作者：Andrew Plato是安全情报公司Anitian的CEO兼创始人。

不妨把丑话说在前头：下一代防火墙（NGFW）已死，而死因是云。

然而，这不是立即处死，而是面对一个更敏捷的竞争对手，慢慢变得无关紧要。如今NGFW产品弥漫着死亡和腐烂的气息。它们臃肿不堪、售价不菲且效果很差。它们被一贯过分强调其重要性的用户狂热地顶礼膜拜。十年后，NGFW将沦为美其名曰的路由器。

但是，不必惊慌。你仍有时间为NGFW之后的生活安排打点。

你用不着与NGFW同生共死

NGFW（或一些人喜欢所称的UTM）称霸安全界已有近10年。NGFW由防火墙、入侵预防系统和Web代理合并而来，成为了安全界的瑞士军刀。每个人都有NGFW，当然你购买的NGFW是最好的。

NGFW不仅是许多安全计划的核心技术，对于一些人来说，NGFW本身还是安全计划。首席信息安全官（CISO）被问及其安全计划时一开始常常这么回答“嗯，我们在边界处有Palo Alto的NGFW……”，这并不罕见。这不是安全计划！这种过于强调NGFW的现状意味着，对于整个职业生涯立足于这项技术的那些人来说，这种死亡不会轻易到来。

然而正如Tyler所说，你用不着与NGFW同生共死。现在是与时俱进了。

大限之日

在你十分激动之前，不妨探讨一下NGFW奄奄一息的四个原因：

1、网络边界消失了。

2、NGFW不是为云架构设计的

3、云提供商以极少的成本提供同样的功能，现在和将来都如此。

4、NGFW没什么效果。

以上这些是观察趋势、尤其是涉及云的趋势后得出的结论。

消失的边界

现代企业组织充其量是脆弱的网络边界。随着公司将更多的数据和工作负载转移到云和SaaS提供商，“边界”因此扩展到那些提供商。加上日益壮大的远程办公者群体，以前存在的任何软边界都变得完全很短暂，稍纵即逝。没有清晰的边界，每一台笔记本电脑、电话和物联网设备都是边界。出于所有同样的原因，传统的核心数据中心也在消失。

这正是推动Zscaler等云端点公司发展的因素。几年前的RSA展会上，Zscaler所设的摊位很有意思，你可以拿一把大锤砸Palo Altos和CheckPoints之类的NGFW硬件。我得承认，我砸过好几台思科ASA。

当时，我认为这只是营销噱头而已。然而Zscaler随后迎来了Howard Beale时刻：当你的员工、数据和系统分布在云端、家里和咖啡店时，硬件已毫无意义。

Zscaler代表由块头庞大的网络设备向云提供商转变，云提供商在云端聚集了连接和数据，并提供了你所需要的所有安全扫描、过滤和保护。你在云端或SaaS提供商处有关键的业务系统时，购买的那只庞大Palo Alto或Checkpoint设备对云端或SaaS提供商的安全而言毫无意义。本地NGFW沦为了办公室中一个基本的连接设备。

云原生

你将数据和工作负载移到云端后，网络的整个概念随之发生变化。AWS和Azure之类的云提供商提供的是软件定义网络。所有流量和连接进行了虚拟化和抽象化处理，与实际的电线和路由器分离开来。这在根本就没有网络的SaaS提供商当中体现得尤为明显。

此外，基于软件的网络没有传统网络的限制。传统的“三层”网络聚集并集中了访问，因为这种结构很高效，但它有个缺点：所有流量必须返回中央路由和NGFW进行访问。

在云端，这毫无必要。流量直接通到它要去的地方。比如说，如果你有应用服务器和数据库服务器，无需通过路由器来连接它们，而是可以让它们对等互联（peering）。由于你不控制底层物理连接，因此没有理由返回中心点。

对等互联提供了极其精细而动态的访问控制。你不仅可以控制网络、应用程序和用户层访问，还可以基于特定条件或触发器，自动授予和吊销该访问权。使用云管理解决方案，你可以不断审核那些控制机制，倘若任何访问违反公司政策，即可吊销。传统的硬件网络几乎不可能有这种级别的控制。

此外，如果使用原生云服务——比如AWS的身份和访问管理（IAM）或Azure的托管Active Directory，没有实际的服务器要连接。相反，你可以将VPC或主机与服务本身实行对等互联。

对等互联简化了网络，又没有减少任何访问控制。从某种意义上说，你根本不需要联网。

将NGFW放在云托管的系统和原生服务之间很笨拙，在一些情况下甚至是不可能的。虽然所有NGFW制造商都提供云版本的产品，但大多数情况下与VPN连接器无异。它们提供的任何安全功能很容易被其他功能取代。

因此，正由于云端没有NGFW，基于主机的安全解决方案随之大行其道。趋势科技等公司多年前就明白了这点，开始发布云版本的产品，基于主机的平台上的这些产品提供所有NGFW功能。此外，当你自动部署和配置这些端点时，可以为环境中的每个主机统一执行安全机制。

谈谈Guard Duty

AWS和Azure等云平台提供（或即将提供）NGFW功能。无需大型设备（或虚拟映像）。

AWS发布Guard Duty后，AWS的发展方向显而易见。AWS不仅想掌控你的计算工作负载，还想掌控所有基础架构。

Guard Duty是一个原生AWS应用程序，提供入侵检测监控功能，而传统的入侵检测/预防系统（IDS/IPS）几乎不可能将这种功能部署到云网络中，因为你看不到完整的网络数据包。网络抽象也意味着你无法嗅探流量。

在今后几年，AWS和Azure会以某种方式将NGFW的所有功能作为原生产品来提供。对于任何IaaS提供商来说这是合理的举措。另外，随着原生NGFW功能得到日益广泛的采用，成本会急剧下降。这将进一步侵蚀传统NGFW的价值。

重大失败

NGFW奄奄一息的最后一个原因也许是最明显的：NGFW没什么效果。每家声称遭遇重大泄密事件的企业组织都有NGFW，而这些NGFW对于阻止泄密基本上起不到什么作用。

公平地说，泄密的根源并不是NGFW技术，而是一系列日积月累的架构和组织问题共同进一步削弱了NGFW的价值。

这些问题包括：

1、有很多方法可以使用移动网络或物理设备绕过NGFW。

2、要求访问不受限制的可信赖第三方常常绕过所有NGFW安全机制。

3、管理NGFW的人员无权执行规则，生怕“阻止合法流量”。

4、监视和响应NGFW警报的做法无效，因为：

警报管理工具（比如SIEM）管理起来复杂又费时；缺少有才干的安全员工；数量过多的警报；消极抵抗、避免冲突的企业文化阻止报告泄密事件，因为这会引起审查。

最后一点可能最具破坏性和普遍性。许多大型企业组织打造的文化不能容忍正常的人为错误。这对于信息安全而言尤其具有破坏性。能力差的领导人对信息安全从业人员提出了完全不切实际的期望和约束。要求他们知道一切，没有遗漏任何环节，如果发生不好的情况，就要受到严惩。在过去这十年，几乎每一次泄密事件都揭示了这种文化的弊端。

这造成了一种有害的文化：安全人员被赋予重大的责任，却毫无实际行使这一责任的权力。这也是为什么许多人坚决不放手NGFW。操控大型NGFW是他们唯一拥有的权力。

然而，公司不鼓励他们报告任何攻击事件，因为糟糕的领导人（出于可笑的期望）会怪罪他们发出警报。这是许多NGFW供应商助长的一条强大的负反馈回路，因为它使那些没用的安全人员可以购买尺寸更大、功能更强大的设备。

这就是为什么我们需要NGFW死亡。死亡才会带来变化。

你可以从冰冷、死气沉沉的机架撬走我的NGFW

现在你可能因认同我对NGFW的看法而颇为沮丧，或者怒气冲冲，弄清楚我存在哪些人格缺陷，以便好攻击我。

我先自爆家丑：我易怒、很胖，经常咒骂。我还把过多的钱砸在汽车上，时常说些冒犯他人的话。

我确信你可以凭上面任何一条或全部而鄙视我。

不过在你将Fortinet标识从FortiBolts撕掉之前，先冷静一下。NGFW没有很快死亡。你在那家Palo Alto增值经销商（VAR）上花的所有钱不会立即浪费掉。这种死亡是慢慢的。NGFW不会完全死亡，它会改变。

五到十年后，NGFW将更像是一种云连接设备。你已经在Fortinet和Palo Alto（刚收购了Evident.IO）那里看到了这方面的早期苗头。它会继续控制访问。但你会更像管理SaaS订阅服务那样管理它。此外，与AWS、Azure和Salesforce等云服务安全受控制地连接的功能也将直接集成到平台中。

此外，AWS和Azure将拥有各自类似NGFW的服务，这意味着你可以完全抛弃本地NGFW，使用廉价的路由器。这使得Zscaler之类的服务比庞大硬件设备更为明智。

这里出现的一个更大动向是，本地系统变得越来越无关紧要。NGFW实际上是这个更大趋势的一部分。随着公司将越来越多的工作负载转移到云端，所有那些硬件设备都变得越来越无足轻重。

2012年，人们竭力将Exchange服务留在本地。8年后，拥有本地Exchange服务器这个想法很可笑。6到10年后，拥有一个价值10万美元的核心NGFW这个想法似乎同样很可笑。此外，你的VAR奄奄一息，不过那是另一个话题了。

为末路做准备

如果你想为NGFW的消亡做准备，答案完全在于你的Azure或AWS控制台。虽然下面不是你可以做准备的完整清单，但有助于迈出第一步。

重新关注端点安全，尤其是在端点处提供NGFW功能的解决方案。如果你的员工队伍很分散，那么应关注Zscaler之类的公司。将那些工作负载转移到云端，越早越好。云安全与本地安全不是一回事。这个话题不在本文的讨论范围之内，不过就一句话，你根本无法将你的所有本地设备直接搬到云端、期望它们都能正常运行。安全计划的核心应该是风险管理和个人发展，而不是技术。SIEM技术在云端更重要。你需要数据来制定决策。这也是另一个话题。

如你所见，一旦你打开了通向后NGFW世界的大门，事情会发生重大变化。你的团队越关注云，就会越适应这种变化。

结束语

2003年Richard Stiennon宣布IDS死亡时，他被困扰了多年。人们以轻蔑、愤怒和幼稚的骚扰对待新想法，这样的反应很正常。当然，Stiennon是正确的。IDS是一种奄奄一息的技术。在我们这些密切关注安全行业的人看来，这些趋势显而易见。环顾四周，云在吞噬一切，无论你喜不喜欢，NGFW是下一个牺牲品。

记住，死亡不是终点，而是新事物的开始。