日前，Gartner发布2021年Magic Quadrant for Network Firewalls¹《2021年网络防火墙魔力象限》报告，阿里云首次被该份报告列为“Challenger（挑战者）”之一。

越来越多的企业数据和工作负载向云和SaaS提供商转移，远程办公群体也在日益壮大，一个显而易见的事实是，云环境正在变得越来越复杂。在2019年咨询机构对技术专业人士调查中，客户报告说，由于架构变化的速度很快，技术的多样性，他们越来越难以做出安全决策。

图 阿里云网络架构示意图

云服务的出现使得网络由物理可见向虚拟抽象演化，数据中心不再是一个仅受地域限制的横向控制平面，而是纵向扩展了跨数据中心网络、混合云网络、跨地域网络、云上网络和公网的“五维新边界”。

今年是全球主要的公共云服务商全方位被纳入评估，标志着防火墙这种传统的边界安全产品开始全面融入不断演化的新型边缘云基础设施。

深度耦合云网络

云防火墙如何定义可信云网络——用“寸步不离，形影相依”来形容，再合适不过了。技术架构和网络形态演进给组织带来的复杂安全问题，唯有拥抱架构层面的变化来解决。

魔力象限报告中提到：

• 阿里云为市场提供了公共云供应商中最成熟的防火墙产品；
• 将公共云防火墙扩展到FWaaS用例的独特优势很受市场青睐；
• 在高级威胁检测、日志精细度、业务细分和可视化方面广受认可；
• 将零信任（ZTNA）作为云安全访问服务的独立功能，阿里云很好地实现了新型架构下企业用户对端和移动设备的访问控制。

FWaaS基于云基础设施为用户提供软件化的防火墙服务，市场认可与阿里云防火墙深度耦合云网络的“原生优势”密不可分。作为全球首款公共云的SaaS化防火墙，阿里云将可信网络“新边界”的布局从云内的服务器、容器等工作负载一直延伸到地理位置上极其分散的远程办公人员和设备，一个由FWaaS构建的“安全骨干网络”初见雏形。

图 FWaaS构建基于云的“五维”可信网络边界

一方面基本覆盖了全部流量死角的隔离和安全检测，另一方面也强化了一个基于云网络架构的零信任（ZTNA）验证体系：

• 互联网边界：原生接入EIP、SLB、NAT等云产品，随防火墙开启，实现公网资产直接同步，无需进行资产梳理与接入配置；
• VPC/专线边界：​通过云企业网（CEN）管控VPC、隔离区、专线、隧道、分支机构间的所有东西向流量互访并实现隔离，杜绝内部流量黑盒；
• 工作负载边界：主机间与容器间基于agent的FWaaS微隔离策略，在动态的云环境下快速、自动化应对工作负载诞生、消亡、迁移等情况；
• 远程办公终端：通过SASE服务将全球云网络（SD-WAN）与安全服务结合，在网络边缘提供了基于身份的安全性验证和访问控制。

对网络边界的重塑是公有云厂商提供FWaaS服务的天然优势，但却不是阿里云防火墙出道即高光的唯一理由。

应对更具迷惑性的攻击和威胁，魔力象限中已调查用户对基于IDPS的高级威胁检测功能评价颇高，智能算法加持才是精准检测与防御的“硬实力”。

ATT&CK框架下,高级威胁精准探查与防护

当前，全球网络空间的攻击活动并无平静的趋势，随着企业架构向分布式扩展，攻击者的技战术也在发生变化，威胁态势呈现出两个显著特征。一方面，高级可持续性威胁攻击活动频频曝光，远程办公背景下围绕 VPN 应用的 APT 攻击活动也被发现；另一方面，面向三方软件提供商和外部远程服务等发起的“间接攻击”和泄露事件呈上升趋势。

• APT团伙目标针对性强：主要攻击包括***、军事、医疗、游戏等行业目标及相关人员，*** APT 组织也积极利用疫情为诱饵针对我国目标实施 APT 攻击活动；
• 在野漏洞利用的 APT 攻击活动在加剧，隐秘隧道等执行方式导致攻击隐蔽性极强，远程办公也带来新的APT威胁攻击面；
• 近年来盛行的供应链攻击因其攻击链路更长，更隐蔽以及更加难以检测，已经成为黑客攻击的重要突破口，带来的溯源、审计难度很大。

阿里云防火墙提供了全面覆盖ATT&CK框架下各类高级威胁的精准探查与防御，包括漏洞防护、防暴力破解、挖矿检测、信息防泄露等十余个大类，100多项实时检测能力，尤其擅长应对持久化的威胁和具备防御规避能力的攻击。

图 阿里云FWaaS基于ATT&CK框架的高级威胁探查防御图谱

威胁形式的演化带来防御体系和防御措施变化。智能算法加持下，云防火墙的检测识别力不断提升，全流量动态防御能够轻松应对云架构下任意位置的访问控制，实现入侵行为检测、审查、追溯和防护。

• 依托图计算情报关联自生长，全球云网络视野实现僵、木、蠕和高危0day最早在野利用的可见可防，千万量级情报ioc小时级全网协同；
• 深度报文解析+机器学习技术形成智能ACL策略，从海量历史日志中拨开复杂业务场景流量，收敛攻击面，攻击水位下降90%；
• 虚拟补丁技术在无需更新和重启云防火墙的前提下，在数十秒内将防护规则应用到所有尚未修复的自动化管理终端上，避免了黑客利用修补漏洞“时间差”发起的持续攻击，也简化了补丁流程；
• 加密流量指纹与非解密流量的自动化拦截相结合，自动甄别应对黑客木马工具，流量非可视也可防。

合纵连横，共抗风险

IT基础架构向云环境的转移导致端点和威胁暴露面激增，单点边界安全正在被云环境下跨产品能力和跨平台联动防御取代。魔力象限中特别提及了阿里云完备的安全与合规中心统一管控平台，帮助用户实现简单、易用地管理包括防火墙、WAF、Anti-DDoS、CWPP等在内的多样化安全服务能力。

更重要的是，通过统一控制台，用户可以根据自身防护需求，将产品能力在流量、网络、终端、服务器与身份管理等维度打散重构，实现更轻量化的联动防护。

以防火墙为例：
特定的防护场景下，企业安全管理员可以选择调用单个功能模块而忽略另一些，可以配置为仅引导流量，可以仅进行隔离，也可以过滤来自网络内部的 URL 并防御攻击。

图 云上SaaS化安全能力打碎重构与统一管控

依靠云原生的架构优势，阿里云FWaaS简化了网络威胁管理，具备微隔离和“网端一体检测响应”理念的云上防护体系初具雏形。

“端-网-端”联动防御

• 主机侧:云防火墙联动云安全中心漏洞修复能力模块，针对服务器端的漏洞，在网络侧提前防御，有效抵御入侵攻击，同时提供虚拟补丁，杜绝主机侧漏洞爆发至修复期间存在的入侵隐患；
• 容器侧:为容器环境提供基于agent的访问控制，集智能学习、告警、攻击行为拦截为一体的防火墙服务，支持容器集群防护；
• 针对隐蔽性极强的入侵:云墙的出向流量管控能力，在网络侧检测对外发送请求的流量大小、IP地址、端口、域名等信息，综合判断、发现并阻断“主动外联”恶意行为；
• 远程办公场景下:联动SASE的用户身份和终端设备信息采集能力，综合判断用户和设备属性、位置、访问行为等信息，实现内网精准访问控制。

资产策略统一管控

中大型企业上云时，通常选择按照业务线、项目或使用场景、分支机构地区、生产测试环境来建立多账号体系和细分可用区，云资源默认隔离，便于成本结算。但这样做的问题是，过度的环境细分让安全策略和安全部署缺乏统一视角，造成管理困境，增加开销。

阿里云防火墙的FWaaS服务模式提高了安全架构的扩展性，安全管理权限集中的同时，不影响不同业务部门、分支机构的独立报表分析与成本核算，提高资产可见性并简化管理。

• 安全策略统一-IT人员在修补、升级和配置等重复性任务上花费更少的时间；
• 攻击面收敛-资产梳理与安全管理策略统一应用于所有位置和用户的所有流量，最小化暴露；
• 全局日志可视-日志记录完整呈现云防火墙如何管理和处置所有流量类型，态势感知产品可以进一步使用这些日志来帮助调查攻击。

此前，在Gartner发布的《2021年网络安全技术成熟度曲线报告》²（Hype Cycle for Network Security, 2021）中，阿里云在网络防火墙（Network Firewalls）领域被列为代表性厂商。这意味着阿里云·云防火墙对高级威胁的检测防护能力已经与传统网络安全厂商并驾齐驱。

更重要的是，云原生的安全特性、更简化的安全管理和云产品集成、以及与DevOps工具进一步融合的技术路线，为云防火墙以FW即服务的形式为企业用户提供混合业务场景下（公有云、私有云、多云和本地数据中心等）降低管理策略的复杂性，构建更强大的高级威胁检测、预防和阻断能力提供了想象空间。

来源：

Gartner, Magic Quadrant for Network Firewalls, By Rajpreet Kaur, Jeremy D'Hoinne, Nat Smith, Adam Hils, 2021年11月1日

Gartner, Hype Cycle for Network Security, By Shilpi Handa, Pete Shoard, 2021年7月14日