會有越來越多的重要的社會資產數字化,將來網絡攻擊不僅僅會帶來財產的損失����,更會影響到人民的生命甚至是國家的安危�����。另外���,防火墻以往靜態規則的檢測模式�����,無法應對零日攻擊的盛行,防火墻需要具更智能的檢測能力����,并在攻擊發生后�����,能夠對攻擊進行快速的溯源。
遠程接入的防護需求:新冠疫情以后,催生了大量企業生的遠程安全辦公需求��。在這里����,不僅僅是一個傳統防火墻+vpn就能解決的問題�����。隨著IT基礎設施的不斷云化���,企業的應用往往分布在云端��、內網、傳統IDC等混合位置���。員工遠程在家辦公,除了安全接入的需求����,更需要基于身份�、pC環境以及訪問位置���,進行持續動態評估和權限細粒度分配的需求��。
聯動防護的需求:隨著IT技術越來越深入企業和社會生活�����,對防護實時性的需求更為嚴苛。攻擊手段日新月異�,越來越難以通過一臺設單點能力就能夠進行足夠精準的防護���。因此��,防火墻需要更多聯動或被集成到其他產品和平臺,進行協同立體防護����。
部署規模越來越大:隨著企業網絡規模越來越大��,相應的防火墻的部署量也越來越大����,特別是一些大型行業。因此�,對大量設的統一管理和運營需求非常強烈����。在一些規模較大的行業��,比如電力�����、央企���、學校��,會有一次性幾千臺墻以上的部署規模,且部署分布的物理位置極廣�����,有些邊緣地區的部署維護成本極高��,如果沒有一個簡單穩定智能的集中管理手段��,沒有快速部署上線和排查手段,是不可想象的�。
部署環境越來越復雜:同一個企業���,業務有可能分布在不同的物理位置�����,比如鐵路購票網站��,門戶可能部署在云端�,票務數據庫部署在內網����,業務邏輯部署在私有云,相應的防火墻也需要根據業務分布部署在不同的地方,如公有云�,私有云����,傳統IDC��。在這個需求下�����,需要防火墻能同時部署在云端和傳統IDC,滿足“全場景”的部署需求���。
企業數據的分布化:未來企業數據中心的去中心化的趨勢會越來越普遍。ERP�、Office���、SalesForce��、企業出差管理軟件等,普遍采用Saas化的云端應用��;核心數據庫��、內部管理系統等�,還是部署在本地��;分支的接入���,以及數據的虛擬化邊界外延���,都需要防火墻能做到動態、按需部署����,對軟件定義的虛擬化邊界進行有效防護�。
實時處置的需求:隨著數據資產的重要性日益增強�,客戶對攻擊從發生和防護之間的時間窗口要求越來越高。傳統人工查日志這種排查模式���,無法滿足實時性的要求,特別是對0Day攻擊的防護要求。因此�����,需要有新的更加智能�����、自動化的閉環處置基礎設施和工作方法來應對這個需求��。
可持續運營的需求:之前看Carta安全體系���,映像深刻的就是其中的那個天平�,能代表Carta的精髓���。這個天平��,意思是對風險和信任的研判過程是持續不斷���,反復多次進行的���。換一個角度來看���,這是對傳統基于靜態規則的防護模式的革命性改善,只有在運營過程中持續的對風險和信任進行持續評估�,持續對客戶防護域進行動態防護����,才能應對新一代的零日攻擊風險���。體現在防火墻產品上���,主要是需要對內部資產進行動態識別����,對軟件邊界進行自適應識別,對流量進行精準識別����,對訪問進行持續的身份鑒別��,對風險和攻擊進行持續監測和評估,從而能夠下發動態的“合適”的策略對用戶網絡進行防護���。
多態,指防火墻可以以任何形態出現在任何需要的場景里去��,甚至是非傳統網絡場景���;
智能���,指防火墻對內能夠洞悉一切�,對外可以結合云端大腦和情報增強防御能力,并具自動化的運維手段��;
可持續運營���,指防火墻能夠和具體客戶業務環境結合��,落地有針對性的運營措施,持續改善用戶的網絡邊界安全態勢��。
近期調研了主要防火墻家近期規劃��,也發現了諸多的一致�����,如PaloAlto在多態方面,除了提供傳統硬件防火墻�����,還提供虛擬防火墻���、云防火墻�;適應的場景除了企業網,還適用物聯網���、云環境、5G��、SD-WAN���、ZTN、SASE等眾多場景����;在智能化技術路線上�����,采用了高級威脅分析、機器學習��、威脅分析�����、云端情報、智能策略調優��、智能自動識別應用等技術手段�,能夠以智能識別、智能防御�����、智能管理的方式強化防火墻的安全能力和處置效率����;在可持續運營方面,通過XDR、SOAR、panorama(可視化����、情報)等技術手段���,對防火墻進行持續運營���,縮短緊急事件處置時間����。
國內防火墻主要商也在積極演進��,也大量采用智能化的技術手段�����,通過深度學習、智能融合���、攻擊鏈分析�、云端情報、APDRO模型等方式,強化智能識別�����、智能防御��、智能管理這三個層面����;特別的�����,在2021年�����,頭部商已經退出可運營的防火墻,防火墻可以連接云端�����,通過云端聯動��、熱點分析��、在線專家運營的方式,提供貼合國內客戶業務特點的運營服務���。
防火墻以物理和虛擬的形態����,廣泛部署于各種應用環境中�����,并統一被管理中心納管。管理中心可視一張企業虛擬的邊界網絡拓撲�����,并云端大腦對接���,可在本地安排安全專家進行運營支撐�。當本地研判能力和情報能力的不足時,由云端補充����;云端也可采集本地安全數據和事件���,優化云端安全模型�����,并賦能更多的地端設,以此往復循環�,持續優化智能程度�,如下:
除了傳統企業內網����,防火墻未來會更多的出現在云端、物端�����,以及他們演化出的各種新場景�����,直至泛在到所有應用環境。十年后����,可預測絕大部分防火墻的形態都會是軟件化的�����,主要嵌入在云端、容器內以及業務系統中間。固網邊界�����、工業防火墻�、虛擬化防火墻,這三個產品形態目前已初步成型,比如PaloAlto的NGFW Hardware���、VM-Series,國內工業防火墻系列;云端的如Saas化的防火墻����、容器防火墻正在蓬勃發展中����,國外已有成型產品�����,國內目前落后也不多�����,如PaloAlto的CN-Series已經明確“Next-Generation Firewall (NGFW) built for Kubernetes environments”�����,可基于Kubernetes的Node變化而隨需部署�����;Forti的FortiGuard Security Services���,能夠基于安全池部署多元化的安全能力����,為客戶按需提供全套服務����,等。另外���,國外巨頭已經明確的提出了“未來的安全在云端”的口號,在這里云端我認為主要指的就是各種公有云��、私有云��、工業云�����、容器云,代表了防火墻形態的發展大趨勢。
AI這個詞目前有點被用濫了��,具體防火墻如何走向智能���,需要從AI可落地性以及防火墻業務的現實角度來分析�����。
從部署位置看,不論是虛擬化還是物理的���,網絡的邊界是永遠存在的。防火墻位于邊界的位置��,這個特殊的位置決定了它的使命:對內���,它的作用是審計��、管理��;對外,它的主要作用是防護外來攻擊;因此,按照邊界位置的對內對外兩個角度看���,防火墻的智能體現在兩方面:
運維智能,具自動化的智能管理能力�,如升級�����、策略、狀態����、帶寬的批量自動化管理����,0部署開通��,資產和用戶的自動識別�����,等等�����;
安全智能����,基于機器學習的檢測規則、加密流量識別�����、結合情報的黑白名單�����、沙箱檢測機制���、結合大數據的攻擊鏈分析����,等等��;
運營智能�,在運營理論的加持下����,通過采集防火墻事件到云端進行智能分析和決策,自動下發策略���,完成安全防御閉環的機制。
運營是一個持續的一組活動���,包含了運營理論���、基礎設施和關鍵動作的組合�����。防火墻在這里�����,就是具體的基礎設施。要實現可持續運營���,參考通常的安全治理場景,防火墻至少需要具:資產自動識別能力�����、漏洞主動掃描能力�����、動態策略能力�����、網端數據上報能力。防火墻部署伊始,就需要持續不但自動洞悉資產、用戶和風險����,并結合云端能力綜合研判出安全態勢�����,并可形成動態規則對安全問題進行抑制��。
隨著云網融合的大趨勢����,未來大部分企業的業務會部署在云端��。相應的���,安全能力也會充分的和云網融合����,如“云原生”的防火墻,“網原生”的防火墻,防火墻的功能深度和云網基礎設施融合��,成為云或者網絡基礎設施天然自帶的能力之一���。從這個角度���,可以說“防火墻的未來在云端”��。
從安全產品大融合的發展趨勢來看�����,其實不僅僅是防火墻,從現在起,未來再無一個完全孤立的安全產品,所有的安全產品都將融入云化���、智能、運營化的大安全趨勢中去構建體系。從這個角度看,未來再無防火墻。
【實探】iPhone 14發售一周銷售數據曝光��!Mate 50硬剛�?5G手機殼含金量幾何
北向資金本周凈賣出逾60億元,重點減持電池、釀酒行業���,加倉半導體超13億元(名單)
世界杯進入倒計時 周邊產品成緊俏貨�����!帳篷城計劃有望引爆露營經濟 雙11+黑色星期五共同催化 有望受益的績優股來了
上證指數四季度“10年7漲” 機構集中看好周期���、軍工�����、銀行、新能源四大賽道
投資者關系關于同花順軟件下載法律聲明運營許可聯系我們友情鏈接招聘英才用戶體驗計劃涉未成年人違規內容舉報算法推薦專項舉報
不良信息舉報電話舉報郵箱:增值電信業務經營許可證:B2-20090237
以上信息由江蘇有銘集團有限公司整理編輯�,了解更多防火橋架信息請訪問http://www.bevluma.cn
關于我們
產品中心
聯系我們
QQ客服
