新时代的防火墙，全面拥抱零信任

吴华佳

零信任解决方案SA

传统上，安全能力以“城堡墙和护城河”的方式放置在企业网络的边缘，用于构建防御纵深。防火墙作为最经典的安全网关设备，通常部署在网络边界，将威胁拦截在边界之外。然而，随着新兴技术的蓬勃发展，远程办公和多数据中心互联变得越来越普遍，企业的网络边界越来越模糊，在“去边界化”、“云化”、“服务化”等IT基础设施变化趋势下，安全威胁也随之发生了变化，传统的安全防护措施已经无法有效地应对风险。因此，“零信任”的概念应运而生，并迅速成为业界研究和实践的热点。

零信任是一种设计思想，其主要方法为通过采用不同的技术手段构建一种相对信任的环境，并为在环境中运行的业务和数据提供确定性安全保障。只不过这种相对信任不是一成不变，只是在短时间内有效，需要持续构建以确保环境的长久可信。零信任并非全新的技术架构，它使用了许多安全技术图谱中通用且成熟的技术，如身份与权限管理、代理网关和风险评估等。正因如此，当零信任的理念被提出时，并未遇到很高的理解门槛，反而被安全从业者所广泛接受。在零信任方案中，防火墙一如既往地扮演着重要角色，并不断焕发出新的生机。

典型零信任架构

在经典的NIST零信任架构中，核心组件包括策略决策点和策略执行点。其中，策略决策点由策略引擎和策略管理器组成。策略引擎主要负责综合分析多维度风险信息，并最终决定是否授予指定访问主体对客体的访问权限；策略管理器负责建立访问主体和客体之间的逻辑连接，生成主体用于访问客体的凭证，同时与策略执行点进行通信，通过策略执行点执行策略。策略执行点根据策略管理器下发的策略来判断是否允许主体对客体的连接，可以由多个组件来充当策略执行点的角色，如终端代理、网关等。

NIST零信任逻辑架构图如图1-1所示。

图1-1 NIST零信任逻辑架构图

防火墙融入零信任

传统的防火墙能力可以较好地融入到零信任方案中。例如，防火墙的传统检测能力是零信任策略引擎的重要风险信息来源。防火墙所支持的IPS、AV等能力，能够有效地识别已知和未知的威胁，并且对于加密流量的检测能力也至关重要。防火墙所识别的风险信息上报到零信任策略引擎后，可以为零信任策略引擎进行全面的风险评估提供良好的支撑。同时，防火墙可以根据综合评估结果动态地阻断或放通流量。

在东西向流量的防护中，防火墙与零信任三大关键技术之一的“微分段”相结合，为园区内部用户终端之间、数据中心服务器资源之间的互相访问（即东西向流量）提供了安全防护手段。微分段也称为基于精细分组的安全隔离，是指将网络中的资源按照一定的原则进行分组，然后基于分组来部署流量检测控制策略，从而达到简化运维、安全管控的目的。微分段防火墙部署在不同的业务边界，建立应用级的分组，防止各种威胁在业务资源之间扩散，相当于关键业务的“水密舱”。微分段防火墙方案不依赖于在终端设备上安装认证或环境感知客户端，也并非简单地在生产内网部署基于五元组ACL来阻断通信，而是基于对网络行为的分析，把基于4~7层协议的深度检测和攻击识别能力从网络边界引入到内网，进行协议分析与高级威胁的检测。这种能力可以有效阻断混杂在合法通信中的攻击报文和恶意流量，从而保证内网关键资源在正常提供通信服务的同时，有效阻止攻击的扩散与破坏。

防火墙在零信任中的新能力

防火墙由于其天然的网关属性，是众多类型策略执行点中最为常见也最为可靠的一种。在零信任方案中，防火墙通常被称为零信任网关。作为策略执行点，零信任网关主要实现对访问主体的访问代理和策略执行。根据场景的不同，零信任网关可分为应用代理网关、API网关、SDP网关和物联网关。

1. 应用代理网关
传统的应用访问模式需要将应用的地址在网络中公布，以便用户可以随时访问。这就必然将应用暴露在网络之中，攻击者可以很容易地进行扫描探测，并发起DDoS攻击，或利用漏洞进行渗透，极大地增加了应用安全风险。因此，越来越多的应用开始采用代理的方式对外提供服务，应用代理网关开始逐渐流行。
应用代理网关的主要作用是识别访问主体，在主体访问Web应用提供代理。同时，应用代理网关从策略管理器获取授权信息，执行允许访问、二次认证或阻断访问等访问控制动作。
应用代理网关的主要功能及周边关系如图1-2所示。

图1-2 应用代理网关功能示意

应用代理网关所具备的核心功能如表1-1所示。

表1-1 应用代理网关所具备的核心功能

2. API网关
如今，应用服务化已成为趋势。通过将服务注册在统一的服务管理平台上，提供API接口调用方式将该服务开放给各个应用。这种模式可以将应用跟服务解耦，极大地提升了服务的共享效率。例如，地图厂商开放提供基于地理位置信息的定位服务，其它应用如打车、团购等只需订阅此服务，就可以实现定位功能。API网关就是注册和发布服务的管理平台。
API网关的作用跟应用代理网关类似，区别在于，应用代理网关针对用户访问应用提供访问控制，而API网关针对应用调用API接口提供访问控制。当应用调用服务的API接口时，API网关提供代理转发和访问控制服务。API网关将API接口进行隐藏，缩小了暴露面。因此，API网关也可以作为策略执行点，接收策略管理器下发的策略，进行API粒度的访问控制。
API网关的主要功能及周边关系如图1-3所示。

图1-3 API网关功能示意

API网关的核心功能与应用代理网关较为类似，只是所代理的对象从应用变成了API网关。API网关对API请求进行代理转发、身份验证及权限判定， API访问控制是一种比应用级别更为细粒度的权限控制。API网关通常还具备如表1-2所示的功能。

表1-2 API网关除身份验证、权限判定、访问控制等外还具备的核心功能

3. SDP网关
众所周知，SDP为零信任三大关键技术之一。SDP架构由CSA于2013年提出，一经诞生即受到业界的广泛关注。作为基于零信任理念的新一代网络安全模型的代表，SDP不再专注于传统安全方案重点保护的物理边界，而是将保护的重心转移到了业务资源。通过构建一个随业务位置不同而变化的虚拟边界，SDP较好地适应了网络边界逐渐模糊的云化时代，能够更有效地保护数据安全。
SDP方案整体架构如图1-4所示。

图1-4 SDP方案架构

在SDP方案中，SDP接受主机承担着策略执行点的角色，用于控制访问主体到访问客体（可访问的任何资源或服务）的连接。根据其位置与作用，SDP接受主机通常也被称为SDP网关。

SDP网关的特点如表1-3所示。

表1-3 SDP网关的特点

4. 物联网关
物联网已经逐渐成为企业信息化建设的重要场景之一。物联网一般采用物联网通信协议，如蓝牙、Zigbee等。因此，对于物联网关来说，最重要的是支持常见的物联网通信协议与物联终端连接，并对物联终端进行管理。与其他零信任网关不同的是，物联网关一般不需要对流量进行代理。
物联网关的主要功能及周边关系如图1-5所示。

图1-5 物联网关功能示意

物联网关同样需具备身份验证、权限判定、访问控制和协议转换等能力，同时需支持物联网通信协议。

物联网关的主要特点如表1-4所示。

表1-4 物联网关的主要特点

总结与展望

总之，零信任不是技术的创新，而是对理念和技术架构的创新。它通过集成各种成熟的安全能力，赋予“永不信任、持续验证”的设计理念，打造全新的安全体系。防火墙天然契合了零信任中最小授权和对所有流量进行持续监测的原则，协助零信任方案完成在任何访问位置都需要确保所有被访问资源的安全性的要求；同时，防火墙也在不断完善自身，持续根据环境变化、通过自动化的方式进行动态身份校验、权限变更和策略执行，提高效率和安全性。新时代的防火墙全面融入零信任方案，助力零信任方案更具备竞争力，有效保护数据安全。

免责声明：文章内容和观点仅代表作者本人观点，供读者思想碰撞与技术交流参考，不作为华为公司产品与技术的官方依据。如需了解华为公司产品与技术详情，请访问产品与技术介绍页面或咨询华为公司人员。