传统防火墙没落 基于软件的分段成功解决传统防火墙存在的3个问题
传统防火墙没落。
IT 环境和安全要求飞速发展变化,这些传统防火墙的功能已经远远无法满足当下的需求。而且,网络安全形势也在不断变化:攻击方法变得更加复杂,网络犯罪分子的数量也远超过以往。已有几十年历史的陈旧设备架 构根本无法抵御最新的恶意软件、僵尸网络攻击、网络钓鱼方案、社会工程和数据勒索。
但是,即便传统防火墙有着无数问题(昂贵、无法移动、缺乏监测能力,等等),我们仍 然必须承认一个现实:这些防火墙不会很快淘汰。它们在外围防御层发挥着重要作用(负 责处理南北向流量),并为企业提供坚实的保护层。 但防火墙无法管理本地数据中心和云环境内的东西向流量。
基于软件的分段才能处理这项任务。
基于软件的分段成功解决传统防火墙存在的3个问题
1. 存在的问题:缺乏可见性
由于无法监测数据流动,企业很难实施和维护规则。因此,防火墙往往具有极其 冗长的规则集,而且其中许多规则过度宽松,甚至根本没有存在的必要性。
解决方案
寻找具备如下特点的解决方案:将可视化地图、资产分类和应用程序依赖关系映 射与策略创建和管理功能集成到一起。
2. 存在的问题:防火墙难以维护
很少有应用程序所有者和防火墙管理员知晓需要通信的相应 IP 端口和协议。 因此,防火墙管理变成了一个反复迭代的故障排查过程。
解决方案
与其围绕固定的网络“管道”(比如 IP 和端口)制定策略,不如让策略基于 有意义的属性,例如应用程序使用的进程、完全限定域名 (FQDN) 和用户身 份。这样一来,属性将保持不变,而您的策略也将继续生效,即使您对数据 中心做出了变更或将工作负载转移到了云端,也是如此。
3. 存在的问题:防火墙缺乏敏捷性
通常情况下,无论您要对防火墙做出任何变更,都需要安排停机。当应用程序 所有者需要做出变更时,他们可能要等待一周或更长时间,以便在维护窗口期 内审查和实施变更。
解决方案
现代 IT 企业已经不再采用变更窗口期的模式,而是改为采用 DevOps 模式,在 这种模式下,应用程序的上线和更新将保持连续。找到具备如下特点的技术解 决方案:可以使用您用于应用程序本身的相同 DevOps 工具来为该解决方案实 现自动化。这样一来,随着应用程序的不断演变,实施的安全方法也能够相应 调整。