什么是防火墙即服务（FWaaS）

---

FWaaS（Firewall as a Service，防火墙即服务）是云计算与网络安全领域中的一种新兴应用模式。与传统的本地部署防火墙相比，FWaaS标志着向基于云的防火墙服务转变。通过FWaaS，用户可以在云服务提供商的平台上轻松创建、管理和使用防火墙，无需本地硬件部署和维护。用户可以通过直观的Web界面或API配置和监控防火墙，这种服务模式为组织提供了更灵活、可扩展且易于管理的网络安全解决方案，有效地应对持续变化的网络威胁和业务需求。

---

为什么需要FWaaS

随着企业数字化转型，混合办公的发展，如远程办公、移动办公、云应用的广泛变化，员工、合作方、承包商等需要能随时随地的访问Internet、企业私有应用、SaaS应用及资源，而又要保证网络体验、安全性和运维效率，这需要为企业提供统一的网络和安全架构，这就是SASE来源，其中SASE中的SSE部分提供安全服务，而FWaaS为SSE中不可或缺的一个组件。由于远程办公、访问云上资源等需求，需要在云上能进行安全策略管控及威胁检测， 并灵活的部署和弹性扩缩，在此种情形下，FWaaS应运而生，为企业将安全检测的能力迁移到云上提供了最佳方案。

FWaaS是如何工作的

如下图数据中心场景为例，传统的本地部署防火墙通常被部署在数据中心的边界，以保护内部网络不受外部网络的威胁；而FWaaS则是在云服务提供商或托管服务提供商的设施内实施，通过这种方式，安全措施不再局限于物理边界，而是可以扩展到云环境，实现更为灵活和动态的安全防护。

FWaaS部署在云端

虽然FWaaS部署到了云端，但其提供的能力与NGFW/AI防火墙产品相似，在核心功能上没有太大差异，都具备过滤网络流量、对流量进行威胁检测的功能，包括IPS、AV等：

• 安全策略控制: 通过基于应用的安全策略访问控制，可精细地控制用户的上网行为。与传统防火墙仅能进行协议层面的访问控制不同，NGFW/AI防火墙和FWaaS能识别HTTP协议上层的具体应用，如Facebook、WeChat等，并实现细粒度的控制。
• 入侵检测与防御： 实时监测网络流量，发现并阻止各种漏洞攻击、Web入侵（如SQL注入、跨站脚本攻击XSS）等，同时还能检测恶意流量，如僵尸网络、蠕虫、木马、远程控制等流量。
• 病毒防护： 具备强大的病毒检测和防御能力，能够有效防范各类病毒攻击，包括勒索病毒、挖矿病毒、木马病毒等。借助AI能力以及和沙箱集成，还能识别未知威胁病毒。
• 威胁信息集成：云端借助AI、知识图谱等技术，再结合专家经验，可生产大量的威胁信息，包括IP、域名、URL等，并同防火墙集成，提升威胁检测能力。
• 内容过滤：包括URL过滤、文件过滤、内容关键字过滤等，阻止不良信息传播，防止数据资产泄露，增强网络安全保护等。
  此外，还有其他一些功能都类似，如流量管理、日志和报告等。

FWaaS有哪些优势

相对于传统的物理专用防火墙（如NGFW、AI防火墙），FWaaS具有如下优势：

• 灵活扩展：FWaaS在云上部署，可根据企业的业务变化（流量）和位置变化，进行灵活的调整，快速弹性扩缩。
• 初期成本：在部署初期，不需要采购专有的硬件设备，只需要在云端购买服务即可，减少初期投资。
• 用户体验：FWaaS在云的边缘提供安全，对于远程接入和访问云上应用时，更贴近用户，从而减少延迟并提升用户体验。
• 简化管理：基于云可以提供全球化的安全配置管理，相对于地理位置分散的物理防火墙来说，不仅减少了硬件和布线的需求，也简化了网络和安全管理，提高运维效率；同时易于和云服务进行API集成，实现自动化配置和管理。
• 提供网络和安全可视：通过集中的管理，FWaaS可全面的监控和分析网络流量及威胁，提供了更高的网络和安全可视能力。
• 和SASE集成：为适应远程办公、云、移动设备等带来的传统办公需求变化，需要企业以SASE/SSE来提供安全服务，FWaaS是很重要的组成部分。

FWaaS和NGFW、AI防火墙的区别

虽然FWaaS和NGFW/AI防火墙在功能上类似， 但FWaaS和NGFW/AI防火墙在部署方式、扩展性、稳定性、功能扩展性、维护与管理、成本、性能、数据隐私等方面存在显著的差异，如下图所示。这些区别使得FWaaS成为一种更加灵活、可扩展且易于管理的网络安全解决方案，能够适应现代网络架构和业务需求的变化。

FWaaS vs. NGFW/AI防火墙

FWaaS和SWG的区别

FWaaS和SWG在网络安全领域各自扮演着重要的角色，它们在功能、应用场景和核心技术上既有共通之处，也有显著差异，如下图所示。

共同点在于，它们都是企业安全策略控制的一部分，可以对用户上网的行为进行控制，并对流量中的威胁进行检测，保护企业的资产和网络，一些能力甚至是通用的，例如：

• URL过滤：对用户可访问的网站按分类进行控制，并可检测恶意网页。
• 反病毒：对从Internet上下载的文件进行病毒检测。
• DLP： 对从公司内部到外部的数据进行检查，检查是否包含企业敏感信息等。

FWaaS和SWG的不同点主要在处理的流量以及功能上：

• FWaaS对所有流量，包括L3~L7层流量、以及不同协议流量，如HTTP、SMTP、POP3、Telnet、FTP等进行管控，防止漏洞入侵，病毒进入以及数据泄漏等，并对进出的流量进行检测，发现恶意流量。
• SWG主要监控和管理用户的Web访问，以防止恶意软件入侵和数据泄露。它通过对所有进出企业网络的Web流量进行检查和过滤，包括HTTP和HTTPS，对于HTTPS则启用SSL/TLS解密功能进行深度检测，确保网络安全和合规性，确保上网安全，有的部署模式还需要配合客户端进行代理设置，或者浏览器进行显式代理设置，管控企业员工的上网行为。

综上所述，FWaaS主要关注进出企业网络的流量控制，而SWG则更侧重于Web访问的监控和管理。两者可以结合使用，为企业提供更全面、更强大的网络安全防护。

FWaaS vs. SWG

FWaaS和SASE的关系

SASE是一种基于云的网络体系架构，它将网络功能（如SD-WAN）与安全服务边缘（SSE）相融合，如下图所示。SSE涵盖多种安全功能服务，FWaaS是SSE中安全功能服务之一。因此，FWaaS是SASE架构下可集成的安全功能服务，与其他组件协同提供全面的安全访问服务。

FWaaS和SASE的关系

FWaaS在华为星河AI融合SASE解决方案中的应用

华为星河AI融合SASE解决方案中，服务提供的FWaaS具有华为AI防火墙的所有优势，包括SSL/TLS卸载、安全策略管控、入侵防御、反病毒、URL过滤、DNS安全、DLP（文件过滤和内容过滤）等能力。此外，华为星河AI融合SASE解决方案还提供了其他网络和安全服务，如SD-WAN接入、VPN、ZTNA、SWG以及沙箱检测等能力，为企业的办公上网提供一致性的业务体验、一致性的安全防护和一致性的安全运营能力。更多解决方案介绍请参见：华为星河AI融合SASE解决方案，解决方案部署和维护请参见：华为星河AI融合SASE解决方案产品文档。

---