漫画解读|云计算将杀死NGFW?伤害不大,但侮辱性极强!
The following article is from 特大号 Author 小黑羊
最近听到一种声音说
“NGFW已死”
理由是随着公有云和SaaS的盛行
内网/外网/DMZ的界限会越来越模糊
传统边界防护设备会逐渐消亡
……
最终,云会杀死NGFW
真的么?
其实我认为
这种说法很不正确
首先,在国内市场上
NGFW,其实从未真正“活”过
又何谈被杀死?
虽然,与传统防火墙相比
NGFW给自己加了太多戏份
但在国内行业市场
大多数用户的NGFW
就只有三个核心用途
↓
➊ NAT ➋ ACL ➌ 合规
即便经过近10年的洗牌与洗脑
所有的主流防火墙厂商穿上了NGFW的马甲
但客户的用墙习惯,却始终没有改变
NGFW的马甲,更多成了招标参数
NGFW也好,没马甲的传统FW也好
主流的应用场景,20年没变
1、在园区网出口做NAT
IPv4不死,NAT永生
只要IPv4还在,NAT永远是刚需
一部分安全威胁,NAT地址隐藏可以挡住
剩下一部分安全威胁,访问控制封端口搞定
还有少量没防住的咋办?没关系
小黑损失没多少
大黑来了谁也防不了
2、在行业专网做域间访问控制
一个园区网,防火墙最多卖两台
防火墙之所以能成为安全三大件之首
离不开行业专网的集采
每年,各大纵向行业和国企们
都会有成百上千的防火墙集采
这些防火墙,被桥接部署在纵向专网里
实现1、2、3、4级网的逻辑隔离和访问控制
本质上讲
专网不需要NGFW这么重的功能
如果需要实现行业专网的流量可视化
在交换路由上接tap
把流量送给DPI或者分析设备上更稳妥
另外
NGFW加戏多,还想吃掉IPS、流控、WAF份额
设备越卖越少,单子越做越小
这既不合规,也不符合厂商利益
因此,站在厂商角度
即便NGFW能够“越俎代庖”
大家还是更愿意把它拆开卖
综上,我们认为
在国内火了近10年的NGFW
其实是个伪需求
真正扛销量、让客户买单的
还是防火墙的那些最基本功能
既然云计算没有杀死NGFW
那么,我们不妨换一个问题
↓
云的兴起和业务的无边界化
会让各种传统边界防护网关消亡吗
(FW也好、NGFW也好、IPDS也好,都算)
我们的结论是
同样不会
原因有三
↓
➊
首先,云、SaaS、移动化的兴起
的确让安全的“边界”模糊化了
但是Internet和Intranet之间的大边界
始终没有消失
只要这条边界在
边界安全防护设备就不会消亡
安全边界的模糊化
只是让用户需要投入更多的安全防范手段
安全市场总体变大了
但边界安全的市场不会被挤压
➋
公有云虽然推进很快
但私有云/专有云不会消失
这点在国内政企市场尤为明显
混合云边界、专/私有云内部
无论功能层面还是合规层面
还会需要大量的边界防御设备
➌
云上的安全资源池
尤其是南北向安全资源池
短期内仍然离不开物理安全设备
国内无论大型公有云,还是行业专有云
在那些灵活调度的安全资源池背后
都是一台台大型安全盒子/箱子在扛
(NGFW、IPS、LB、扛D……)
.
.
.
最后再说个笑话
伤害不大,但侮辱性极强
这些年来
卖云的公司,死了不少
即便大如阿里云,也才刚刚盈亏平衡
而卖墙的安全公司,却越卖越欢
齐刷刷都完成了IPO
↓
so,云计算要想杀死防火墙
还是多练几年再说吧
同样,云原生PK传统IT架构的战争
也将是一场旷日持久的拉锯战
-END-
大家在看:
3.干货|一图读懂《工业互联网创新发展行动计划(2021-2023年)》
4.一文读尽:云数据库、数据中台、数据趋势、数据治理、数据架构、数据安全