當前絕大多數企業都部署有防火墻設備，然而如何利用好這些安全防護設備卻并非全部企業都擅長的。因此選擇什么樣的防火墻設備，來強化企業對自身網絡安全防護的把控就顯得相當關鍵了。而未來防火墻則正向可視化、智能化、軟件化上演進。

[[232732]]

一、傳統防火墻大幅滯后

防火墻是一種位于內部網絡與外部網絡之間的安全防護系統，往往會依照特定的規則，防止非法訪問或限制傳輸的數據通過，來確保內部網絡不遭受惡意攻擊。其中傳統的硬件防火墻是指采用狀態檢測機制、集成VPN、支持橋/路由/NAT等工作模式的作用在2-4層的訪問控制設備。

防火墻部署拓撲

然而時至今日，傳統的硬件防火墻已無法跟上目前網絡威脅的進化速度。由于網絡威脅和網絡犯罪的進化速度非常快，企業IT團隊在監控流量方面的阻力重重，常常導致無法及時發現威脅。有調查發現，從全球范圍來看，70%的企業網絡流量未被有效監管，而一些傳統防火墻背后甚至隱藏著可怕的“后門”。

不斷變化的網絡攻擊令傳統防火墻能力大幅滯后

即便如此，僅亞太區2017年企業防火墻的市場規模也達到了31億美元，預計到2023年更可達到60.2億美元規模。防火墻作為企業網絡防護關鍵組件的重要性可見一斑。

二、防火墻演進三大方向

1. 防火墻可視化關鍵

目前簡單的安全規則、端口和協議過濾已無法滿足威脅防御的需求，由此傳統防火墻已逐步向下一代防火墻演進。而部署下一代防護墻的目的是能夠抵御諸如WannaCry等集中出現的威脅，不過這些威脅依然能夠爆發至全球規模，拿到訪問權限，并通過公司網絡傳播，顯然就是個大問題了。

引發此類問題凸顯出一個難以接受的事實，那就是下一代防火墻經常單打獨斗，無法形成集群作戰的效果。因此，部署防火墻的企業通常還需要單獨配置防火墻規則、應用控制、TLS檢驗、沙盒機制、網絡過濾、殺毒和IPS。此外，IT決策者在采購防火墻時還應尋找可提供簡易和可行的可視度的整合系統。

對于企業來說，最有效的系統是能夠識別未知應用和協同工作的同步系統，以便提供對網絡中所有流量的可視化和可控性。

2. 防火墻智能化保障

雖然下一代防火墻被定義為是一種深度包檢測防火墻，超越了基于端口、協議的檢測和阻斷，更增加了應用層的檢測和入侵防護了。不僅具備傳統防火墻的功能，還具備應對綜合威脅的發現能力、阻斷能力，并不是簡單的功能堆砌和性能疊加，而是從全局視角，幫助用戶解決網絡面臨的實際問題。

但實際上，下一代防火墻卻有下述三方面局限：

• 以本地規則庫為核心，無法全面檢測已知威脅;
• 缺乏數據智能，無法感知未知威脅;
• 沒有協同防御機制，依然在用單機的、私有的思路來解決網絡的、公有的威脅。

因此，面對數據及隱藏其中的各種威脅，防火墻不能再孤軍作戰，而是需要借助AI(人工智能)建立起協同防御的安全體系，并依托于持續更新的威脅情報的技術能力，持續提升自身提升發現和響應高級威脅的能力，從而在邊界上成為一個智能化的防火墻，為企業對抗各種安全威脅提供更好的防護平臺。

3. 防火墻軟件化態勢

進入云計算時代，面對如多租戶混合部署，多應用混合部署，虛擬機(容器)規模體量極大，資源按需分配，邏輯架構與物理架構無關等安全需求。硬件防火墻的效果勢必將捉襟見肘，甚至到無處安放的地步。

然而即便傳統基因的防火墻在云環境中已無用武之地，但用戶面對APT攻擊、勒索病毒，以及多租戶、多應用的混合部署，都需要云平臺提供有效的隔離防護才行。因此，可以接駁威脅情報系統和云端可視化分析，支持云內虛擬化動態邊界安全防護，更可借助互聯網安全大數據來準確定位攻擊源頭的軟件定義防火墻成為未來防火墻設備演進的目標。

這就需要顛覆傳統物理隔離網絡架構，在防火墻策略的保護下，使用全網邏輯隔離構建出全新網絡，并對安全區域重新定義劃分，甚至可通過軟件定義出防火墻陣列，來把控企業網絡流量。

三、結語

未來，防火墻向上述三大方向發力不可避免，而防火墻在演進過程中也必須集成并具備與其他系統協同工作的能力才能最終強化網絡管控。