第一款商業防火墻 DEC SEAL，于1992年發售。25年之后，防火墻依然是企業安全基礎設施中的核心構件塊。誠然，防火墻自面世起經過了很多發展變化，每個進化階段都加入了更復雜的安全功能。

我們從僅需要用戶編寫出站策略的流量狀態防火墻，發展到支持更細粒度過濾和深度包檢測的下一代防火墻(NGFW)，不僅網絡協議和端口，特定應用流量也能識別。虛擬數據中心的采用，引領了虛擬防火墻的發展，增添了更多需要管理的設備。

而如今，隨著向私有和公共云的遷移，出現了更多可供選擇的安全控制：商業云防火墻、云提供商自有的控制，以及基于主機的防火墻。

翻譯問題

目前的現實是，公司企業的環境通常都是混合的：數代防火墻、技術和廠商大雜燴。管理如此混雜的環境是一大挑戰，因為每一代防火墻、每個廠商的產品，用的是不同的語法和語義來創建安全策略。

就拿同時采用傳統防火墻和NGFW的企業網絡來說。該企業可能有一套全公司范圍內應用的社交媒體站點封鎖規則，但其市場部又需要能夠訪問Facebook。Facebook流量流經兩種類型的防火墻——意味著新安全策略需要針對兩種防火墻都來一份。

對NGFW而言，添加這條新規則直觀又簡單。Facebook可在防火墻規則集中被設置為預定義的‘允許’應用，而對其他社交媒體站點的訪問和來自其他部門的訪問請求，則被禁止。然而，傳統防火墻理解不了“Facebook”這個詞：它只能理解Facebook使用的默認“源地址”、“目的地址”、“服務”和“動作”協議——http和https。

于是，實際上，在NGFW和傳統防火墻上做安全策略修改，涉及的是完全不同的過程和語言。配置設備的工程師必須既要清楚了解應用間的映射(因為要在NGFW中定義)，還要熟知它們各自的服務、協議和端口(因為要在傳統防火墻中定義)，這樣規則和策略才能在兩種環境中都得到正確的設置。

編寫這些策略或作出網絡變動時，各產品間出現的任何錯誤或“翻譯差錯”，都有可能導致非預期的應用掉線或引入安全漏洞——要么源于重要流量被無心封堵，要么是其他流量被無意間允許了。典型企業網絡環境中都有數十乃至上百個防火墻，如此倍增下來，無異于通往超級大混亂的絕佳秘方。

云端并發癥

當這些過程擴展到云部署，取決于所用的云安全控制，IT團隊還會遭遇到額外的難題。某家云提供商可能會對特定服務器提供多個安全分組，而其他提供商可能只允許單一安全組——但又可能允許與VLAN中所有服務器相關聯的安全組。從較高層次看，你可以為基礎流量過濾指定一個最小公約數，但一旦想要開始做點更復雜的事——企業網絡所需的細粒度過濾，有些提供商可能就沒有能力提供這些功能了。

而且，每家提供商的語義模型都不同，你能用其產品過濾的東西，你的控制規則能應用的地方，也各不相同;與公司已經部署的內部防火墻也有差異。

這各不相同的語言意味著，在異構網絡環境中跨多個不同類型防火墻部署安全策略，是一件極端復雜的事——意味著甚至做最簡單的改變(比如為公司某部門啟用Facebook或YouTube訪問)，都充滿了風險。

打破語言障礙

那么，怎樣才能除去安全策略修改中的風險，減少IT團隊必須在多種防火墻語言中轉換的麻煩呢?無論企業內部還是云端，各種安全控制用以構建各自規則和策略的不同語法及詞匯間，能有辦法相互翻譯即可。這樣IT團隊就可以讓安全資產理解各自業務的語言了。

為跨越語言障礙，以統一的控制臺和單一的命令集，有效優化及管理安全，你需要具備以下4個關鍵功能的自動化管理解決方案：

1. 可見性與控制

你要能虛擬化整個網絡上的全部防火墻、網關和安全控制，以單一面板盡在掌握。

2. 管理正常修改

你要能將這些安全產品的全面配置與管理作為日常運營的一部分。所以你選擇的解決方案必須要能翻譯所用各個安全控制的不同語法和邏輯，要能協調一致地自動實現安全策略修改。該解決方案還應記錄下所有修改動作。

3. 管理較大改動

重大網絡架構改動也對安全策略管理提出了較高要求。將數據中心或應用遷移到云端，或者團隊選擇了另一家供應商時，你得能在異構環境中自動調整你的安全策略。

4. 表現出合規

網絡安全是你必須向審計和監管機構展現出合規的重要領域。一套能自動跟蹤所有過程和改動，主動評估風險，提供即時可用審計報告的解決方案，有助于提升審計準備度，維持持續的合規狀態。

通用語

一套正確的解決方案，可使企業確保自身全部防火墻資產理解并響應常見的安全要求，無論這些防火墻被部署在哪里。安全策略也能連續一致地應用，無需耗時費力還易出錯的人工過程，并能保證網絡流量能在企業內部網絡和私營或公共云環境中安全流通。

畢竟，企業的安全和合規，是你絕對不能在翻譯中迷失掉的兩件事。

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文