基于云的防火墻有兩種，雖然底層技術(shù)可能相同，但它們其實時兩種類型的產(chǎn)品：一種用于保護企業(yè)的網(wǎng)絡和用戶，另一種保護云基礎設施和服務器。讓我們看看這兩者的區(qū)別。

這兩種防火墻我們分別稱為Vanila和Strawberry(筆者僅使用這兩個詞語用于區(qū)分二者，便與討論)，這兩種都是檢查入站和出站數(shù)據(jù)包以阻止惡意流量的軟件。但它們有很大的不同，我們可以將它們視為兩個重要的網(wǎng)絡安全工具：兩者都旨在保護你、你的網(wǎng)絡以及你的真實和虛擬資產(chǎn)。

讓我們看看這兩者的概述：

Vanilla防火墻通常是獨立的產(chǎn)品或服務，旨在保護企業(yè)網(wǎng)絡及其用戶，這與內(nèi)部部署防火墻設備類似，只不過它在云計算中。服務提供商將其稱為軟件即服務(SaaS)防火墻、安全即服務(SECaaS)或者甚至防火墻即服務(FaaS)。

相比之下，Strawberry防火墻是基于云的服務，它運行在虛擬數(shù)據(jù)中心中--使用平臺即服務(PaaS)或基礎設施即服務(IaaS)模型中的服務器。在這些情況下，防火墻應用運行在虛擬服務器，保護云端應用程序之間的流量。行業(yè)有時候稱其為下一代防火墻，有時候是指在本地或在云中運行的高級防火墻系統(tǒng)。

那么，我們?yōu)槭裁葱枰�這些新的防火墻?為什么不將1U防火墻設備加入到機架中，連接到路由器?理由很簡單：因為網(wǎng)絡邊界的定義已經(jīng)改變。防火墻以前就像是安全設施入口處的保安。只有授權(quán)人員可進入該設施，包裹在進入和離開建筑物時都會進行搜查。此外，你的用戶在設施內(nèi)工作，數(shù)據(jù)中心和服務器都在內(nèi)部。因此，保護網(wǎng)絡相對簡單。里面的事物受到保護，外面不安全，唯一出入方式是通過防火墻。

而現(xiàn)在已經(jīng)不是這樣，授權(quán)用戶可以再任何地方，用戶也可從任何地方訪問應用。這些應用可能位于內(nèi)部數(shù)據(jù)中心、公共或私有IaaS/PaaS云內(nèi)企業(yè)控制的服務器中，第三方SaaS應用也可能位于云中。只有相對較少的企業(yè)流量通過內(nèi)部路由器，這也是為什么我們需要基于云的vanilla防火墻保護所有用戶以及基于云的Strawberry防火墻擴展安全策略到IaaS/PaaS環(huán)境的原因。

防火墻即服務

云端vanilla防火墻就像是傳統(tǒng)內(nèi)部防火墻設備，只不過它們是互聯(lián)網(wǎng)服務提供商或防火墻服務專有SaaS提供商提供(即FaaS提供商)的服務。你可能會為這一服務支付固定費用，或者你可能基于某些因素按月支付費用，例如總體帶寬消耗以及可選服務(例如域過濾)。

配置FaaS非常簡單。如果這是你的電信運營商提供的附加服務，你可能不需要更改設置或者做任何其他操作。系統(tǒng)管理員會得到儀表板或管理控制臺來顯示活動，可能讓他們選擇查看的內(nèi)容。

如果FaaS是由第三方提供商提供，你可能需要更改路由器設置來連接到該提供商。在某種意義上，它將是你的互聯(lián)網(wǎng)提供商。

FaaS的優(yōu)勢是你可擴展保護到遠程員工或者正在旅行的員工。這些用戶將通過安全通道連接到云防火墻提供商，可能是虛擬專用網(wǎng)絡(VPN)。這樣的話，他們可訪問具有企業(yè)級防火墻保護的互聯(lián)網(wǎng)，并可通過該防火墻訪問基于云的服務，并連接回企業(yè)�？傊�，這可為遠程及旅行的員工提供與內(nèi)部員工相同的保護。

遠程員工支持是FaaS的一個主要優(yōu)勢。另一個優(yōu)勢是，它可將成本從資本支出轉(zhuǎn)移到運營支出，這對于很多企業(yè)來說都非常重要。

對于FaaS，你只需要支付你使用部分的費用，你不必購買超出需求的防火墻設備容量以便為最繁忙的時間段做準備。這樣的話，你就有過多的內(nèi)部防火墻容量，特別是當你已經(jīng)開始遷移服務到云端時。通過關(guān)閉這些設備，你基本上將安全外圍都外包到更有效的服務。

還有一個好處是，當出現(xiàn)新興零日威脅或者補丁時，F(xiàn)aaS提供商可快速做出變更，你不需要下載和安裝更新。當然，潛在缺點是你完全依靠FaaS提供商來做到這一點。然而，由于大多數(shù)服務提供商都有全職安全團隊并訂閱所有威脅情報服務，可全天候響應，筆者認為他們可比大部分中小企業(yè)甚至大型企業(yè)更好地保持防火墻更新以及配置正確。

另一個優(yōu)勢是抵御分布式拒絕服務(DDoS)攻擊�！霸谶^去，你可能會在互聯(lián)網(wǎng)末端抵御DDoS，但現(xiàn)實是DDoS攻擊可能會淹沒你，無論你有多少帶寬，”惠普企業(yè)數(shù)字解決方案和傳輸團隊首席技術(shù)官Simon Leech稱，“選擇云端則不一樣，因為云計算提供商有足夠的帶寬來擊退千兆或者TB級的攻擊�！�

換句話說，任何攻擊都將由帶寬豐富的FaaS服務器定向和阻止，而不會影響到你自己的互聯(lián)網(wǎng)連接。最終結(jié)果是：FaaS提供商應該可為你提供一個干凈的互聯(lián)網(wǎng)連接。

很多供應商都提供FaaS選項，例如AT&T公司的Managed Firewall Security以及Wedge Networks公司的Cloud Network Defense。筆者個人建議是：大部分中小企業(yè)會發(fā)現(xiàn)來自電信運營商或者ISP的FaaS產(chǎn)品更容易使用且經(jīng)濟實惠。這些服務提供商可能還與品牌防火墻提供商有合作協(xié)議。

針對IaaS/PaaS的防火墻

在云中的虛擬防火墻用于保護你的云基礎設施和服務，而FaaS與之完全不同，F(xiàn)aaS旨在保護你的網(wǎng)絡邊界以及遠程或履行最終用戶。

在IaaS/PaaS世界，你從服務提供商租用基礎設施，你可以在其上創(chuàng)建和管理自己的虛擬服務器。這些服務器可用于存儲、托管現(xiàn)成或本地應用、兩層或三層網(wǎng)絡服務--這完全取決于你。在某些情況下，這些基于云的應用完全獨立。在其他情況，它們可能會鏈接(通過VPN)到數(shù)據(jù)中心內(nèi)其他服務器和應用。這里重要的是，這些虛擬服務器完全由你和你的團隊管理，這可為你提供最大的靈活性，以及100%的責任。

在這種情況下，則必須使用虛擬防火墻。它們可保護你的云服務器免受來自外部的惡意流量或者攻擊，它們還可保護你的云服務器免受其他受攻擊服務器的影響，例如在內(nèi)部攻擊或者成功外部攻擊的情況下。

而云防火墻是一個應用，你可從云主機或者你喜歡的防火墻供應商獲取云防火墻。這些下一代防火墻或者虛擬防火墻以不同方式提供。你可能會看到它們是完全配置的虛擬機，讓你可用于云基礎設施的前端;或者，它們可能作為二進制文件提供，讓你可安裝和運行在現(xiàn)有虛擬機中，例如web服務器或者事務數(shù)據(jù)庫服務器。

幾乎每個知名防火墻提供商都提供IaaS/PaaS防火墻產(chǎn)品和許可證選項。例如：來自Palo Alto NetworksVM-Series虛擬化下一代防火墻和Zscaler的云計算防火墻。

對于虛擬防火墻，在定義如何配置以及它們所保護的內(nèi)容方面，你幾乎有著無限的選擇。你可創(chuàng)建一個防火墻僅保護特定虛擬服務器組或者單臺服務器。這里的術(shù)語時微分段。與物理數(shù)據(jù)中心內(nèi)機架式防火墻設備不同，你可在幾秒內(nèi)改變防火墻配置，只需要點擊鼠標或者運行腳本即可。而不需要移動電纜!該防火墻還可通過規(guī)則進行分段，基于特定應用或用戶角色來保護，而不只是虛擬服務器。

微分段的優(yōu)勢是讓你可將安全策略綁定到單個虛擬機�！霸谲浖�定義數(shù)據(jù)中心或者混合云中，每次我配置新的虛擬機時，我都希望虛擬機在配置時有安全策略，”HPE的Leech稱，“這樣的話，當該虛擬機在云計算網(wǎng)絡移動和遷移時，安全策略將跟隨它。此外，當虛擬機被卸載時，我希望該安全策略也消失�！�

Vanilla還是Strawberry?

· 請記住，當你遷移服務器和應用到IaaS/PaaS的云端時，你并沒有轉(zhuǎn)移安全責任。當然，云服務提供商可能會承擔部分責任，但他們并不會負責保護你的服務器免受這些虛擬服務器操作系統(tǒng)或應用中的惡意軟件、攻擊、數(shù)據(jù)滲出或未修補漏洞。這是你的工作，雖然這一挑戰(zhàn)主要是保持軟件更新，同樣重要的是使用防火墻保護一切。

· 如果你使用內(nèi)部部署防火墻保護網(wǎng)絡，并且遠程或旅行用戶不受企業(yè)級防火墻保護，則可以考慮FaaS。

· 如果你的IaaS/PaaS虛擬服務器僅受云服務提供商的基本安全服務保護，你應該考慮安裝和管理自己的虛擬防火墻來保護你的服務。這是你的工作和責任。

標簽： 基礎設施 網(wǎng)絡安全 云計算 服務提供商 應用程序 數(shù)據(jù)中心 

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。