最近聽到一種聲音說
「NGFW已死」
理由是隨著公有雲和SaaS的盛行
內網/外網/DMZ的界限會越來越模糊
傳統邊界防護設備會逐漸消亡
……
最終,雲會殺死NGFW
真的麼?
其實我認為
這種說法很不正確
首先,在國內市場上
NGFW,其實從未真正「活」過
又何談被殺死?
雖然,與傳統防火牆相比
NGFW給自己加了太多戲份
但在國內行業市場
大多數用戶的NGFW
就只有三個核心用途
↓
➊ NAT ➋ ACL ➌ 合規
即便經過近10年的洗牌與洗腦
所有的主流防火牆廠商穿上了NGFW的馬甲
但客戶的用牆習慣,卻始終沒有改變
NGFW的馬甲,更多成了招標參數
NGFW也好,沒馬甲的傳統FW也好
主流的應用場景,20年沒變
1、在園區網出口做NAT
IPv4不死,NAT永生
只要IPv4還在,NAT永遠是剛需即使IPv6共產主義了,NAT仍然有需求
一部分安全威脅,NAT地址隱藏可以擋住
剩下一部分安全威脅,訪問控制封埠搞定
還有少量沒防住的咋辦?沒關係
小黑損失沒多少
大黑來了誰也防不了
2、在行業專網做域間訪問控制
一個園區網,防火牆最多賣兩臺
防火牆之所以能成為安全三大件之首
離不開行業專網的集採
每年,各大縱向行業和國企們
都會有成百上千的防火牆集採
這些防火牆,被橋接部署在縱向專網裡
實現1、2、3、4級網的邏輯隔離和訪問控制
本質上講
專網不需要NGFW這麼重的功能
如果需要實現行業專網的流量可視化
在交換路由上接tap
把流量送給DPI或者分析設備上更穩妥
另外
NGFW加戲多,還想吃掉IPS、流控、WAF份額
設備越賣越少,單子越做越小
這既不合規,也不符合廠商利益
因此,站在廠商角度
即便NGFW能夠「越俎代庖」
大家還是更願意把它拆開賣
綜上,我們認為
在國內火了近10年的NGFW
其實是個偽需求
真正扛銷量、讓客戶買單的
還是防火牆的那些最基本功能
既然雲計算沒有殺死NGFW
那麼,我們不妨換一個問題
↓
雲的興起和業務的無邊界化
會讓各種傳統邊界防護網關消亡嗎
(FW也好、NGFW也好、IPDS也好,都算)
我們的結論是
同樣不會
原因有三
↓
➊
首先,雲、SaaS、移動化的興起
的確讓安全的「邊界」模糊化了
但是Internet和Intranet之間的大邊界
始終沒有消失
只要這條邊界在
邊界安全防護設備就不會消亡
安全邊界的模糊化
只是讓用戶需要投入更多的安全防範手段
安全市場總體變大了
但邊界安全的市場不會被擠壓
➋
公有雲雖然推進很快
但私有雲/專有雲不會消失
這點在國內政企市場尤為明顯
混合雲邊界、專/私有雲內部
無論功能層面還是合規層面
還會需要大量的邊界防禦設備
➌
雲上的安全資源池
尤其是南北向安全資源池
短期內仍然離不開物理安全設備
國內無論大型公有雲,還是行業專有雲
在那些靈活調度的安全資源池背後
都是一臺臺大型安全盒子/箱子在扛
(NGFW、IPS、LB、扛D……)
.
.
.
最後再說個笑話
傷害不大,但侮辱性極強
這些年來
賣雲的公司,死了不少
即便大如阿里雲,也才剛剛盈虧平衡
而賣牆的安全公司,卻越賣越歡
齊刷刷都完成了IPO
↓
so,雲計算要想殺死防火牆
還是多練幾年再說吧
同樣,雲原生PK傳統IT架構的戰爭
也將是一場曠日持久的拉鋸戰