云计算将杀死NGFW?伤害不大,但侮辱性极强!

特大号 2021-02-19 19:36

最近听到一种声音说

“NGFW已死”

理由是随着公有云和SaaS的盛行

内网/外网/DMZ的界限会越来越模糊

传统边界防护设备会逐渐消亡

……

最终,云会杀死NGFW

真的么?

其实我认为

这种说法很不正确


首先,在国内市场上

NGFW,其实从未真正“”过

又何谈被杀死?

虽然,与传统防火墙相比

NGFW给自己加了太多戏份

但在国内行业市场

大多数用户的NGFW

就只有三个核心用途

➊ NAT ➋ ACL ➌ 合规



即便经过近10年的洗牌洗脑

所有的主流防火墙厂商穿上了NGFW的马甲

但客户的用墙习惯,却始终没有改变

NGFW的马甲,更多成了招标参数



NGFW也好,没马甲的传统FW也好

主流的应用场景,20年没变

1、在园区网出口做NAT

IPv4不死,NAT永生

只要IPv4还在,NAT永远是刚需即使IPv6共产主义了,NAT仍然有需求

一部分安全威胁,NAT地址隐藏可以挡住

剩下一部分安全威胁,访问控制封端口搞定

还有少量没防住的咋办?没关系

小黑损失没多少

大黑来了谁也防不了


2、在行业专网做域间访问控制

一个园区网,防火墙最多卖两台

防火墙之所以能成为安全三大件之首

离不开行业专网的集采

每年,各大纵向行业和国企们

都会有成百上千的防火墙集采

这些防火墙,被桥接部署在纵向专网里

实现1、2、3、4级网的逻辑隔离和访问控制


本质上讲

专网不需要NGFW这么重的功能

如果需要实现行业专网的流量可视化

在交换路由上接tap

把流量送给DPI或者分析设备上更稳妥



另外

NGFW加戏多,还想吃掉IPS、流控、WAF份额

设备越卖越少,单子越做越小

这既不合规,也不符合厂商利益

因此,站在厂商角度

即便NGFW能够“越俎代庖”

大家还是更愿意把它拆开卖



综上,我们认为

在国内火了近10年的NGFW

其实是个伪需求

真正扛销量、让客户买单的

还是防火墙的那些最基本功能


既然云计算没有杀死NGFW

那么,我们不妨换一个问题


云的兴起和业务的无边界化

会让各种传统边界防护网关消亡吗

(FW也好、NGFW也好、IPDS也好,都算)

我们的结论是

同样不会

原因有三


首先,云、SaaS、移动化的兴起

的确让安全的“边界”模糊化了

但是Internet和Intranet之间的大边界

始终没有消失

只要这条边界在

边界安全防护设备就不会消亡

安全边界的模糊化

只是让用户需要投入更多的安全防范手段

安全市场总体变大了

但边界安全的市场不会被挤压


公有云虽然推进很快

但私有云/专有云不会消失

这点在国内政企市场尤为明显

混合云边界、专/私有云内部

无论功能层面还是合规层面

还会需要大量的边界防御设备


云上的安全资源池

尤其是南北向安全资源池

短期内仍然离不开物理安全设备

国内无论大型公有云,还是行业专有云

在那些灵活调度的安全资源池背后

都是一台台大型安全盒子/箱子在扛

(NGFW、IPS、LB、扛D……)

.

.

.
最后再说个笑话

伤害不大,但侮辱性极强

这些年来

卖云的公司,死了不少

即便大如阿里云,也才刚刚盈亏平衡

而卖墙的安全公司,却越卖越欢

齐刷刷都完成了IPO



so,云计算要想杀死防火墙

还是多练几年再说吧



同样,云原生PK传统IT架构的战争

也将是一场旷日持久的拉锯战