保障網絡版防火墻系統可用性的三個關鍵要素

在企業網絡安全建設中，部署防火墻系統仍然是最基礎的防護手段之一。隨著企業組織數字化業務轉型的加快，網絡安全人員認識到傳統的網絡防火墻系統需要一些新的轉變，才能跟上企業應用需求的發展：

• 敏捷性要求，網絡安全防護需要能夠與數字化業務加快的步伐保持同步；
• 靈活性要求，防火墻系統需要在不同的場景（公共云、私有云、混合云）中進行部署，并根據需要將安全防護擴展到組織網絡系統的內外部；
• 可擴展要求，防火墻需要根據需要增刪安全服務，同時要能夠快速添加新服務。

鑒于所有企業面臨的網絡攻擊風險越來越大，應用更智能化的防火墻系統的需求也越來越大，對防火墻產品能力的要求也越來越高。隨著網絡泛在化的發展，防火墻將來不僅只部署在網絡的邊界，需要防護的對象還可以不斷擴大。企業需要盡快將傳統的內部防火墻，進行現代化的升級改造，部署更加先進的網絡版防火墻系統。

日前，安全研究人員總結了保障新一代網絡防火墻系統可用性的三個關鍵要素：

虛擬化能力

今天的網絡防火墻系統，既需要傳統物理防火墻才具備的應用方式，同時也需要融合虛擬化技術帶來的靈活性。虛擬化技術消除了傳統硬件部署的復雜性、高成本和架構風險，同時為可以幫助企業簡化網絡架構。

• 通過虛擬化，可以給網絡防火墻帶來以下優點：
• 可擴展性：可以根據日常變化輕松快速地加強檢查能力。
• 敏捷性：通過一個按鈕就可以靈活添加帶寬容量。
• 靈活部署：可以支持從本地、混合（本地和云）、公共云到私有云的眾多部署模式。
• 部署成本低：如果企業采用訂閱模式按使用付費，可以將設備成本支出變成安全運營支出，僅為所需的資源付費。

自動化能力

如果我們要實現網絡防火墻應用的虛擬化，將面臨一定的工程化任務挑戰。將防火墻應用虛擬化需要專業的工程知識和一定的時間投入。這種虛擬化項目的主要階段包括如下：

• 配置和優化虛擬化管理軟件
• 啟動和初始配置下一代防火墻（NGFW）虛擬機
• 集成多家防火墻供應商的軟件許可
• 健康檢查機制
• 維護平臺

由此可見，為了實現防火墻的虛擬化，需要盡可能將各種安全任務實現自動化，我們就能獲得速度、可擴展性和可靠性。自動化會大大簡化防火墻的工作流程，并改善了一致性和準確性。在實施自動化后，我們會開始看到以下能力提升：

更簡單、集中式、更輕松地管理各種安全任務和操作

更快速地提供新服務和新功能

動態快速地改變網絡防火墻容量

智能編排能力

將傳統物理防火墻變成虛擬防火墻是一個巨大的挑戰，盡管自動化技術能夠幫助企業應對這種挑戰，但是DevOps和DevSecOps仍需要扎實的專業知識和大量投入。對自動化應用實現真正影響重大的是智能編排（Intelligent Orchestration）。編排允許流程在沒有人工干預的情況下順暢運轉，其核心是在合適的時間啟動合適的工作流程（使用合適的參數）。這種強大的工具便于呈現和控制網絡防火墻更有效的運行工作，包括：

• 簡化復雜操作：它可以自動管理內部虛擬防火墻從部署、擴展到優化的整個生命周期。
• 優化資源分配：可以針對網絡吞吐量和安全性要求自動提升虛擬防火墻性能，并隨時了解不斷更新的資源利用率情況。智能編排中的智能不僅代表著用戶需要做什么，還能根據用戶環境的要求執行用戶需要它執行的操作。
• 洞察所有系統：全面顯示系統的總體健康狀況、服務器資源分配、虛擬機和網絡利用率，將所有可用的資源作為一個整體加以洞察。這使得IT團隊能夠跨多個平臺自動處理安全運維任務，使團隊可以更靈活地應對安全形勢發展變化。

結語

虛擬化、自動化和智能編排這三個關鍵要素將使組織的網絡安全能力跟上數字化業務發展的步伐。因為這些要素提供了新一代網絡防火墻所必需的速度和簡潔性，從而有能力應對不斷變化的情形。結合虛擬化、自動化和智能編排，組織就能實現防火墻能力的云化，大大縮短防火墻部署時間。組織可以借助簡單的單一用戶界面和零接觸操作，管理內部虛擬防火墻的可用性和實用性，從而以正確的方式實現防火墻應用現代化。