公有云中的防火墙真的是鸡肋吗？

今天跟以华为的兄弟聚会，聊起来传统安全公司向云发展，问道，云环境中的防火墙怎么做？

我回答很干脆，防火墙在云环境中基本上就是弃之有肉，食之无味。这兄弟也是华为技术很资深的级别了，一脸怀疑，why？

vFirewall产品与过去的硬件防火墙不同，一般基于X86环境，分布在每个Server--多租户共享，或者每租户一个独立VM。

1，客户：上公有云的客户都是互联网（视频、存储、游戏、电商...）、私营企业为主，上云的业务也是原有企业中不那么敏感的业务，像政务云都在专有云里，没有那么多合规、等保的束缚。

2，需求：上公有云的客户核心诉求是低成本+弹性扩展。对安全的诉求有两类---防攻击和访问控制。内部的计算节点一般有公有云自带安全保护，唯一的隐患就是有DDoS和Web网站入侵，游戏和电商对手（雇佣兵）攻击尤其严重。阿里云的对应产品就是DDoS高仿IP和WAF。AWS也是这两个产品，微软更是自己都不做。 

下图--阿里云安全产品，业内算最丰富的

下图-Azure安全，基本么有，靠商业产品撑着，符合微软范儿

下图：DDoS、WAF

3，技术。难道云里面就不需要Firewall了吗？ 做防火墙的同学肯定不服气。 我当初也做了很多年防火墙的开发、设计、解决方案、规划，对此也只能表示遗憾。因为防火墙最核心的业务--防攻击、VPN、NAT、访问控制，在云环境里面只有访问控制有施展空间了。

访问控制、VM隔离是云的最基础功能，一般称为安全组，东西流量不会做太细致的ASPF控制；南北流量有上文说的DDoS、WAF更贴身的护卫。Firewall的角色基本被替代掉了。

4，弱点：防火墙会话管理、应用控制及其复杂，非常不易维护，这都是防火墙的弱点。海量的公有云服务商边界没办法部署，数亿会话量和庞大的业务规则没办法运营。

公有云吐槽完，再说说私有云，企业的边界上做了传统防护，内部也就是分区隔离，基本上用不到虚拟防火墙，如果有vFW，也是ovs加点访问控制包装个概念。私有云内部有物理隔离、MPLS VPN隔离、VNI隔离，再加上Security group，已经够了。

难道vFW就没活路了吗？ 有一些，现在公有云的市场里面就有大量的云化产品，但销量极其惨淡，见下图中的“使用人数”

补充下，关于应用识别或者NGFW，在DC内，基本没有场景的，不管是Private Cloud还是Public Cloud。