几年前，许多从事于安全和网络的管理员对于缺乏像样的云防火墙技术表示失望。在当时大多数公有云防火墙充其量算是初级产品，它们在管理或合理的安全配置方面只能提供极少的控制权。如今值得庆幸的是，通过在云基础设施中添加可用于创建、运行基于网络和基于主机的云防火墙的新方案，上述情况已经发生了变化。
对于大多数企业来说，如今更大的挑战可能是对这些系统实施远程管理和监控，以及尽可能地将此过程自动化。幸运的是，一些云服务商正致力于将云防火墙管理变得比以往更简单，大量自动化框架及平台也常常能够对规则管理和监控予以帮助。如何实现？我们将在下文中展开讨论。

基于主机的云防火墙管理

对于那些寻求基于主机的云防火墙管理的企业而言，有大量的可选方案。在基础设施即服务（IaaS）环境下，企业可以直接安装厂商代理的任何产品，这些产品可能是企业正在使用的，包括迈克菲公司、赛门铁克公司及其他公司的产品。像这样的厂商中许多也有能力支撑起云管理后台。这些产品一经安装到IaaS实例中，现有的或虚拟的设备管理平台即可对其进行监控。
在这个领域中，新方案不断涌现，正被诸如CloudPassage和Dome9 Security这样的厂商推向市场，两家公司都以软件即服务（SaaS）的方式提供IaaS云防火墙管理服务。这些服务可以提高云系统在实施、控制以及资源利用率方面的效率。在某些情况下，基于网络的云防火墙可能无法在公有云环境中使用，这就将安全交给了可以通过云后台控制面板进行配置和管理的基于主机的云防火墙来控制。然而，这些服务可能无法在网络环境中提供目前使用的所有功能，并且迁移至一种云服务模型可能需要额外的规划和配置变更。

基于网络的云防火墙方案

尽管基于主机的云防火墙管理看起来似乎成熟了，但大部分企业依旧挣扎在开发和维护基于网络的云防火墙规则库的泥潭里。部分问题是由于云服务商自有防火墙缺乏足够的管理粒度和性能，但其他的挑战往往产生于在IaaS环境中制定一项可以很容易紧跟线速防火墙及其复杂规则库的自动化策略。

企业可选的一种方案是简单且易于管理的亚马逊弹性计算云（EC2）内置网络防火墙，它可以通过命令行和应用程序接口（API）的访问来实现管理控制和自动化控制。EC2的防火墙规则是通过一种称为安全组（Security Groups）的方式来创建。该组支持协议、端口、因特网控制消息协议的类型和代码、源地址、目标地址以及安全组名称/标识符，这些将用于方便地访问和修改EC2中的个别安全组以及规则。虽然标准的安全组仅支持入站流量过滤规则，但是亚马逊虚拟私有云（VPC）服务还支持出站规则。

许多命令和API调用可用于EC2的安全组中，它们可以灵活作用于新的安全组和规则的创建以及规则的删除，同时也灵活作用于与EC2实例关联的安全组及规则 的变更。关于这些命令的举例如下：

• ec2-create-group：创建一个新的安全组（相当于API调用CreateSecurityGroup）
• ec2-authorize：添加规则到安全组（相当于API调用包括AuthorizeSecurityGroupIngress和AuthorizeSecurityGroupEgress作为VPC规则）
• ec2-describe-group：列出安全组及其属性（相当于API调用DescribeSecurityGroups）
• ec2-modify-instance-attribute：对于VPC服务，此命令可以修改一个实例将其与一个或多个安全组相关联（相当于API调用ModifyInstanceAttribute）
• ec2-revoke：从安全组中删除规则（相当于API调用RevokeSecurityGroupIngress）
• ec2-delete-group：删除一个安全组（相当于API调用DeleteSecurityGroup）

管理员能够轻松地编写简单脚本，定期调用“ec2-describe-group”命令并将输出的数据导入到一个文件用于分析和报告。脚本每小时或每天运行一次以验证结果，观察安全组状态是否发生了变化。此文件的输出包含安全组名称和ID、亚马逊账户ID（即安全组的所有者）、安全组描述、安全组关联的规则，在适当的时候还会显示VPC组的名称。如果一个新的规则获得批准，“ec2-authorize”命令可用于编写在指定窗口切换中自动执行的脚本。而“ec2-revoke”命令也可以用来自动删除规则，只需要指定组ID及规则属性。API自动化可以借助厂商提供的业务流程编排工具（orchestration tools）来简化这一过程，比如RightScale，或者诸如Eucalyptus以及OpenStack这样的云管理框架。

来自于其他云厂商的更加自动化的防火墙正在以他们的方式进入市场。以Rackspace公司为例，目前为客户提供来自Vyatta的防火墙设备，这些设备允许命令行访问和脚本功能。一些传统的防火墙厂商也已经采用了亚马逊的虚拟设备模型，例如，当前客户正使用Check Point软件科技公司的SmartConsole，通过在已有的管理面板中添加AWS设备作为另一个节点来管理防火墙及规则。

云防火墙自动化

为了实现更加灵活和可脚本化的API访问，越来越多的企业利用诸如Puppet和Chef这样的自动化工具包。Dome9在AWS上提供SecOps服务，它是一种允许客户从SaaS后台监视和管理所有的EC2安全组的完整产品，为企业使用的所有亚马逊区域和账户提供统一的报告。

一个试图在其云防火墙平台中实现更多自动化的企业应当考虑一些注意事项，包括但不限于以下内容：

• 什么防火墙可用于云厂商环境中？这些厂商是否拥有传统防火墙设备用于云防火墙实现？通常在私有云中，诸如Juniper vGW或者思科ASA 1000V防火墙设备为实现云防火墙可能需要支付额外的费用。大多数公有云厂商的客户将被降级到厂商的传统防火墙产品。
• 当前的防火墙是否提供命令行和/或API访问？如果是，这预示着具备了脚本支持，以及自动化与业务流程编排工具的集成支持。
• 你的云管理工具（如OpenStack）是否提供与你的云厂商的原生API相集成的功能？对于许多工具来说，AWS集成是广受欢迎的集成方案，但是该方案对其他云厂商的产品只有微弱的支持。
• 你能否实现和使用诸如Puppet and Chef这样的自动化工具包来自动化防火墙管理工作？这些工具是经过专门的设计以满足此类功能，并且在实现上是灵活的。请记住实现此类工具需要额外的策略和流程以保证任何脚本的变更均经过已批准的变更控制及审查流程。
• 使用新的基于云的防火墙产品来增强甚至取代当前防火墙策略和流程是否有意义？比如尤其是当需要诸如文件完整性监控和配置管理等额外的终端安全功能时，一个基于主机的云防火墙产品可以使一些企业变得更加有意义。像那些来自Dome9的工具还可以通过以SaaS形式提供一个基于云的管理面板和控制中心来简化管理工具的安装。

未来更多的云防火墙方案

除了新的SaaS产品，未来云防火墙管理和自动化所面临的最大变数将出现在变更控制和远程脚本访问防火墙规则库和数据等领域。管理员和运营团队将需要优化他们的流程以确保进行更加频繁的规则验证，规则的变更很可能需要引入新的方法，即便其可能无法与现有的内部防火墙工具很好地集成。随着时间的推移，可能会出现与领导厂商的更高水平的集成案例，但是在今天企业试图为所有的内部防火墙和云防火墙的控制和数据创建单一的管理架构仍有尚待填补的空白。