防火墙即服务（FWaaS）是一种多功能防火墙产品，并作为一项基于云的服务来提供。通过利用集中策略管理、多企业防火墙特性和流量隧道等技术，FWaaS将下一代防火墙（NGFW）的核心功能部分或全部转移到云上，并且提供更简单、更灵活的部署架构。

近年来，FWaaS已在政府、运营商、医疗、制造、能源与公用事业等众多行业中广泛应用。而随着云计算应用的不断发展，会有更多企业组织采用FWaaS来保护其云上的应用和数据。然而，FWaaS方案在给企业带来便利的同时，也会面临云上应用程序快速增长、公共云数据泄露激增以及防火墙协议不断变化等因素的制约和影响。此外，在一些不发达地区，不完善的IT基础架构也会阻碍用户获得满意的FWaaS服务。

FWaaS的应用价值

相比传统的防火墙产品，FWaaS可以将防火墙保护功能添加到一个更广泛的虚拟网络空间，从而保护更多的组件和应用。在实际应用中，FWaaS的应用价值主要体现在以下方面：

1、更高性能的安全防护

FWaaS能够与云系统和虚拟网络无缝整合，能够在保护业务和数据的同时，确保安全工作并未妨碍业务运营，这样可以帮助企业更安全地发展和变革。这使组织能够保持敏捷性，并为员工和客户提供一流的数字化业务体验和服务。

2、灵活地云扩展

随着组织不断发展，安全也需要跟上。FWaaS消除了企业数字化扩展过程中安全能力不足的担忧，因为FWaaS的服务能力可以根据用户需求轻松扩展。这种灵活性确保了强大的安全性，帮助企业专注于业务目标。

3、全面覆盖和控制

在不同地方保持一致的安全是一项挑战。FWaaS使组织能够集中控制大型虚拟环境。无论运营范围如何，贵组织都可以从一个地方管理和执行安全策略。无论数据在哪里，这种全面覆盖和控制能力，确保了企业获得真正有效的安全措施。

4、支持现代网络架构

FWaaS可以与现代网络系统顺利整合，支持最新的技术和协议，扩展了网络安全的定义。企业业务无论是迁移到微服务还是探索边缘计算，FWaaS都能灵活适应，确保适应未来的强大安全性。

5、简化地网络架构

FWaaS不需要在本地部署安全设备，能够帮助企业简化网络架构和安全，消除了招致漏洞的混乱和迥异设置。这种简单直观的方法不仅增强了企业的安全性，还减轻了安全人员的管理负担。

6、精简策略执行

FWaaS采用分布式网络自动执行策略，可以确保防护措施的一致性，在降低风险的同时，提高了敏捷性，还能够更好地满足合规要求。由于不需要本地安全解决方案，它还可以在组织内更广泛地部署各种安全能力，比如入侵检测、Web应用程序防火墙以及数据丢失防护。

7、提高网络可见性

FWaaS通过更广泛地了解流量模式、潜在威胁和异常情况来提高网络可见性。更好的可见性意味着可以更快地检测和响应可疑活动，从而潜在地防止小的安全事件演变成大的事件。

8、增强可靠性

FWaaS具有更高的洞察威胁和漏洞检测的能力，因此可以帮助企业提升网络运营的可靠性。这些主动地安全保护措施能够降低网络系统中断的隐患。

CVSS的漏洞评价机制

虽然FWaaS具有以上诸多优点，但是也同样存在很多应用的限制和挑战。企业在选型FWaaS方案时，要充分考虑自己的安全需求和现有基础设施环境。企业在评估FWaaS优点的同时，也要充分了解FWaaS应用中可能存在的挑战：

1、依赖互联网连接

FWaaS高效工作严重依赖稳定的互联网连接。如果企业目前还存在互联网连接中断或被限速等情况时，FWaaS提供的网络安全能力就会受到影响。

2、定制化能力不足

与传统的本地防火墙不同，FWaaS在定制服务时会存在很多限制。如果组织有较多特定的安全要求时，就不太适合选用FWaaS，因为预定义的安全设置会与组织的需求不一致，这样将影响到企业获得期望的保护效果。

3、数据隐私问题

FWaaS使用第三方云服务器来传输网络流量，这会引发部分企业对数据隐私和合规方面的担忧。处理敏感数据的组织可能会因潜在的数据泄露和合规要求而犹豫不决。因为当数据在组织外部进行处理时，数据保护会变得更复杂，此时需要认真评估FWaaS提供商的数据处理实践。

4、供应商的可靠性

FWaaS的应用效果很大程度上取决于所选供应商的服务能力和可靠性。停运时间、技术故障或突发性安全事件都可能危及企业网络安全的稳定性。审查FWaaS供应商的近期市场表现和安全措施对于减小这类风险至关重要。

5、初始服务配置较复杂

实施FWaaS方案通常会需要修改现有的网络结构和配置。这个初始配置的过程可能很棘手，需要更改网络路由并与当前安全措施整合，这种复杂性可能导致一段较长时间的服务中断。

6、持续地成本

FWaaS消除了前期硬件设备的购买费用，但同时也带来了基于订阅的持续成本。随着时间的积累，这些成本可能会超过传统防火墙方面的投入。组织必须综合考虑预算的科学性和回报率。

7、本地检测能力不足

传统防火墙能够对本地网络流量进行细致深入的检测。然而，FWaaS是在云端执行检测，难以获取全面的本地数据，因而难以深入了解本地网络中的异常行为情况。这可能会影响对本地网络中的威胁检测，因而需要部署额外的安全措施进行补充。

8、与现有系统整合

将FWaaS与现有的网络结构和工具整合可能会很复杂，因为要确保无缝兼容，不仅需要认真地规划，还需要大量的定制化开发。而如果不能与现有系统有效整合，就可能导致服务中断或者引发安全漏洞。组织在选型FWaaS方案时，必须评估整合的可行性，以确保顺利过渡。

来源：安全牛