Don Meyer

　　思科安全产品营销总监

　　欢迎阅读防火墙未来展望系列博文，本篇是第 1 部分。

　　过去二十年来，防火墙一直扮演着保障网络连接安全性的重要角色。防火墙最初的设计主要围绕着一个原则，那就是内部流量和用户是可信任的，而网络外的流量与之相反。于是，人们通过部署防火墙在不同网络之间搭建起信任边界。这一网络边界摇身成为为企业网络、数据、用户和设备提供防护的逻辑安全控制点。除此之外，所有网络流量（无论是来自公司总部、数据中心还是远程工作人员）都要经过这个单一控制点，从而降低了信任边界维护工作的难度，并有助于实施一致的控制措施。那时，一切都在掌控之中。

　　数字技术的发展，使我们的工作方式、数据使用方式、以及交流互动方式发生了极大的转变。而“云”的出现则使局面变得更加复杂：我们的许多关键业务应用程序开始从数据中心和本地网络迁移到一些我们再也无法独有或控制的地方。与此同时，企业的分支机构也开始通过直连互联网的方式来使用那些目前经常被托管在数据中心之外的服务。此外，无论在办公区域之内还是之外，用户们都能借助自己的个人设备，访问越来越丰富的网络资源。

　　随着网络互联程度的日益提升，单一边界或控制点的概念早已不复存在。针对“边界溶解”和防火墙存在必要性这两个问题，业内人士也一直议论纷纷。而我的观点很明确，那就是防火墙不仅比以往更加重要，而且现在，任何地方都需要部署防火墙，部署更多的防火墙 - 包括我们的本地网络、分支机构、网关、数据中心内部、云端、终端、甚至深入到应用程序工作负载的内部。

　　现在，摆在我们面前的不再是一个单一的边界，而是横跨多个网络、设备、用户和数据的一系列“微观边界”。我们往往需要通过整合不同的终端技术来保障这些新兴“边界”的安全，而这需要大量的人工干预才能实现。再加上负责管理所有新增设备的专业人才严重短缺，所以我们面临的挑战更加严峻。因此，为了能够维持策略的一致性和威胁洞察的统一性，企业纷纷开始实施一些迥然不同的安全解决方案。来看看这样做的结果是什么。不仅网络本身和网络安全变得越来越复杂，因配置错误和不一致导致的数据泄露和破坏也时有发生。

　　尽管我们也在想方设法来缓解这个复杂的局面，但是恶意分子也在不断通过更多威胁载体发动更频繁、更复杂的威胁攻击。根据《思科网络安全报告-2019 年度威胁报告》（？？点击查看报告），恶意攻击者正通过一系列日益复杂的方法来入侵我们的网络；而入侵成功率的不断提高也充分表明了现有技术手段在现代威胁面前几近徒劳。

　　然而最令人苦恼的地方在于，我们原有的可见性和控制力荡然无存。我们再也无法深入了解用户和数据的去向以及业务所面临的风险程度。难以及时判断出谁在跟谁通信，难以及时发现我们是否已被入侵。除此之外，变革的节奏也随着越来越多的企业纷纷踏上数字化转型之路而不断加快，反倒为意图不轨的恶意攻击者创造了绝佳的机会。而对负责网络安全的人员来说，这无疑带来了一个棘手的问题。要彻底解决这一问题，到底该从哪里入手？

　　防火墙的重要性并没有减弱，事实上，它比以往任何时候都更重要，但我们需要从不同的角度来考虑它。我们必须超越形式因素和物理或虚拟设备，将防火墙作为一种功能来使用，不管是数据中心、云端、还是分支机构，防火墙的任务都是按需下发通用策略，实现威胁可视，开展威胁分析，提供世界一流的安全控制措施 – 而这也是更快速、更准确地预防、检测和阻止攻击的关键要素。

　　一直以来，思科都在为实现这一愿景而努力，旨在为客户搭建起适应当下、面向未来的最强劲安全防御机制。请继续关注“防火墙未来展望”系列博文，了解更多相关资讯。

　　防火墙未来展望，第 2 部分：勿让复杂性毁掉您的安全