隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，在線網(wǎng)站的規(guī)模越來越大，防火墻作為網(wǎng)站的安全屏障，被大量的使用。防火墻數(shù)量的增加以及防火墻中安全策略條目的增加，安全工程師的運(yùn)維工作量成倍的增長，應(yīng)用交付往往要求防火墻策略能快速設(shè)置。用傳統(tǒng)的人工方式運(yùn)維大量的防火墻策略已經(jīng)變得非常困難。

　　本文會(huì)介紹攜程網(wǎng)絡(luò)安全運(yùn)維如何通過自動(dòng)化方式，在防火墻數(shù)量達(dá)到幾十臺(tái)，策略條目龐大、多品牌的情況下，對(duì)防火墻策略進(jìn)行集中式統(tǒng)一化的管理，提升用戶查詢、申請(qǐng)策略體驗(yàn)，優(yōu)化申批流程，系統(tǒng)自動(dòng)化配置防火墻策略，提升安全工程師效率的同時(shí)降低人工出錯(cuò)概率。

　　防火墻運(yùn)維之痛

　　防火墻運(yùn)維之痛，這種叫法有點(diǎn)落俗套，可事實(shí)上運(yùn)維的確是痛的，我們經(jīng)常在很多場合以及在PPT的開篇，會(huì)看到這樣的說法，比如IT運(yùn)維之痛，機(jī)房管理之痛，網(wǎng)絡(luò)管理之痛，所以痛在運(yùn)維這個(gè)行業(yè)是一個(gè)正常的存在，我們都知道，運(yùn)維通常要經(jīng)歷人工階段到自動(dòng)化階段，再到智能階段這三個(gè)過程。當(dāng)人工階段處理的事務(wù)遇到嚴(yán)重挑戰(zhàn)，就會(huì)痛苦，不痛苦就沒有改變。所以痛也不見得是壞事。

　　我們在建設(shè)基礎(chǔ)的安全架構(gòu)的時(shí)候，通常有兩種選擇，一種是單一品牌的防火墻，或者選擇多品牌的防火墻的架構(gòu)。攜程由于一些歷史的原因，我們在現(xiàn)網(wǎng)使用的就有5個(gè)品牌。據(jù)相關(guān)調(diào)查數(shù)據(jù)顯示，企業(yè)網(wǎng)使用多品牌防火墻是一種普遍情況。比如銀行業(yè)有防火墻異構(gòu)的合規(guī)要求，一些金融企業(yè)也會(huì)參照這個(gè)標(biāo)準(zhǔn)。不同品牌的防火墻提供不同的功能特性。比如在OA出口，你想看到并攔截應(yīng)用層的安全威脅。就會(huì)選擇NGFW，數(shù)據(jù)中心可能會(huì)選大吞吐量的墻來滿足數(shù)據(jù)轉(zhuǎn)發(fā)的需求。不同時(shí)期、商務(wù)因素等這樣一些原因，導(dǎo)致我們使用了不同品牌的防火墻來滿足安全隔離的要求。