混合式部署防火墙是一款一体化的安全平台，可为企业 IT 的多个区域提供协调式保护，包括企业分支机构、园区和数据中心等企业站点;公有云和私有云;以及远程办公用户。 为此，混合式部署防火墙必须支持硬件设备、虚拟机、云原生防火墙及防火墙即服务 (FWaaS) 等多种部署模式。

　　混合式部署防火墙最具优势及最独特的组件当属集中式的一体化管理平台。借助该平台，混合式部署防火墙可全面覆盖企业站点、公有云和私有云及远程办公用户等所有 IT 区域提供协同保护。这可让企业 IT 部门自动执行众多防护功能，避免重复工作或重建策略，并且在网络安全技能人才短缺的限制下，还能节省不必要的手动操作时间。

　　混合网状防火墙的需求

　　混合 IT 环境为 IT 团队带来与以往不同的独特安全挑战。由企业站点、云环境以及访问企业资源的远程办公用户组成的本地设备组合，既增加了企业日常管理的复杂性，也使整体组织架构的复杂性随之提升。与此同时，随着云、数据中心和不同分支机构之间的日益互联，产生了逐渐由传统的“南北向流量”转变为“东西向流量”的趋势。

　　随着复杂性的日益提升，企业迫切寻求可无缝跨越所有 IT 区域、***简化企业防护架构的一体化解决方案。

　　Gartner 在最新一期《网络防火墙魔力象限报告》中指出，“到 2026 年，超 60% 的组织将部署多种类型的防火墙，这一趋势将持续推动混合式部署防火墙的采用。” 此外 Gartner 还表示，“随着云防火墙和防火墙即服务产品的推出，网络防火墙逐渐演进为混合式部署防火墙，因此选择最适合的供应商成为一项挑战。”

　　1. 管理 IT 复杂性

　　目前，市面上的许多防火墙产品无法支持混合式部署防火墙的功能，为***保护企业站点、公有云和私有云环境及远程办公用户，企业 IT 部门不得不为此分别购买多种解决方案。

　　这将使运营复杂化，根据 Gartner 的研究，到 2025 年，99% 的防火墙被入侵将由此而产生。

　　2. 网络安全技能不足

　　除了复杂性挑战之外，单点产品起效较慢，因而提升企业风险。部署多个单点产品只会让网络安全 IT 人员投入更多时间来学习各种新功能和面板知识。由于全球人才短缺，超三分之一网络安全职位仍虚位以待，这势必令企业陷入更大的风险中。

　　此外，网络安全人员可能会跳槽。因此，部署一款任何人都能快速学习的简便、一体化的解决方案，可缓解当下网络安全专业人员短缺的困境。

　　3. 高级威胁的兴起

　　网络复杂性和网络安全技能人才短缺并非推动混合式部署防火墙需求的唯一因素。随着高级网络威胁的兴起和蔓延，全球威胁态势正日益严峻。

　　对于企业而言，这些网络威胁日益普遍且更具破坏性，其攻击媒介横跨网站、应用程序、内容和设备。例如，勒索软件正持续侵扰运营技术 (OT)、州和地方政府、制造和医疗保健业等垂直部门。

　　FortiGuard Labs 威胁情报团队针对企业 IT 部门发起的一项调查显示，67% 的组织在 2022 年曾遭受过勒索软件攻击。FortiGuard Labs 还发现，2022 年下半年，擦除器 (Wiper) 恶意软件数量激增 53%。

　　这些令人震惊的数据表明，企业 IT 部门面临严峻的安全态势。在企业内多个区域构建简化、协同安全性的需求尤为迫切。

　　4. AI/ML 和威胁情报的作用

　　网络复杂性、手动监控工作以及不断加剧的威胁态势都在要求企业部署协同保护机制。仅靠横跨不同 IT 领域的防火墙已经不足应对。组织还必须包括可防范已知和未知威胁所需的人工智能和机器学习 (AI/ML) 功能。

　　借助 AI/ML 驱动的安全性，混合式部署防火墙可识别和分类应用程序、网页 URL、用户、设备、恶意软件等，同时能跨领域自动贯彻策略。作为混合式部署防火墙自动化的核心，AI/ML 可显著减少企业 IT 防护中手动工作量。

　　混合式部署防火墙的注意事项

　　集中式的一体化管理

　　集中式的一体化管理是混合式部署防火墙的最关键功能。如果贵企业站点、公有云和私有云及远程办公用户等各区域必须通过不同面板来保护，则您没有混合式部署防火墙。

　　集中式管理可将这些领域协同并统一到单一个企业 IT 安全解决方案，实现从企业站点到云和远程办公用户的简化且自动化的防护。而且，由于不同组织对其各个网络防火墙的管理需求各异，因此必须支持集中管理的所有规格要素，包括硬件设备、虚拟机、SaaS 和托管防火墙服务。

　　集中式管理的巨大价值还体现在，它将整合网络运营中心 (NOC) 和安全运营中心 (SOC) 的团队，使用单一管理平台管理和监控整个威胁攻击面。

　　基于 ASIC 的硬件设备

　　混合式部署防火墙中必定有企业站点，而企业站点需要有可扩展安全功能的硬件设备。企业站点和本地硬件不应造成网络瓶颈。

　　部署针对具体应用程序的集成电路 (ASIC) 以增强网络性能的本地设备，可***避免网络瓶颈。搭载自定义 ASIC 的安全设备可卸载防火墙、VPN、IPS，以及 SSL 或深度数据包检测 (DPI) 等资源密集型功能，从而在不影响网络性能的情况下，利用多层安全控制功能保护企业站点。

　　由此，安全利益相关者便可高枕无忧。

　　云原生防火墙

　　部署云原生防火墙是为了保护在 IaaS 环境中以基础设施即代码形式部署的公有云应用程序工作负载。云原生防火墙作为 SaaS 解决方案提供，在简化云网络安全运营的同时，为云环境提供了可用性和可扩展性。

　　采用云原生防火墙后，无需对防火墙软件基础架构进行配置、添置和维护，从而减少网络安全运营的工作负担，赋能安全团队专注于安全控制策略管理。此外，云原生防火墙还提供出站流量安全性、已知恶意 IP 地址过滤、地理围栏等更多防护功能。

　　虚拟防火墙

　　凭借最经济且易于移动的特性，虚拟防火墙普遍用于保护软件定义数据中心和多云环境中的虚拟环境，助力用户轻松实现云平台之间的虚拟防火墙迁移。

　　混合式部署防火墙解决方案中的虚拟防火墙可以为软件定义数据中心提供全面的安全生态系统，有助于您的整合流程。虚拟防火墙可保护网络环境免受威胁侵袭，同时在有状态防火墙功能之外支持各种网络安全服务。

　　防火墙即服务 (FWaaS)

　　作为一款基于云服务的 防火墙解决方案 ，FWaaS 可让企业简化和扩展 IT 基础设施。它提供网页过滤、高级威胁防护 (ATP)、 入侵防御系统 (IPS) 和 域名系统 (DNS) 安全性等下一代防火墙 (NGFW) 功能。

　　在许多方面，FWaaS 与您会在本地部署的硬件防火墙极为相似。 不过它具有明显的优势，例如几乎能够瞬时扩展以适应正在扩展的网络。您还可以快速添置以往可能不需要的新服务。由于 FWaaS 基于云，因此可根据网络规模、配置、要求和独特安全需求。 这样就能轻松打造贴合企业需求的解决方案。

　　单一操作系统

　　多年来，企业持续部署不同单点安全产品以逐一应对单个安全问题，导致网络边缘快速扩展，然而这种做法未考虑整体安全策略，反而增加了企业面临的安全挑战。不同的解决方案之间无法协同运行或共享信息，因此无法执行一致的安全控制策略、端到端可见性和自动化。而努力维持和监控众多的混合、硬件、软件和“X 即服务”解决方案也使安全团队不堪重负。

　　单一操作系统是混合式部署防火墙的基础，将众多技术和应用场景整合至简化的单一策略和管理框架中。集中式管理控制台可实现混合式部署防火墙功能前端操作的统一，而单一操作系统可确保硬件设备、虚拟和云原生防火墙及 FWaaS 代理等各种部署模式均可在后端协同运行。

　　资料来源于网络，详情请点击：Web 应用防火墙 (WAF)（https://www.fortinet.com/cn/products/web-application-firewall/fortiweb）

声明： 非本网作品均来自互联网或AI生成，发布目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、 版权和其他问题，请及时与本网联系，我们将在第一时间删除内容，本网站对此声明具有最终解释权。