实例分析携程运维用防火墙

　　随着互联网技术的不断发展，在线网站的规模越来越大，防火墙作为网站的安全屏障，被大量的使用。防火墙数量的增加以及防火墙中安全策略条目的增加，安全工程师的运维工作量成倍的增长，应用交付往往要求防火墙策略能快速设置。用传统的人工方式运维大量的防火墙策略已经变得非常困难。

　　本文会介绍携程网络安全运维如何通过自动化方式，在防火墙数量达到几十台，策略条目庞大、多品牌的情况下，对防火墙策略进行集中式统一化的管理，提升用户查询、申请策略体验，优化申批流程，系统自动化配置防火墙策略，提升安全工程师效率的同时降低人工出错概率。

　　防火墙运维之痛

　　防火墙运维之痛，这种叫法有点落俗套，可事实上运维的确是痛的，我们经常在很多场合以及在PPT的开篇，会看到这样的说法，比如IT运维之痛，机房管理之痛，网络管理之痛，所以痛在运维这个行业是一个正常的存在，我们都知道，运维通常要经历人工阶段到自动化阶段，再到智能阶段这三个过程。当人工阶段处理的事务遇到严重挑战，就会痛苦，不痛苦就没有改变。所以痛也不见得是坏事。

　　我们在建设基础的安全架构的时候，通常有两种选择，一种是单一品牌的防火墙，或者选择多品牌的防火墙的架构。携程由于一些历史的原因，我们在现网使用的就有5个品牌。据相关调查数据显示，企业网使用多品牌防火墙是一种普遍情况。比如银行业有防火墙异构的合规要求，一些金融企业也会参照这个标准。不同品牌的防火墙提供不同的功能特性。比如在OA出口，你想看到并拦截应用层的安全威胁。就会选择NGFW，数据中心可能会选大吞吐量的墙来满足数据转发的需求。不同时期、商务因素等这样一些原因，导致我们使用了不同品牌的防火墙来满足安全隔离的要求。