防火墙实际上是一种什么技术，防火墙本质上是什么

派拓网络亚太及日本区首席技术官西达尔特·德什潘德

在过去的一年里，我和上百家大型企业谈过SASE。我对云所交付的网络和安全服务如何深度改变企业非常感兴趣，也深有体会。尽管如此，我仍然坚信防火墙对于数字业务仍然非常重要。分析师也同意:Gartner预测，到2026年，超过60%的企业将部署一个以上的防火墙，这将促进混合网状防火墙(HMF)的应用。随着云计算成为企业的主流，防火墙变得比以往任何时候都更加重要。关于防火墙在未来几年的战略意义，我在与首席信息安全官(CISO)和首席信息官(CIO)交流时谈到了以下几个重要方面:

防火墙已经今非昔比了。

防火墙不仅不会消亡，还会继续发展演变。多年来，领先的防火墙架构已经从简单的网络层检查发展到应用感知，从提供基本的安全功能发展到帮助检测和防止零日攻击，从保护IT发展到保护OT/IoT，等等。防火墙也是保证5G网络安全的关键部分，开发了嵌入式代理功能，用户不再需要管理多个不同的网络安全架构和部署。

如今，混合网状防火墙(HMF)的概念正在兴起，其中的防火墙不仅仅是一个硬件设备。客户希望能够选择防火墙功能的形式，如硬件、软件、容器化、防火墙即服务等等。所有这些形式都需要通过同一个管理控制台来管理，以使混合网状防火墙策略生效。

不要让防火墙成为摆设。

不应仅仅为了完成任务而部署防火墙。防火墙只有用于防御具有规避能力的攻击者，启用真正的零信任架构，才能发挥作用。如果企业防火墙厂商未能将深度学习和机器学习模型应用于流量，那么防火墙只是一个摆设。为了实时抵御攻击，防火墙不仅需要高级的安全功能，还需要在开启这些功能的同时保持优异的性能。这就需要仔细看防火墙厂商的数据表，根据实际使用案例进行测试。在某些情况下，当防火墙开启关键安全检查功能时，性能会下降近75%。以上都是选择防火墙供应商时非常重要的评估标准。

防火墙在SASE体系结构中的作用

通用的网络安全架构非常少见。当企业希望使用“安全即服务”架构来检查云中的流量，而不是将其发送回DC的集中式设备时，SASE/SSE可以发挥作用。这种方法在很多用例中都非常有效，比如分支流量、远程用户、安全访问云应用等等。当企业想要实现高带宽数据中心环境、关键基础设施保护、5G网络安全、东西向流量检测、云安全、物联网安全等特殊用例时，防火墙和网络安全设备就派上了用场。关键在于网络安全架构的SASE部分是否可以用与防火墙和代理服务器相同的管理控制台来管理。例如，具有独立策略结构和管理控制台的两种不同技术堆栈会降低运行效率和安全性。建议企业选择在混合网状防火墙(HMF)和SASE两方面都具有领先优势的网络安全合作伙伴。

网络转换路径

防火墙作为企业安全策略的重要组成部分，不能孤立存在。它需要访问安全堆栈的其他部分才能充分发挥其潜力。我们观察到，客户正在大规模转向XDR，将网络安全与终端和云安全连接起来，从而统一了对威胁的感知，加快了检测和响应速度。所以企业应该从防火墙厂商那里了解的关键信息是:他们的XDR解决方案是什么？如何帮助实现跨网络、跨终端、跨云的统一分析？

另一个需要考虑的重要方面是将云防火墙集成到更大的云安全平台(俗称CNAPP，即云原生应用防护平台)。所以企业需要关注的另一个重点是防火墙供应商的CNAPP策略，防火墙与企业整个云安全架构的结合点。

在云服务提供商(CSP)环境中部署防火墙

一个常见的误解是，Azure、AWS和GCP等公共云服务提供商(CSP)环境不需要防火墙，但事实上恰恰相反。我们发现，具有严格云战略的CISO将在云VPC部署虚拟化(有时是容器化)版本的企业防火墙。但值得注意的是，不仅要注意形式，还要注意深入的安全检查和可管理性。在与CSP负责人合作的过程中，非常重要的一点是采取非常有策略的方法——让防火墙技术作为CSP管理控制台中的本地服务来提供。

总之，防火墙非常有活力，它正在向混合网状防火墙(HMF)发展，这使得企业可以选择在哪里以及如何使用这一重要的网络安全功能。建议首席信息官、CISO和网络负责人根据企业支持数字化业务需求的能力谨慎选择防火墙架构和供应商。