在企业网络安全建设中，部署防火墙系统仍然是最基础的防护手段之一。随着企业组织数字化业务转型的加快，网络安全人员认识到传统的网络防火墙系统需要一些新的转变，才能跟上企业应用需求的发展：

• 敏捷性要求，网络安全防护需要能够与数字化业务加快的步伐保持同步；
• 灵活性要求，防火墙系统需要在不同的场景（公共云、私有云、混合云）中进行部署，并根据需要将安全防护扩展到组织网络系统的内外部；
• 可扩展要求，防火墙需要根据需要增删安全服务，同时要能够快速添加新服务。

鉴于所有企业面临的网络攻击风险越来越大，应用更智能化的防火墙系统的需求也越来越大，对防火墙产品能力的要求也越来越高。随着网络泛在化的发展，防火墙将来不仅只部署在网络的边界，需要防护的对象还可以不断扩大。企业需要尽快将传统的内部防火墙，进行现代化的升级改造，部署更加先进的网络版防火墙系统。日前，安全研究人员总结了保障新一代网络防火墙系统可用性的三个关键要素：

一、虚拟化能力

今天的网络防火墙系统，既需要传统物理防火墙才具备的应用方式，同时也需要融合虚拟化技术带来的灵活性。虚拟化技术消除了传统硬件部署的复杂性、高成本和架构风险，同时为可以帮助企业简化网络架构。通过虚拟化，可以给网络防火墙带来以下优点：

• 可扩展性：可以根据日常变化轻松快速地加强检查能力。
• 敏捷性：通过一个按钮就可以灵活添加带宽容量。
• 灵活部署：可以支持从本地、混合（本地和云）、公共云到私有云的众多部署模式。
• 部署成本低：如果企业采用订阅模式按使用付费，可以将设备成本支出变成安全运营支出，仅为所需的资源付费。

二、自动化能力

如果我们要实现网络防火墙应用的虚拟化，将面临一定的工程化任务挑战。将防火墙应用虚拟化需要专业的工程知识和一定的时间投入。这种虚拟化项目的主要阶段包括如下：

• 配置和优化虚拟化管理软件
• 启动和初始配置下一代防火墙（NGFW）虚拟机
• 集成多家防火墙供应商的软件许可
• 健康检查机制
• 维护平台

由此可见，为了实现防火墙的虚拟化，需要尽可能将各种安全任务实现自动化，我们就能获得速度、可扩展性和可靠性。自动化会大大简化防火墙的工作流程，并改善了一致性和准确性。在实施自动化后，我们会开始看到以下能力提升：

• 更简单、集中式、更轻松地管理各种安全任务和操作
• 更快速地提供新服务和新功能
• 动态快速地改变网络防火墙容量

三、智能编排能力

将传统物理防火墙变成虚拟防火墙是一个巨大的挑战，尽管自动化技术能够帮助企业应对这种挑战，但是DevOps和DevSecOps仍需要扎实的专业知识和大量投入。对自动化应用实现真正影响重大的是智能编排（Intelligent Orchestration）。编排允许流程在没有人工干预的情况下顺畅运转，其核心是在合适的时间启动合适的工作流程（使用合适的参数）。这种强大的工具便于呈现和控制网络防火墙更有效的运行工作，包括：

• 简化复杂操作：它可以自动管理内部虚拟防火墙从部署、扩展到优化的整个生命周期。
• 优化资源分配：可以针对网络吞吐量和安全性要求自动提升虚拟防火墙性能，并随时了解不断更新的资源利用率情况。智能编排中的智能不仅代表着用户需要做什么，还能根据用户环境的要求执行用户需要它执行的操作。
• 洞察所有系统：全面显示系统的总体健康状况、服务器资源分配、虚拟机和网络利用率，将所有可用的资源作为一个整体加以洞察。这使得IT团队能够跨多个平台自动处理安全运维任务，使团队可以更灵活地应对安全形势发展变化。

结语

虚拟化、自动化和智能编排这三个关键要素将使组织的网络安全能力跟上数字化业务发展的步伐。因为这些要素提供了新一代网络防火墙所必需的速度和简洁性，从而有能力应对不断变化的情形。结合虚拟化、自动化和智能编排，组织就能实现防火墙能力的云化，大大缩短防火墙部署时间。组织可以借助简单的单一用户界面和零接触操作，管理内部虚拟防火墙的可用性和实用性，从而以正确的方式实现防火墙应用现代化。

文章来源：安全牛综合编译

排版：老李