云火墙:Think Different

《竞速下一代防火墙》专题刊登后，许多业内人士都与我们进行了深入交流。其中关于真正“下一代”的定义，大家普遍有着不同的看法。本期我们就选登了一篇由国内资深安全专家郭庆撰写的文章，了解一下什么才是数据中心用户需要的“下一代防火墙”。

企业产品的五年轮回

防火墙历经多年发展，如今在技术与功能形态上已经非常成熟。从核心工作机制角度看，这类产品在以五年为周期，不断更新换代。1999年，走软件化道路的CheckPoint和以PIX硬件产品为主打的思科占据着防火墙市场的主要份额。由华人创立的NetScreen凭借着“新一代硬件防火墙”的理念，在互联网浪潮前夜闯出一片新天地。该公司的产品具有芯硬体轻（ASIC）、透明桥接、安全域策略（Zone）等创新之处，在互联网浪潮前夜闯出一片新天地。

五年之后，IDC了以安全功能集成为核心的UTM概念，剑指如日中天的NetScreen。新起之秀Fortinet当即呼应自己的理论同盟，迎风树起网关防病毒的大旗。本着少花钱多半事的原则，中小企业对UTM产品表现出浓厚的兴趣；运营商及大型行业用户则以运营稳定为立身之本，接受此类产品的速度相对缓慢。

2009年，针对UTM试图涵盖一切的统一威胁管理概念，Gartner整理出几个时下用户需求强烈的安全功能，外加备受关注的僵尸网络防御特色，提出了同样定位于企业用户的NGFW产品定义。此次与之呼应的厂商是Palo Alto，为了彰显专业安全厂商与网络厂商在品味上的不同，该公司乘势将应用层流量控制功能也做到产品中。这无疑是很正确的决定，今天看，多数应用已经运行在80/443端口，传统安全控制手段已无从管控。

按照这种节奏推断，防火墙产品正处于后NGFW时代的转型期。与之前一样，用户需求也为产品发展指明了方向：不论UTM还是NGFW，定位皆为部署在企业边界的集成化安全网关。面对当下越来越多的数据中心防护需求，它们都不再适用。甚至，数据中心边界安全网关上是否还需要状态检测机制，都值得商榷。关于这类新产品的定义，业界尚无明确定论，笔者称其为“云火墙”。它利用云安全技术，来保护数据中心中一朵朵业务云。

云火墙：不沾云的我不要。

云火墙概念的追随者数量虽然远不如UTM/NGFW多，却多为业界巨擘，体现出此类产品发展路线的正确性。思科应当是此概念的始作俑者，在收购了Ironport后，思科在原有SenderBase数据库中加入了僵尸网络库，更名为SensorBase，同时在自家ASA防火墙上加入了动态策略生成技术，通过获取云端（SensorBase）提供的僵尸网络黑名单，转换为防火墙的访问控制列表，实时阻断内部终端与互联网上主控服务器的端到端通信。这种机制以较小的代价达到甚至超越了传统IPS的部分功能，构造成为云火墙的基本模型。

2010年，业界新锐Arbor公司也推出了采用同样思路的云火墙。利用自建的ATLAS僵尸网络库，该产品致力于阻断数据中心内部僵尸主机与主控服务器的端到端通讯，达到保障数据中心可用性的目的。一年之后，Arbor又开发了云信令（Cloud Signaling）技术，使得云火墙可以与云清洗中心联动，在必要时调用云清洗中心的资源，形成云上清洗大流量、云下清洗应用层的新景观。从此，数据中心抗攻击和僵尸网络防范进入到立体防御的新时代。

在今天，云暨服务的业务/商业模式已日渐明朗，其安全防护体系的设计思路却依然众说纷纭。不过，能否按需调度防护系统资源，用户能否实现智能自助服务，皆已是公认的趋势与需求。可用性保障一直是业务永续运行的关键因素，以此为前提，才能放手解决信息完整性与保密性方面的问题。而云调度的愿景，就是通过立体防御手段打造一方净土，让云暨服务变成一片合泰云天。

“下一代”由用户做主

通过分析我们可以清晰地看到，传统防火墙、UTM乃至NGFW是定位于企业、部署在其边界的安全控制网关。这类产品的任务就是针对不同元素进行访问控制，并通过NAT及各类VPN技术保证网络的安全连通。NGFW上还加入了应用流量识别与控制、基于用户身份的控制等特性，提供了更加灵活、精细的访问控制手段，同时减少了管理的复杂度。无论这类产品怎样进化，都在始终如一地贯彻着“企业边界，上网为王”的目的。

云火墙与云清洗中心则是完全面向数据中心的安全服务产品，以保障业务的可用性为首要目的。传统防火墙的诞生是为了保护终端上网的安全，针对服务器防护衍生出的DMZ概念仅是流量不大时的过渡方案。如今数据中心网络中的流量流向（上行远大于下行）与企业网络（下行远大于上行）恰恰相反，越来越多的应用皆按需而生，无法控制最终用户访问的数量与规模，亦无可能在广域网上控制用户发起攻击的源头。这对于受软硬件资源限制的传统安全设备是极大的挑战，DDoS攻击正是利用这个弱点，使防火墙与IPS等设备成为数据中心网络中的单点故障处与服务性能的瓶颈。而基于云火墙和云清洗中心的立体安全防护体系则可以完美解决这一问题，运营商侧通过部署DDoS云清洗防御体系提供增值服务，数据中心侧的边界设备主要过滤以应用攻击为主的威胁。当下游资源（带宽、pps、连接数、CPU/内存等）将要耗尽时，可以主动通过云信令触发上游的云清洗服务，对下游链路与服务器进行保护；云火墙也将自动更新共享威胁库中的黑名单，动态生成相应策略，来防止数据中心内部的僵尸主机与外部主控服务器的端到端通信，最大限度地防护来自内外两个方向的威胁。

到此我们终于明白，谁是真正的“下一代”完全取决于用户自身的需求。NGFW是定位在企业边界的下一代防火墙，云火墙则是定位于数据中心的下一代防火墙。两类产品在各方面都有很大不同，本就应是“大路朝天，各走一边”发展与应用路线。数据中心用户请跳出防火墙功能加加减减的UTM/NGFW之争，感受云火墙、云清洗、云信令、云调度相结合的立体安全防御新云天。