在網(wǎng)絡(luò)安全硬件子市場中��,防火墻是體量的單品����,具有廣泛的應用場景�����。防火橋架即便是今日在云化大潮下��,防火墻依然占有單品體量的首要位置��。
防火墻歷史較久,這些年幾個重要的演進階段���,包括:包過濾防火墻、代理防火墻���、狀態(tài)監(jiān)測防火墻���、統(tǒng)一威脅管理(簡稱UTM)����、下一代防火墻(簡稱NGFW)。時至今日��,如果按照Palo Alto在2007年次推出NGFW來算,下一代防火墻迄今已經(jīng)15年歷史了�。那么下一代防火墻后續(xù)會如何演進?
關(guān)于防火墻的未來走向�,技術(shù)層面的討論,背后的驅(qū)動力主要是需求的演進�,本質(zhì)上是以客戶需求的變化為主線���,這是一條穩(wěn)定的脈絡(luò),決定了產(chǎn)品形態(tài)演進的技術(shù)路線。
防火墻部署在網(wǎng)絡(luò)邊界出口位置的�����,負責流量的檢測和放行����,十幾年來這個邊界出口的定位一直沒有變����。防火墻技術(shù)層面演進的主要線索,是隨著用戶邊界流量的變化�,而帶來的防護要求的變化而演進的。
30年前���,網(wǎng)絡(luò)應用有限��,流量不大,用戶較少��,只有簡單的如Email,BBS����,文件服務器等�����。舉個例子,那時候的防火墻就像農(nóng)家小院的鐵門�,客人來敲門,主人就會去開門����;客人走了�����,主人就送客關(guān)門��,(過濾規(guī)則)簡單且有效。所以�,包過濾防火墻�,原理就是對進出的每一個報文,按照提前設(shè)置好的雙向規(guī)則(ACL)進行檢測并放行即可���。
后來����,互聯(lián)網(wǎng)開始繁榮,網(wǎng)絡(luò)應用的類型和數(shù)量大大增加��,上網(wǎng)人數(shù)急劇增多�,帶寬也大大增加;與此同時���,網(wǎng)絡(luò)應用也變得日益復雜起來,往往有自身的交互邏輯和運行狀態(tài),如PC從內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)站�����,出流量需要進行ACL檢測放行���,而入流量的目的端口是隨機的�。在這種情況下如果采用人工靜態(tài)配置“進和出”策略這樣來放行每一個訪問行為�,是不可能做到的����。所以,可行的辦法是防火墻智能記住這條流量的出入端口���,采用動態(tài)策略進行放行:只要首包ok����,就建立狀態(tài)表���,記住這條流的來回端口�,這樣后續(xù)這條訪問相關(guān)的持續(xù)的報文就不再逐包檢測����,而是根據(jù)狀態(tài)表進行放行����。一些防火墻技術(shù)如nat,alg�����,sip支持等都是在這個歷史時期產(chǎn)生的。這就好比農(nóng)家小院里的人口增加了��,主人來來回回開門關(guān)門覺得很麻煩��,這個時候在門口綁一條狗,凡來過的客人�����,狗就認識了(有了狀態(tài)),下次再來就根據(jù)記憶(狀態(tài)表)默認放行�����,這讓主人覺得“既方便也安全”����,即“狀態(tài)防火墻”����。
再后來,網(wǎng)絡(luò)帶寬再次革命�,加上3G的落地催生了移動互聯(lián)網(wǎng),帶來了新一輪的應用爆炸���。有代表性的應用就是Web2.0���,在這種環(huán)境下�,以往的檢測機制過于粗曠且不夠準確:舉例來說�����,一個80端口可以是訪問一個網(wǎng)頁����,也可以是一個網(wǎng)盤�,或者一個頁游��。因此���,傳統(tǒng)的基于五元組過濾的策略模式�����,根據(jù)端口和訪問地址禁止掉所有的不同類型的應用��,過于粗放�����,防火橋架無法滿足應用發(fā)展的實際情況了。所以在這個時候,PaloAlto這個���,首次重新定義了防火墻,核心原理就是在五元組的基礎(chǔ)上����,增加了APP ID和User ID,通過深度識別用戶和應用�����,并結(jié)合傳統(tǒng)五元組����,共同組成了新的過濾規(guī)則�,能夠更為精準的檢測和識別流量內(nèi)涵應用,從而滿足應用爆炸帶來的新的流量管控問題�����。此處�����,還是得再接著舉個例子:農(nóng)家小院人口爆炸�����,院子住不下了���,所以大家都搬進了大型小區(qū)�����。狗的記性再好��,也記不住這么多人(應用)了����。張家的人�,李家的人,王家的人�,車庫的車���,小區(qū)對外營業(yè)的商業(yè)�����,還有保潔����、外賣、裝修····· 所以���,得設(shè)立專業(yè)的物業(yè)保安隊伍���,對人員進行深度識別(登記)���,各色人等按照安全規(guī)則放行�,比如有門禁卡的業(yè)主�����,默認放行���;沒有門禁的,門崗登記并問詢業(yè)主確認后放行�;對車輛,建立車牌識別系統(tǒng),自動識別業(yè)主車和外來車輛�����;對外賣���,設(shè)置統(tǒng)一的存放點和登記制度��,等等,這就是新一代防火墻(NGFW)的核心工作原理�����。
防火墻的每一次演進��,都是隨著流量的變化而變化���。而流量變化的根因,是隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的演進而帶來的應用爆炸?���,F(xiàn)實中“應用類型、網(wǎng)絡(luò)架構(gòu)���、攻擊方式、企業(yè)信息管理機制��、算力基礎(chǔ)設(shè)施”等多個因素會綜合影響防火墻的形態(tài)����,需要要把這些因素關(guān)聯(lián)起來分析��,它們一起決定了防火墻的形態(tài)��、部署方式和核心功能�����。任何一個新一代次產(chǎn)品的產(chǎn)生,背后的核心推手是需求的變化��。需求這個��,即使短時間變化不大���,經(jīng)過日積月累,也會經(jīng)歷量變到質(zhì)變的過程從而產(chǎn)生新一代產(chǎn)品�����。無數(shù)的產(chǎn)品生命周期��,都是隨著核心需求的變化而潮起潮落����。
物理邊界的變化���。前10年��,防火墻主要部署位置在物理網(wǎng)絡(luò)的邊界處�����,起到邊界的“墻”的作用�。彼時大部分部署環(huán)境是以物理網(wǎng)絡(luò)環(huán)境為主�����,防火墻的形態(tài)絕大部分也是采用硬件形態(tài)為主�����。近年來,業(yè)務紛紛上云���,從而產(chǎn)生了大量云防火墻需求。云內(nèi)部署防火墻和傳統(tǒng)模式有較大區(qū)別�,主要影響因素在于網(wǎng)絡(luò)的虛擬化���,以及帶來的東西向隔離需求。所以在云內(nèi)使用防火墻��,一個是形態(tài)必須是虛擬化的軟件形態(tài)��,另一方面需要適配云內(nèi)新型網(wǎng)絡(luò)結(jié)構(gòu)��,以及具東西向隔離能力��。
云原生的興起�����。另一個環(huán)境變化是�,因為云的興起,相應的云原生應用也在加速發(fā)展�,以及未來云網(wǎng)融合的趨勢。云內(nèi)應用�,當屬Saas類應用為核心。云原生應用和傳統(tǒng)應用相比�����,從應用模式和底層運行環(huán)境都有巨大差異��,對這類防護需求�����,傳統(tǒng)防火墻無法直接部署�����,且適配的要求會比云防火墻更多。云技術(shù)的深層意義����,是代表了軟件Saas化的革命方向,而容器是Saas編程未來的重要基礎(chǔ)設(shè)施�����。因此可以大膽的預測,未來會有越來越多的應用跑在容器化的運行環(huán)境上,硬件��,操作系統(tǒng),云OS�、傳統(tǒng)網(wǎng)絡(luò)等底層因素會進一步被屏蔽,一切的一切都是“overlay”的����,這將是對防火墻重特大的變化訴求�。
物聯(lián)網(wǎng)的興起�����。另外一個變化�,是隨著5G 的加速落地,大量的“物”開始聯(lián)網(wǎng)成為新的主流場景���。5G自身的組網(wǎng)網(wǎng)絡(luò)模型也有了很大的改變,相應防火墻的防護位置和部署模式也有所不同����;另外隨著應用分布到了網(wǎng)絡(luò)的邊緣,防火墻安全能力也需要隨之而部署到邊緣位置。
工業(yè)網(wǎng)絡(luò)的變化����。隨著智慧制造戰(zhàn)略的深入���,越來越多的工業(yè)設(shè)會需要聯(lián)網(wǎng)。企業(yè)網(wǎng)絡(luò)的一次錯誤阻斷�,可能影響不大;而在工業(yè)網(wǎng)絡(luò)這種誤報可能會引發(fā)嚴重的生產(chǎn)事故����。另外�,工業(yè)網(wǎng)絡(luò)的拓撲、工控設(shè)的協(xié)議識別�����、工業(yè)網(wǎng)絡(luò)穩(wěn)定性要求等和傳統(tǒng)墻都有所不同����,這些都是需要防火墻進行重新設(shè)計的����。
泛化的“網(wǎng)關(guān)”的需求�����。從泛在的角度來看,防火墻將來未必只能部署在網(wǎng)絡(luò)的邊界��,只要是有信息進出的���,都有“網(wǎng)關(guān)”的需求�����。因此防護對象可以大大的擴大�,如�,交易數(shù)據(jù)流����,審批數(shù)據(jù)流�,API的訪問,云內(nèi)東西向流量等等����,本質(zhì)上都適用防火墻的“鑒別、檢測�、放行”的工作模式�����,業(yè)務防火墻會更為靈活的部署在任何需要的業(yè)務場景路徑上�,目前已經(jīng)有一些商在研制專用的業(yè)務防火墻了�����,這是個值得關(guān)注的趨勢���。
更精準的檢測要求:隨著IT的持續(xù)發(fā)展�����,防火橋架信息安全已經(jīng)深入到社會生活的方方面面�����。一些更棘手的攻擊越來越難以防范,同時防護的要求也越來越高�,如APT�、0Day、變種木馬�����、勒索病毒����,需要更強大���、智能的防護引擎�����,需要結(jié)合除了網(wǎng)絡(luò)檢測外�����,結(jié)合其他各種技術(shù)手段如終端檢測軟件、沙箱���、云端情報、大數(shù)據(jù)分析等來進行綜合防護���。僅僅是網(wǎng)的數(shù)據(jù)檢測����,精準度和可溯源度是不夠的,新一代的防火墻需要廣泛結(jié)合沙箱技術(shù)��、更強大的智能分析引擎��,并且結(jié)合端點分析�����、云端情報等進行高級防護�����,相信未來這一塊的核心競爭力在于安全檢測能力的算法改進��。
加密流量的盛行:現(xiàn)在互聯(lián)網(wǎng)上主流的門戶網(wǎng)站,90%以上都是采用了加密訪問機制�。隨著加密流量的比例越來越大,傳統(tǒng)檢測手段越來越難以檢測�。如果無法識別加密流量,防火墻的檢測效果就約等于零�����。針對加密流量的行為特征����,結(jié)合用戶身份和平臺API分析,以及更多的結(jié)合其他手段如端的輔助手段�,對加密流量進行檢測勢在必行。
零日攻擊及攻擊溯源:隨著人類社會數(shù)字化進程的逐步深入�,未來會有越來越多的重要的社會資產(chǎn)數(shù)字化�,將來網(wǎng)絡(luò)攻擊不僅僅會帶來財產(chǎn)的損失��,更會影響到人民的生命甚至是國家的安危�����。另外�,防火墻以往靜態(tài)規(guī)則的檢測模式,無法應對零日攻擊的盛行��,防火墻需要具更智能的檢測能力����,并在攻擊發(fā)生后,能夠?qū)暨M行快速的溯源��。
遠程接入的防護需求:新冠疫情以后�,催生了大量企業(yè)生的遠程安全辦公需求�。在這里�,不僅僅是一個傳統(tǒng)防火墻+vpn就能解決的問題����。隨著IT基礎(chǔ)設(shè)施的不斷云化���,企業(yè)的應用往往分布在云端��、內(nèi)網(wǎng)����、傳統(tǒng)IDC等混合位置�����。員工遠程在家辦公�����,除了安全接入的需求����,更需要基于身份、pC環(huán)境以及訪問位置���,進行持續(xù)動態(tài)評估和權(quán)限細粒度分配的需求�。
聯(lián)動防護的需求:隨著IT技術(shù)越來越深入企業(yè)和社會生活,對防護實時性的需求更為嚴苛���。攻擊手段日新月異����,越來越難以通過一臺設(shè)單點能力就能夠進行足夠精準的防護����。因此�����,防火墻需要更多聯(lián)動或被集成到其他產(chǎn)品和平臺�����,進行協(xié)同立體防護�����。
部署規(guī)模越來越大:隨著企業(yè)網(wǎng)絡(luò)規(guī)模越來越大�,相應的防火墻的部署量也越來越大��,特別是一些大型行業(yè)����。因此�,對大量設(shè)的統(tǒng)一管理和運營需求非常強烈。在一些規(guī)模較大的行業(yè)���,比如電力�����、央企、學校�,會有一次性幾千臺墻以上的部署規(guī)模����,且部署分布的物理位置極廣,有些邊緣地區(qū)的部署維護成本極高��,如果沒有一個簡單穩(wěn)定智能的集中管理手段��,沒有快速部署上線和排查手段����,是不可想象的�。
部署環(huán)境越來越復雜:同一個企業(yè)��,業(yè)務有可能分布在不同的物理位置��,比如鐵路購票網(wǎng)站��,門戶可能部署在云端����,票務數(shù)據(jù)庫部署在內(nèi)網(wǎng)�����,業(yè)務邏輯部署在私有云���,相應的防火墻也需要根據(jù)業(yè)務分布部署在不同的地方,如公有云����,私有云�����,傳統(tǒng)IDC。在這個需求下�,需要防火墻能同時部署在云端和傳統(tǒng)IDC,滿足“全場景”的部署需求��。
企業(yè)數(shù)據(jù)的分布化:未來企業(yè)數(shù)據(jù)中心的去中心化的趨勢會越來越普遍�����。ERP、Office�、SalesForce、企業(yè)出差管理軟件等�,普遍采用Saas化的云端應用;核心數(shù)據(jù)庫���、內(nèi)部管理系統(tǒng)等,還是部署在本地����;分支的接入,以及數(shù)據(jù)的虛擬化邊界外延��,都需要防火墻能做到動態(tài)��、按需部署,對軟件定義的虛擬化邊界進行有效防護����。
實時處置的需求:隨著數(shù)據(jù)資產(chǎn)的重要性日益增強,客戶對攻擊從發(fā)生和防護之間的時間窗口要求越來越高����。傳統(tǒng)人工查日志這種排查模式,無法滿足實時性的要求����,特別是對0Day攻擊的防護要求�����。因此,需要有新的更加智能���、自動化的閉環(huán)處置基礎(chǔ)設(shè)施和工作方法來應對這個需求����。
可持續(xù)運營的需求:之前看Carta安全體系,映像深刻的就是其中的那個天平�,能代表Carta的精髓。這個天平����,意思是對風險和信任的研判過程是持續(xù)不斷��,反復多次進行的�。換一個角度來看����,這是對傳統(tǒng)基于靜態(tài)規(guī)則的防護模式的革命性改善,只有在運營過程中持續(xù)的對風險和信任進行持續(xù)評估����,持續(xù)對客戶防護域進行動態(tài)防護�����,才能應對新一代的零日攻擊風險���。體現(xiàn)在防火墻產(chǎn)品上���,主要是需要對內(nèi)部資產(chǎn)進行動態(tài)識別���,對軟件邊界進行自適應識別�����,對流量進行精準識別,對訪問進行持續(xù)的身份鑒別�����,對風險和攻擊進行持續(xù)監(jiān)測和評估����,從而能夠下發(fā)動態(tài)的“合適”的策略對用戶網(wǎng)絡(luò)進行防護�����。
多態(tài)��,指防火墻可以以任何形態(tài)出現(xiàn)在任何需要的場景里去�����,甚至是非傳統(tǒng)網(wǎng)絡(luò)場景�����;
智能�,指防火墻對內(nèi)能夠洞悉一切,對外可以結(jié)合云端大腦和情報增強防御能力�,并具自動化的運維手段���;
可持續(xù)運營�,指防火墻能夠和具體客戶業(yè)務環(huán)境結(jié)合�,落地有針對性的運營措施����,持續(xù)改善用戶的網(wǎng)絡(luò)邊界安全態(tài)勢。
近期調(diào)研了主要防火墻家近期規(guī)劃�����,也發(fā)現(xiàn)了諸多的一致,如PaloAlto在多態(tài)方面�,除了提供傳統(tǒng)硬件防火墻�����,還提供虛擬防火墻����、云防火墻�;適應的場景除了企業(yè)網(wǎng)����,還適用物聯(lián)網(wǎng)���、云環(huán)境�����、5G、SD-WAN、ZTN��、SASE等眾多場景�;在智能化技術(shù)路線上,采用了高級威脅分析�����、機器學習、威脅分析��、云端情報����、智能策略調(diào)優(yōu)、智能自動識別應用等技術(shù)手段���,能夠以智能識別、智能防御��、智能管理的方式強化防火墻的安全能力和處置效率�����;在可持續(xù)運營方面�,通過XDR、SOAR�����、panorama(可視化���、情報)等技術(shù)手段,對防火墻進行持續(xù)運營��,縮短緊急事件處置時間��。
國內(nèi)防火墻主要商也在積極演進��,也大量采用智能化的技術(shù)手段����,通過深度學習、智能融合����、攻擊鏈分析、云端情報、APDRO模型等方式�,強化智能識別����、智能防御、智能管理這三個層面�����;特別的���,在2021年,頭部商已經(jīng)退出可運營的防火墻��,防火墻可以連接云端�,通過云端聯(lián)動�����、熱點分析���、在線專家運營的方式��,提供貼合國內(nèi)客戶業(yè)務特點的運營服務����。
防火墻以物理和虛擬的形態(tài),廣泛部署于各種應用環(huán)境中��,并統(tǒng)一被管理中心納管�����。管理中心可視一張企業(yè)虛擬的邊界網(wǎng)絡(luò)拓撲���,并云端大腦對接�����,可在本地安排安全專家進行運營支撐���。當本地研判能力和情報能力的不足時,由云端補充��;云端也可采集本地安全數(shù)據(jù)和事件�����,優(yōu)化云端安全模型���,并賦能更多的地端設(shè),以此往復循環(huán)�����,持續(xù)優(yōu)化智能程度����,如下:
除了傳統(tǒng)企業(yè)內(nèi)網(wǎng),防火墻未來會更多的出現(xiàn)在云端�、物端,以及他們演化出的各種新場景�����,直至泛在到所有應用環(huán)境����。十年后,可預測絕大部分防火墻的形態(tài)都會是軟件化的�,主要嵌入在云端�����、容器內(nèi)以及業(yè)務系統(tǒng)中間���。固網(wǎng)邊界、工業(yè)防火墻���、虛擬化防火墻����,這三個產(chǎn)品形態(tài)目前已初步成型��,比如PaloAlto的NGFW Hardware�����、VM-Series,國內(nèi)工業(yè)防火墻系列���;云端的如Saas化的防火墻���、容器防火墻正在蓬勃發(fā)展中,國外已有成型產(chǎn)品�����,國內(nèi)目前落后也不多�����,如PaloAlto的CN-Series已經(jīng)明確“Next-Generation Firewall (NGFW) built for Kubernetes environments”����,可基于Kubernetes的Node變化而隨需部署�;Forti的FortiGuard Security Services,能夠基于安全池部署多元化的安全能力���,為客戶按需提供全套服務�����,等��。另外,國外巨頭已經(jīng)明確的提出了“未來的安全在云端”的口號�,在這里云端我認為主要指的就是各種公有云、私有云�、工業(yè)云����、容器云,代表了防火墻形態(tài)的發(fā)展大趨勢��。
AI這個詞目前有點被用濫了�,具體防火墻如何走向智能����,需要從AI可落地性以及防火墻業(yè)務的現(xiàn)實角度來分析���。
從部署位置看�����,不論是虛擬化還是物理的��,網(wǎng)絡(luò)的邊界是永遠存在的�����。防火墻位于邊界的位置���,這個特殊的位置決定了它的使命:對內(nèi),它的作用是審計�����、管理;對外�����,它的主要作用是防護外來攻擊�;因此,按照邊界位置的對內(nèi)對外兩個角度看��,防火墻的智能體現(xiàn)在兩方面:
運維智能���,具自動化的智能管理能力,如升級����、策略、狀態(tài)��、帶寬的批量自動化管理���,0部署開通���,資產(chǎn)和用戶的自動識別,等等�����;
安全智能�����,基于機器學習的檢測規(guī)則��、加密流量識別�、結(jié)合情報的黑白名單���、沙箱檢測機制���、結(jié)合大數(shù)據(jù)的攻擊鏈分析,等等��;
運營智能��,在運營理論的加持下��,通過采集防火墻事件到云端進行智能分析和決策�,自動下發(fā)策略,完成安全防御閉環(huán)的機制��。
運營是一個持續(xù)的一組活動�,包含了運營理論�����、基礎(chǔ)設(shè)施和關(guān)鍵動作的組合�。防火墻在這里,就是具體的基礎(chǔ)設(shè)施����。要實現(xiàn)可持續(xù)運營����,參考通常的安全治理場景�����,防火墻至少需要具:資產(chǎn)自動識別能力�����、漏洞主動掃描能力��、動態(tài)策略能力���、網(wǎng)端數(shù)據(jù)上報能力�����。防火墻部署伊始��,就需要持續(xù)不但自動洞悉資產(chǎn)����、用戶和風險,并結(jié)合云端能力綜合研判出安全態(tài)勢����,并可形成動態(tài)規(guī)則對安全問題進行抑制�����。
隨著云網(wǎng)融合的大趨勢���,未來大部分企業(yè)的業(yè)務會部署在云端�。相應的�,安全能力也會充分的和云網(wǎng)融合���,如“云原生”的防火墻,“網(wǎng)原生”的防火墻�����,防火墻的功能深度和云網(wǎng)基礎(chǔ)設(shè)施融合��,成為云或者網(wǎng)絡(luò)基礎(chǔ)設(shè)施天然自帶的能力之一�。從這個角度,可以說“防火墻的未來在云端”�。
從安全產(chǎn)品大融合的發(fā)展趨勢來看,其實不僅僅是防火墻�,從現(xiàn)在起,未來再無一個完全孤立的安全產(chǎn)品���,所有的安全產(chǎn)品都將融入云化�、智能、運營化的大安全趨勢中去構(gòu)建體系����。從這個角度看,未來再無防火墻�。
【實探】iPhone 14發(fā)售一周銷售數(shù)據(jù)曝光�!Mate 50硬剛?5G手機殼含金量幾何
北向資金本周凈賣出逾60億元��,重點減持電池����、釀酒行業(yè)�,加倉半導體超13億元(名單)
世界杯進入倒計時 周邊產(chǎn)品成緊俏貨���!帳篷城計劃有望引爆露營經(jīng)濟 雙11+黑色星期五共同催化 有望受益的績優(yōu)股來了
上證指數(shù)四季度“10年7漲” 機構(gòu)集中看好周期��、軍工����、銀行、新能源四大賽道
投資者關(guān)系關(guān)于同花順軟件下載法律聲明運營許可聯(lián)系我們友情鏈接招聘英才用戶體驗計劃涉未成年人違規(guī)內(nèi)容舉報算法推薦專項舉報
不良信息舉報電話舉報郵箱:增值電信業(yè)務經(jīng)營許可證:B2-20090237
以上信息由江蘇有銘集團有限公司整理編輯���,了解更多防火橋架信息請訪問http://www.lesiure.cn
關(guān)于我們
產(chǎn)品中心
聯(lián)系我們
QQ客服
