云火墻:Think Different

《競速下一代防火墻》專題刊登后，許多業內人士都與我們進行了深入交流。其中關于真正“下一代”的定義，大家普遍有著不同的看法。本期我們就選登了一篇由國內資深安全專家郭慶撰寫的文章，了解一下什么才是數據中心用戶需要的“下一代防火墻”。

企業產品的五年輪回

防火墻歷經多年發展，如今在技術與功能形態上已經非常成熟。從核心工作機制角度看，這類產品在以五年為周期，不斷更新換代。1999年，走軟件化道路的CheckPoint和以PIX硬件產品為主打的思科占據著防火墻市場的主要份額。由華人創立的NetScreen憑借著“新一代硬件防火墻”的理念，在互聯網浪潮前夜闖出一片新天地。該公司的產品具有芯硬體輕（ASIC）、透明橋接、安全域策略（Zone）等創新之處，在互聯網浪潮前夜闖出一片新天地。

五年之后，IDC發布了以安全功能集成為核心的UTM概念，劍指如日中天的NetScreen。新起之秀Fortinet當即呼應自己的理論同盟，迎風樹起網關防病毒的大旗。本著少花錢多半事的原則，中小企業對UTM產品表現出濃厚的興趣；運營商及大型行業用戶則以運營穩定為立身之本，接受此類產品的速度相對緩慢。

2009年，針對UTM試圖涵蓋一切的統一威脅管理概念，Gartner整理出幾個時下用戶需求強烈的安全功能，外加備受關注的僵尸網絡防御特色，提出了同樣定位于企業用戶的NGFW產品定義。此次與之呼應的廠商是Palo Alto，為了彰顯專業安全廠商與網絡廠商在品味上的不同，該公司乘勢將應用層流量控制功能也做到產品中。這無疑是很正確的決定，今天看，多數應用已經運行在80/443端口，傳統安全控制手段已無從管控。

按照這種節奏推斷，防火墻產品正處于后NGFW時代的轉型期。與之前一樣，用戶需求也為產品發展指明了方向：不論UTM還是NGFW，定位皆為部署在企業邊界的集成化安全網關。面對當下越來越多的數據中心防護需求，它們都不再適用。甚至，數據中心邊界安全網關上是否還需要狀態檢測機制，都值得商榷。關于這類新產品的定義，業界尚無明確定論，筆者稱其為“云火墻”。它利用云安全技術，來保護數據中心中一朵朵業務云。

云火墻：不沾云的我不要。

云火墻概念的追隨者數量雖然遠不如UTM/NGFW多，卻多為業界巨擘，體現出此類產品發展路線的正確性。思科應當是此概念的始作俑者，在收購了Ironport后，思科在原有SenderBase數據庫中加入了僵尸網絡庫，更名為SensorBase，同時在自家ASA防火墻上加入了動態策略生成技術，通過獲取云端（SensorBase）提供的僵尸網絡黑名單，轉換為防火墻的訪問控制列表，實時阻斷內部終端與互聯網上主控服務器的端到端通信。這種機制以較小的代價達到甚至超越了傳統IPS的部分功能，構造成為云火墻的基本模型。

2010年，業界新銳Arbor公司也推出了采用同樣思路的云火墻。利用自建的ATLAS僵尸網絡庫，該產品致力于阻斷數據中心內部僵尸主機與主控服務器的端到端通訊，達到保障數據中心可用性的目的。一年之后，Arbor又開發了云信令（Cloud Signaling）技術，使得云火墻可以與云清洗中心聯動，在必要時調用云清洗中心的資源，形成云上清洗大流量、云下清洗應用層的新景觀。從此，數據中心抗攻擊和僵尸網絡防范進入到立體防御的新時代。

在今天，云暨服務的業務/商業模式已日漸明朗，其安全防護體系的設計思路卻依然眾說紛紜。不過，能否按需調度防護系統資源，用戶能否實現智能自助服務，皆已是公認的趨勢與需求?？捎眯员Ｕ弦恢笔菢I務永續運行的關鍵因素，以此為前提，才能放手解決信息完整性與保密性方面的問題。而云調度的愿景，就是通過立體防御手段打造一方凈土，讓云暨服務變成一片合泰云天。

“下一代”由用戶做主

通過分析我們可以清晰地看到，傳統防火墻、UTM乃至NGFW是定位于企業、部署在其邊界的安全控制網關。這類產品的任務就是針對不同元素進行訪問控制，并通過NAT及各類VPN技術保證網絡的安全連通。NGFW上還加入了應用流量識別與控制、基于用戶身份的控制等特性，提供了更加靈活、精細的訪問控制手段，同時減少了管理的復雜度。無論這類產品怎樣進化，都在始終如一地貫徹著“企業邊界，上網為王”的目的。

云火墻與云清洗中心則是完全面向數據中心的安全服務產品，以保障業務的可用性為首要目的。傳統防火墻的誕生是為了保護終端上網的安全，針對服務器防護衍生出的DMZ概念僅是流量不大時的過渡方案。如今數據中心網絡中的流量流向（上行遠大于下行）與企業網絡（下行遠大于上行）恰恰相反，越來越多的應用皆按需而生，無法控制最終用戶訪問的數量與規模，亦無可能在廣域網上控制用戶發起攻擊的源頭。這對于受軟硬件資源限制的傳統安全設備是極大的挑戰，DDoS攻擊正是利用這個弱點，使防火墻與IPS等設備成為數據中心網絡中的單點故障處與服務性能的瓶頸。而基于云火墻和云清洗中心的立體安全防護體系則可以完美解決這一問題，運營商側通過部署DDoS云清洗防御體系提供增值服務，數據中心側的邊界設備主要過濾以應用攻擊為主的威脅。當下游資源（帶寬、pps、連接數、CPU/內存等）將要耗盡時，可以主動通過云信令觸發上游的云清洗服務，對下游鏈路與服務器進行保護；云火墻也將自動更新共享威脅庫中的黑名單，動態生成相應策略，來防止數據中心內部的僵尸主機與外部主控服務器的端到端通信，最大限度地防護來自內外兩個方向的威脅。

到此我們終于明白，誰是真正的“下一代”完全取決于用戶自身的需求。NGFW是定位在企業邊界的下一代防火墻，云火墻則是定位于數據中心的下一代防火墻。兩類產品在各方面都有很大不同，本就應是“大路朝天，各走一邊”發展與應用路線。數據中心用戶請跳出防火墻功能加加減減的UTM/NGFW之爭，感受云火墻、云清洗、云信令、云調度相結合的立體安全防御新云天。