云防火墙进化论

0x00、产品需求

在安全运营数智化的今天，越来越多的新基建项目要求使用云原生的安全解决方案，同时，新基建有两个发展方向，激进一些的解决方案是直接在公有云上构建多云场景，完全使用云原生的解决方案；保守一些的解决方案通过x-stack专有云形式对用户输出。但是无论哪种解决方案，防火墙将帮助企业构建云上网络边界安全防护能力的需求也依然没有改变，只是形式发生了变化。

针对不同用户的业务场景，对防火墙的需求也有所不同，针对大型的企业集团公司的使用场景、金融云场景以及公有云中小企业用户，其业务安全诉求强度不尽相同。

@1、降低互联网暴露、内网非法下载、挖矿外联等风险，我们需要非法外联安全管控功能

@2、暴露在互联网上的服务，有新增0day漏洞时候，需要虚拟补丁防护，做到业务0中断。

@3、等保合规的业务需求，需要满足安全区域边界要求，以及日志保存180天的强监管需求。

@4、当然在易用性方面也需要改变过滤规则的设置和配置十分复杂，配置困难的难题，通过机器学习等方法帮助用户快速、准确的设置防火墙策略。

0x01、技术迭代

大致按照部署形式，技术变革里程碑给防火墙技术发展史做了一下分类：

一、在传统防火墙阶段，主要介绍一下安全组、传统包过滤和状态防火墙、以及Web防火墙的区别。

@1、传统防火墙vs安全组

其实传统的防火墙就是通过传统路由表ACL过滤+TCP状态监控，可以处理IP地址、TCP欺骗等攻击。设置阻断策略。

安全组，是在虚拟网络中，把这种传统防火墙的能力做层分布式部署方式，通过控制节点和计算节点把不同的云主机实例划分到一个安全组，实现安全域的管控。

当然为了提升效率会做DPDK改造。

@2、云防火墙vs Web应用防火墙

云防火墙产品定位：多云场景环境下的SaaS化4层状态防火墙，可统一管理互联网到业务的访问控制策略（南北向）和业务与业务之间的微隔离策略（东西向），支持全网流量可视和业务间访问关系可视。使用场景：多云场景统一防火墙策略管控、CDN、等保安全域划分。

Web应用防火墙产品定位：客户端到源站服务器南北向的流量，主要针对七层http协议。waf对APP或网页的业务请求流量进行恶意特征识别和防护，保护业务安全和核心数据安全。使用场景：Web应用安全防护。

二、下一代防火墙阶段，云原生vs UTM

传统硬件防火墙，下一代防火墙里程碑进步主要要体现在可以对协议内部的数据做深度包检测（DPI），比如：能线速提取，数据包的内容，URL，包含携带的文件，这样就可以集成更强大的安全检测能力，可以对接IDPS能力；威胁情报；URL过滤；防毒墙等。当然这是伴随着NP架构升级到x86硬件能力提升的结果。

在这个阶段，云防火墙也得到不断的进化，这部分突出的技术就是在云主机层面使用微隔离技术。也是得益于云计算技术在虚拟化层面的性能提升。

三、新基建防火墙发展阶段

这个阶段，主要是集成平台侧和租户侧的统一管理。当然在这部分我更看好云防火墙发展态势，虽然传统硬件防火墙也在不断使用自己SDN技术做虚拟化防火墙，但是要说谁更懂网络虚拟化，那当然是公有云了，绝对不是独立的第三方安全厂商。所以云原生防火墙是最终一统形式。

当然，在此发展阶段还需要向硬件部署的下一代防火墙学习，要完善自己的DPI功能

@1、实时发现新增对外服务暴露的端口，联动扫描器，帮助用户收敛25%+的网络风险暴露面

@2、实时入侵防护，对内部外联IP与威胁情报联动，一旦发现恶意连接挖矿地址、失陷主机，要及时告警和阻断。

@3、与IPS联动，及时发现CVE扫描，特别是0day攻击，用户自定义策略阻断。

@4、访问日志审计留存，安全合规要求。

0x02、展望

在安全运营大行其道的时代，云防火墙是你的刚性安全需求；在选型的阶段，也建议多用云原生。