一文掌握 FWaaS（防火墙即服务）

防火墙即服务(FWaaS)是一种基于云的产品，它通过订阅整个服务来提供防火墙功能。与传统防火墙依赖于网络边界的物理或虚拟设备不同，FWaaS利用下一代防火墙(NGFW)的功能，并使其通过云可用。对于迁移到基于云的防火墙的企业来说，FWaaS部署既带来了好处，也带来了挑战。

本文将与您一同分享以下观点：

防火墙即服务(FWaaS)是如何工作的？

为什么需要FWaaS?

FWaaS的部署要求。

FWaaS的优点。

FWaaS的挑战。

FWaaS的成本是多少（美国市场）?

FWaaS和NGFW有什么异同?

总结

防火墙即服务(FWaaS)是如何工作的

FWaaS作为您的网络和互联网之间的过滤器，识别和阻止潜在的威胁。这种实时过滤过程确保只有授权和安全的数据到达您的网络，并有助于保护您的系统免受恶意或可疑活动的侵害。

传统的防火墙是作为本地设备或软件部署的，但这对保护远程办公室或访问云资源的移动工作人员没有多大作用。但是，通过FWaaS将防火墙保护转移到云中，并将其作为服务交付，组织可以将安全策略和保护统一地应用于资产，而不管资产位于何处。FWaaS通常使用端点设备上的代理来部署防火墙。

FWaaS模型具有以下特点:

• 供应商管理:防火墙供应商负责后端技术和防火墙管理的复杂性。

• 基于云的结构:云防火墙允许地理上分散的团队从网络保护中受益，而不需要大量的本地硬件。

• 更低的维护成本:团队不必购买那么多的硬件，也不必雇佣很多维护人员。

• 统一的策略实施:在一个云解决方案中保护企业的网络资产有助于减少防火墙典型的规则和策略蔓延。

在您组织的设备上部署代理之前，您需要确保您的网络能够完全支持FWaaS。此外，考虑FWaaS部署对您的特定组织的相对重要性，以及它的优点和缺点。FWaaS与其他防火墙部署(如下一代防火墙)略有不同，在购买FWaaS解决方案时，您的企业有多个供应商可供选择，并且需要考虑服务成本。

为什么企业需要FWaaS?

云计算、远程协作、物联网(IoT)和移动设备模糊了网络边界，降低了传统边界安全的有效性。FWaaS、SD-WAN和安全访问服务边缘(SASE)等技术已经发展到保护这些不断扩展的虚拟网络。FWaaS和SD-WAN都是更广泛的SASE解决方案的一部分，其中还包括云访问安全代理(CASB）和零信任网络访问(ZTNA)。

为了应对这些不断变化的威胁和不断增长的攻击面，FWaaS通过利用实时数据分析和机器学习来调整其防御以适应新的攻击媒介和威胁。这是对传统安全模型的一个看似简单的改变，增加了网络保护。

FWaaS还通过提供一种更简单的方式来扩展安全保护并跟上防火墙技术的进步、更新和维护，从而帮助组织。单个供应商负责这些维护任务，如修补和审计，较小的团队减少了工作量并简化了网络安全流程。

FWaaS的部署要求

虽然作为服务的防火墙比传统防火墙更容易实现和管理，但您的企业仍然需要满足FWaaS部署成功的一些要求。如果您的IT团队正在考虑FWaaS，请使用以下项目作为检查清单。您需要确保您的现有网络能够支持基于云的服务，与FWaaS集成，定期维护，并具有可靠和符合逻辑的防火墙策略。

网络必须支持基于云的服务

在您的团队加入FWaaS潮流之前，请确保您的网络能够支持它，并非所有网络都能成功支持FWaaS。Upper Echelon Technology的总裁兼首席执行官Todd Thanhauser在部署过程开始之前就谈到了这一过程的重要性。

“评估你的组织的互联网基础设施，考虑带宽需求，并确保你的网络连接能够支持基于云的防火墙服务的需求，这是至关重要的，”他说。此外，拥有一个备份或冗余的互联网连接可以提供弹性，并确保在主连接故障的情况下持续保护。”

FWaaS部署的网络需求不仅仅是关于网络安全控制——您的基础设施还必须能够在发生自然问题时支持防火墙。备份防火墙的能力有助于保护防火墙免受自然灾害和中断，以及经过计算的攻击。

现有的网络组件应该与FWaaS集成

如果您的团队正在从基于硬件的防火墙过渡，并计划保留任何现有系统，则需要确保网络组件与新的FWaaS部署能够很好地集成。

Open Systems的首席产品官Stefan Keller谈到了简单集成技术对防火墙服务和旧网络系统的重要性。他说:“这可以在不接触任何现场端点的情况下无缝激活FWaaS。“外围的网关可以作为集成点，将所有流量转发到云。”

Keller还强调了在分支机构部署FWaaS的困难。“一个分支可能有多个vlan或其他东西向流量的网段。”根据Keller的说法，这种流量在云中并不理想，可能是由于延迟或法规遵从性的原因。

他说:“在分支机构中，如果你仍然有很多本地系统、应用程序和物联网，那么依靠FWaaS并不是最有效的方法。”根据Keller的说法，如果在混合环境中部署FWaaS和本地防火墙，团队可能会更成功。

你的团队必须持续维护网络

在部署防火墙服务后，不要忘记网络维护。尽管“设置它并忘记它”在as-a-service领域是一个流行的术语，但在实践中它并不是最好的想法，特别是对于IT基础设施而言。

StrikeReady的首席产品官Anurag Gurtu表示，你需要定期调整防火墙配置，确保防火墙能够保护你的企业免受新的网络威胁。Gurtu说:“这包括更新安全协议、审查防火墙规则和监控系统性能。”

防火墙的配置也不应该仅仅满足您的业务需求——它们还应该符合行业标准，这是您必须严格确保在一致的时间表上做到的。Gurtu说:“随着时间的推移，常规审计和合规检查在维持FWaaS的有效性方面也发挥着重要作用。”

例如，保护医疗保健或金融系统和数据的防火墙需要遵守任何相关的数据保护标准。如果他们不这样做，你的公司可能会被罚款。

您需要明确开发和统一的防火墙策略

卡托网络公司(Cato Networks)的产品营销总监埃文·萨夫迪亚(Evin Safdia)强调了制定一套全球适用的一致政策的重要性。他说:“大多数采用FWaaS的组织都看到了总体策略规则的显著减少，从而更容易进行持续管理，并为最终用户提供一致的体验。”

但是根据Safdia的说法，在新的FWaas架构中移动和调整企业的旧防火墙策略可能会让人感到难以承受。他建议采取广泛的、组织范围的方法来制定防火墙策略，从高层概述规则和例外情况。

“一旦你建立了这个，将它与你现有的策略进行比较，以确保没有差距，你将准备好在任何FWaaS平台上构建这些策略。简单地说，不必试图从新的FWaaS提供商那里重新创建遗留策略——创建最适合您当前组织的策略。”

在这个过程中不要吝啬。在现有基础架构中部署任何防火墙服务之前，IT或网络管理员应该列出所有防火墙策略，并创建必要的阻止列表和允许列表。如果您确切地知道您需要什么策略，最好设置团队，以便更好地组合来自供应商的新旧策略。如果你的业务不再需要旧的保单，你可以随意放弃。

FWaaS的优点

FWaaS的主要优点是突破了物理的限制，其主要好处包括云安全性和增长、远程管理、网络体系结构改进以及更清晰的策略实施、可见性和可靠性。

云速度下的安全

FWaaS在远程环境中提供强大的安全性，而不会减慢速度。使用FWaaS，您的数据和应用程序将受到保护，而不会影响性能，因为您的安全性从组织的场所分散开来。FWaaS与您的云系统和虚拟网络集成，确保安全性不会阻碍运营，并使增长和更改更加安全。

如果您选择将FWaaS与您现有的云应用程序集成，请确保您的业务是这样做的云安全最佳实践，包括培训员工和保护终端设备。

灵活的基于云的扩展

随着组织的发展，安全性也需要跟上。FWaaS消除了对扩展过程中保护不足的担忧。无论您是进入新市场、发布产品、开设新的数据中心或办公室，还是看到用户激增，FWaaS都是为扩展而设计的。这种灵活性即使在快速增长期间也提供了安全性。

全球安全管理

在各个地点保持一致的安全性是一项挑战。FWaaS使您能够集中控制大型虚拟环境。无论您的操作范围如何，您都可以从一个地方管理和执行安全策略。无论您的数据在哪里，这种全球覆盖和控制确保了有效的安全措施。

支持现代网络架构

FWaaS集成了现代网络，支持最新的技术和协议。无论您的业务是向微服务过渡还是探索边缘计算，精心设计的现代FWaaS都能适应，确保强大且面向未来的安全性。

简化的网络架构

FWaaS简化了网络架构和安全性，消除了容易引起漏洞的混乱和不同的设置。由于一个供应商负责所有的事情，技术可以更好地集成，并且供应商管理的体系结构减轻了客户网络和安全团队的负担。

精简政策执行

FWaaS自动执行跨分布式网络的策略。通过确保一致、高效的安全性，FWaaS降低了风险，提高了敏捷性，并提高了对政府法规和行业规则的遵从性。消除对本地安全解决方案的需求也可以节省资金。

提高网络可视性

FWaaS通过更广泛的流量模式、潜在威胁和异常情况来提高网络可见性。更好的可见性意味着您也可以更快地检测和响应可疑活动，从而潜在地防止小的安全事件演变为大事件。

提高基础设施可靠性

FWaaS可以更好地洞察威胁和漏洞，从而提高网络和运营的可靠性。如果它们是安全的，它们就更有可能以安全、一致的方式处理流量。主动安全保护减少了恶意活动带来的中断。

FWaaS的挑战

FWaaS是否适合您的组织将取决于您的具体需求、安全需求和现有的基础设施。在考虑FWaaS时，评估潜在的缺点和优点非常重要。虽然防火墙作为一种服务提供了许多好处，但您也应该考虑潜在的缺点，如缺乏自定义、隐私问题、供应商问题以及管理本地安全和技术的能力下降。

对互联网连接的依赖

FWaaS严重依赖于互联网连接。如果您的组织面临互联网中断或减速，则FWaaS提供的网络安全性可能会受到损害。在这种情况下，由于依赖连接来保护，您的网络可能容易受到网络威胁。如果供应商的云基础设施宕机，同样的问题也会出现。

有限的定制控制

与传统的本地防火墙不同，FWaaS可能会限制自定义选项。对于具有特定安全需求或独特网络设置的组织来说，这可能具有挑战性。预定义的设置可能与组织的需求不一致，这可能会影响所需的保护级别。

资料私隐问题

使用第三方云服务器路由网络流量引发了对数据隐私和合规性的担忧。处理敏感数据的组织可能会因为潜在的数据泄露而犹豫不决。当数据处理发生在组织场所之外时，遵守法规变得更加复杂，要求您仔细评估潜在的FWaaS提供商的数据处理实践。

不确定的供应商可靠性

FWaaS的有效性取决于所选供应商的可靠性。停机时间、技术故障或供应商端的漏洞可能会危及您的网络安全。审查供应商的跟踪记录和安全措施对于减轻这种风险至关重要。

初始迁移复杂度

实现FWaaS需要修改现有的网络结构和配置。从传统防火墙迁移可能需要IT团队获得新的技能，并且您需要在新的防火墙配置上实现组织的策略。这个初始部署曲线可能会花费大量时间，尽管这是实现任何新技术的自然组成部分。

持续的成本

FWaaS消除了前期硬件费用，但引入了持续的基于订阅的成本。随着时间的推移，这些成本可能会超过传统防火墙的投资。组织必须权衡长期的便利性和改进的安全性与累积的费用。

有限的本地检验

传统防火墙能够对本地网络流量进行详细的检测。然而，FWaaS可能会在云中执行一些检查，从而降低对本地网络活动的可见性。这可能会影响组织网络中的威胁检测。

与现有系统集成

将FWaaS与现有的网络结构和工具集成可能很复杂，特别是如果您有很多遗留的网络设备。防火墙集成过程需要仔细规划和潜在的定制开发。不一致的集成可能导致中断或安全漏洞。

FWaaS的成本是多少?（美国市场）

防火墙服务的成本因供应商而异，但也取决于您的业务环境——需要保护多少应用程序、订阅费用和供应商维护成本。由于您的企业不需要为硬件付费，所以FWaaS的成本很大程度上取决于供应商必须执行的部署和管理。

微软Azure和亚马逊网络服务都提供基于云的防火墙，它们只根据策略和部署定价——每个策略每月100美元。Azure还提供了每个防火墙部署每小时支付0.40美元的选项。一般来说，防火墙服务的费用从每月40美元(或更少)到每月几百美元不等。但非常昂贵的解决方案每个月可能要花费数千美元。

FWaaS和NGFW有什么异同?

FWaaS是一种基于云的服务，它提供防火墙功能，作为云计算环境的一部分。NGFW是一种超越传统网络防火墙功能的防火墙，它增加了应用感知和入侵防御等高级特性。这两个术语衡量的东西略有不同，但它们可以重叠——一些FWaaS解决方案提供高级NGFW功能，而一些NGFW基于云计算。

FWaaS提供与传统的本地防火墙相同的保护，但通过Internet作为服务交付。FWaaS是一个更大的类别，既可以包含简单的防火墙，也可以包含NGFW。

fw和NGFW的差异

下面的图表强调了FWaaS和NGFW部署之间的区别，包括如何管理和如何定制。

fw和NGFW的相似之处

FWaaS和NGFW有很多共同的防火墙特性:

• 安全策略实现:两种解决方案都通过实施安全策略来确保网络安全。

• 威胁检测能力:无论是FWaaS还是NGFW，都可以识别和响应多种类型的威胁。

• 应用程序控制功能:两者都包含应用程序控制功能，调节用户访问。

• 管理控制台:两者都提供集中管理接口，用于处理整个防火墙的策略。

• 包过滤功能:两者都执行包过滤，允许或阻止特定的数据包。

• 访问管理:通过访问控制管理传入和传出的数据流量。

总结：

FWaaS是一种灵活的网络安全解决方案，专为管理当代数字生态系统的复杂性而设计。通过利用云技术，FWaaS极大地扩展了防火墙的实用功能，以涵盖云、混合和虚拟网络环境。对于规模较小的组织或有限的网络和安全团队来说，当他们的防火墙由外部管理时，它也有好处，因为他们有更多的时间来执行复杂的任务。

在FWaaS的解决方案里，本文作者推荐了三家企业，Perimeter81、思科和Zscaler，感兴趣的读者可以自行前去了解。

（2024.3.7数说安全发布）

原文始发于微信公众号（数说安全）：一文掌握 FWaaS（防火墙即服务）