產(chǎn)品需求
在舟曲等地區(qū)�����,都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局�,加強發(fā)展的系統(tǒng)性��、市場前瞻性�、產(chǎn)品創(chuàng)新能力,以專注��、極致的服務(wù)理念���,為客戶提供成都網(wǎng)站設(shè)計�、網(wǎng)站制作 網(wǎng)站設(shè)計制作定制網(wǎng)站設(shè)計,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計,成都全網(wǎng)營銷推廣,成都外貿(mào)網(wǎng)站建設(shè),舟曲網(wǎng)站建設(shè)費用合理��。
在安全運營數(shù)智化的今天��,越來越多的新基建項目要求使用云原生的安全解決方案�,同時,新基建有兩個發(fā)展方向,激進一些的解決方案是直接在公有云上構(gòu)建多云場景����,完全使用云原生的解決方案;保守一些的解決方案通過x-stack專有云形式對用戶輸出。但是無論哪種解決方案�,防火墻將幫助企業(yè)構(gòu)建云上網(wǎng)絡(luò)邊界安全防護能力的需求也依然沒有改變,只是形式發(fā)生了變化�。
針對不同用戶的業(yè)務(wù)場景,對防火墻的需求也有所不同�,針對大型的企業(yè)集團公司的使用場景、金融云場景以及公有云中小企業(yè)用戶��,其業(yè)務(wù)安全訴求強度不盡相同����。
- 降低互聯(lián)網(wǎng)暴露、內(nèi)網(wǎng)非法下載���、挖礦外聯(lián)等風險�����,我們需要非法外聯(lián)安全管控功能
- 暴露在互聯(lián)網(wǎng)上的服務(wù),有新增0day漏洞時候��,需要虛擬補丁防護����,做到業(yè)務(wù)0中斷�����。
- 等保合規(guī)的業(yè)務(wù)需求�����,需要滿足安全區(qū)域邊界要求��,以及日志保存180天的強監(jiān)管需求����。
- 當然在易用性方面也需要改變過濾規(guī)則的設(shè)置和配置十分復(fù)雜��,配置困難的難題����,通過機器學(xué)習(xí)等方法幫助用戶快速、準確的設(shè)置防火墻策略�����。
技術(shù)迭代
大致按照部署形式,技術(shù)變革里程碑給防火墻技術(shù)發(fā)展史做了一下分類:
1. 在傳統(tǒng)防火墻階段���,主要介紹一下安全組�����、傳統(tǒng)包過濾和狀態(tài)防火墻�、以及Web防火墻的區(qū)別���。
(1) 傳統(tǒng)防火墻vs安全組
其實傳統(tǒng)的防火墻就是通過傳統(tǒng)路由表ACL過濾+TCP狀態(tài)監(jiān)控���,可以處理IP地址、TCP欺騙等攻擊��。設(shè)置阻斷策略���。
安全組���,是在虛擬網(wǎng)絡(luò)中,把這種傳統(tǒng)防火墻的能力做層分布式部署方式�����,通過控制節(jié)點和計算節(jié)點把不同的云主機實例劃分到一個安全組��,實現(xiàn)安全域的管控��。
當然為了提升效率會做DPDK改造��。
(2) 云防火墻vs Web應(yīng)用防火墻
云防火墻產(chǎn)品定位:多云場景環(huán)境下的SaaS化4層狀態(tài)防火墻����,可統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的訪問控制策略(南北向)和業(yè)務(wù)與業(yè)務(wù)之間的微隔離策略(東西向),支持全網(wǎng)流量可視和業(yè)務(wù)間訪問關(guān)系可視�。使用場景:多云場景統(tǒng)一防火墻策略管控、CDN��、等保安全域劃分��。
Web應(yīng)用防火墻產(chǎn)品定位:客戶端到源站服務(wù)器南北向的流量��,主要針對七層http協(xié)議��。waf對APP或網(wǎng)頁的業(yè)務(wù)請求流量進行惡意特征識別和防護�,保護業(yè)務(wù)安全和核心數(shù)據(jù)安全。使用場景:Web應(yīng)用安全防護����。
2. 下一代防火墻階段�����,云原生vs UTM
傳統(tǒng)硬件防火墻����,下一代防火墻里程碑進步主要要體現(xiàn)在可以對協(xié)議內(nèi)部的數(shù)據(jù)做深度包檢測(DPI)�����,比如:能線速提取�����,數(shù)據(jù)包的內(nèi)容���,URL�,包含攜帶的文件����,這樣就可以集成更強大的安全檢測能力,可以對接IDPS能力;威脅情報;URL過濾;防毒墻等�����。當然這是伴隨著NP架構(gòu)升級到x86硬件能力提升的結(jié)果。
在這個階段�����,云防火墻也得到不斷的進化�,這部分突出的技術(shù)就是在云主機層面使用微隔離技術(shù)�。也是得益于云計算技術(shù)在虛擬化層面的性能提升。
3. 新基建防火墻發(fā)展階段
這個階段����,主要是集成平臺側(cè)和租戶側(cè)的統(tǒng)一管理。當然在這部分我更看好云防火墻發(fā)展態(tài)勢����,雖然傳統(tǒng)硬件防火墻也在不斷使用自己SDN技術(shù)做虛擬化防火墻,但是要說誰更懂網(wǎng)絡(luò)虛擬化��,那當然是公有云了�����,絕對不是獨立的第三方安全廠商���。所以云原生防火墻是最終一統(tǒng)形式�����。
當然����,在此發(fā)展階段還需要向硬件部署的下一代防火墻學(xué)習(xí),要完善自己的DPI功能
- 實時發(fā)現(xiàn)新增對外服務(wù)暴露的端口���,聯(lián)動掃描器����,幫助用戶收斂25%+的網(wǎng)絡(luò)風險暴露面
- 實時入侵防護����,對內(nèi)部外聯(lián)IP與威脅情報聯(lián)動,一旦發(fā)現(xiàn)惡意連接挖礦地址��、失陷主機����,要及時告警和阻斷。
- 與IPS聯(lián)動���,及時發(fā)現(xiàn)CVE掃描�����,特別是0day攻擊��,用戶自定義策略阻斷�����。
- 訪問日志審計留存���,安全合規(guī)要求。
展望
在安全運營大行其道的時代�����,云防火墻是你的剛性安全需求;在選型的階段�,也建議多用云原生。
網(wǎng)頁標題:云防火墻進化論
轉(zhuǎn)載注明:
http://uogjgqi.cn/article/dphscpj.html
