SASE与防火墙：它们之间有什么区别？

SASE提供基于云的网络与安全服务，而防火墙则负责在特定的网络节点上过滤网络流量。本文用通俗易懂的语言解释了这两个概念，并比较了它们在网络安全中的各自作用。

理解 SASE

安全访问服务边缘（SASE）结合了网络技术和安全即服务功能，具体包括：

• SD-WAN（软件定义广域网）该平台负责管理和优化办公室、用户以及各种应用程序之间的连接，这些连接可以通过多种方式实现，比如互联网、MPLS、LTE等。
• 安全网络网关该工具能够过滤和检查网络流量，例如，允许某些商业网站正常运行，同时阻止那些存在风险的网站。
• CASB（云访问安全代理）该工具能够针对云应用程序的使用实施安全策略，从而提供对各项操作的监控与控制功能（例如，可以限制风险较高的登录行为或数据共享行为）。
• 下一代防火墙也就是说，这是一种超越了基本IP/端口规则的防火墙，通常还包含针对应用程序的规则以及入侵防御功能。
• ZTNA（零信任网络访问）这种机制允许用户仅在特定条件下访问某些应用程序或内部资源。这些条件包括用户的身份验证、设备的状态以及相关的政策规则等。这样做的目的是为了避免当用户只需要使用某个应用程序时，却仍然被授予广泛的“网络访问权限”。

SASE的工作原理是什么？

SASE是一种架构或蓝图，而各供应商通常将其作为云服务来提供。实际上，这意味着用户的流量和网站流量都会通过提供商的网络进行传输。在流量到达互联网或内部应用程序之前，该平台会先应用您的安全策略来保障数据的安全性。

那些提供服务的地点被称为存在点（Point of Presence）可以将PoP看作是一个通往提供商网络的区域性接入点，类似于“服务中心”。在这里，流量可以被处理并路由，而无需将所有数据都发送回某个总部办公室。

在现代环境中，安全访问服务边缘非常重要。因为现在团队们使用云应用程序，他们可以在不同的地点工作，而且他们运行的工作负载也分布在多个云环境中。如果仍然依赖一个“办公室边界”作为主要的控制点，那么这种方式就会变得不够有效。因此，许多设计都倾向于将访问检查功能置于用户、设备以及他们想要访问的特定资源附近。

现实生活中的SASE示例

用户在家打开笔记本电脑后，需要访问一款基于SaaS模式的CRM软件，同时还需要使用部署在私有网络上的内部CRM管理工具。

在采用SASE部署方式的情况下，用户的流量通常会通过这一机制来处理。SASE提供商提供的云平台首先，通过PoP来实现。之后，该平台可以：

• 确认身份（例如，用户成功登录后，其访问需求也得到满足。）
• 检查/确认 设备的姿态/状态（例如：“该设备是否处于受管理的状态，并且符合相关标准？”）
• 应用网络与云应用程序控制功能适用于SaaS形式的服务（如SWG/CASB），例如限制访问那些存在风险的网站，或者对云应用程序的活动实施相应的规则限制。
• 为私有应用程序应用ZTNA风格的访问方式。因此，用户可以访问内部的CRM管理工具，而不会获得对整个内部网络的广泛访问权限。访问规则通常关注的是谁（用户/团队）、什么（应用程序/资源），以及如何使用（协议/端口），而不是“一旦连接后就可以访问所有内容”。
• 集中记录活动情况这样，管理员就可以了解发生了什么情况，并相应地调整相关政策。

这为IT团队提供了一个统一的平台，以便在不同地点的用户上实施一致的网络安全控制措施。同时，该平台还能通过SASE解决方案来支持对各个应用程序的访问需求。

理解防火墙的工作原理

防火墙是一种设备或程序，用于控制需要不同信任级别的网络或计算机之间的通信流量。

典型的“传统防火墙”设备通常位于办公室网络的边缘位置（即内部局域网与互联网连接之间）。它负责决定哪些连接可以进入或离开该网络。如果将该设备放置在不同的网络段之间，那么它还可以执行相关的内部分割规则。

防火墙是一种基于规则的网络连接控制机制。它适用于各种安全策略/规则，例如：

• 允许通过 HTTPS（TCP 443）进行出站网页浏览。
• 从公共互联网上阻止对远程桌面连接（RDP）的访问。
• 请让人力资源服务器仅通过数据库端口与薪资数据库进行连接。
• “阻止与已知恶意目的地的连接”（这种功能在下一代防火墙的设置中很常见）。

防火墙的安全性主要体现在：哪些系统可以在何种条件下（通过何种协议/端口）与特定的目标系统进行网络连接。有时，它还会涉及到哪些应用程序或内容可以被访问。

传统防火墙与下一代防火墙的区别

防火墙可以放置在不同的位置：

• 互联网边缘。例如，可以在内部网络与ISP路由器之间设置一道办公防火墙，以控制进出网络的流量。
• 在内部各个部分之间。例如，可以在“用户VLAN”和“服务器VLAN”之间设置防火墙，这样用户只能访问被授权的服务，而无法访问整个服务器网络。
• 在DMZ中。 A 非军事区/缓冲区这是一个专门用于提供公共服务的独立网络段，比如网站之类的服务。例如，公共Web服务器位于DMZ中，而防火墙则对互联网、DMZ以及内部网络之间的流量进行严格控制。
• 在终端设备上（基于主机的防火墙）。例如，Windows防火墙或Linux主机上的防火墙，它们会阻止所有对服务器的入站连接，除非有明确的允许指令。

A NGFW与传统的防火墙相比，它通常包含对应用程序的感知规则、更深入的检测功能，以及类似入侵防御机制的控制措施。

例如，思博的Cloud Firewall是一种基于云的防火墙服务。该服务允许企业为虚拟私有网关设置自定义安全规则，同时能够根据流量来源、目的地以及服务类型来实施精细化的控制。

SASE与防火墙之间的主要区别

比较点

SASE

防火墙

它是什么？

在何处执行规则

安保人员/保安部门

通常使用的政策有哪些呢？

最佳匹配

类别与范围

“SASE与防火墙”这一对比，实际上指的是两种不同级别的技术。

• 防火墙只是一种控制手段而已。你可以将其部署在某个特定的位置——比如办公室的边界处、不同网络段之间，或者终端设备上。这样，它就能对网络流量实施相应的规则限制。
• SASE是一种服务模式。通常，这种解决方案会将多种安全服务和网络功能整合到一个由云提供的平台上。在大多数SASE定义中，防火墙功能只是该解决方案的一部分而已，而不是全部内容。

政策执行与零信任网络访问

传统的防火墙通常关注的是网络层面的问题，比如：“这个IP地址能否与那个IP地址在同一端口上进行通信？”这些规则所使用的概念包括：

• IP地址**（某个设备或服务的网络地址）**
• 港口（用于标识某项服务的编号）
• 协议/规范（流量传输的方式；通常为TCP或UDP）

ZTNA它关注的是一个访问问题：“这个用户是否应该立即在这个设备上访问这个特定的应用程序？”通常，这种机制只是允许特定应用程序的访问权限，而不是让整个网络上的所有用户都能访问该应用程序。

远程访问与云应用

通常，用户会先连接到VPN网络，然后数据流量会通过企业网络进行传输。此时，边界防火墙会执行相应的策略。这种方法确实可行，但在大多数情况下，数据流量都发生在云应用程序中，因此这种方法会导致额外的路由和策略管理问题。

在 SASE 的部署中，通常会将用户流量引导到附近的 PoP 节点上，然后在那里执行安全处理。之后，这些流量会被继续传输到最终目的地，比如互联网、SaaS 服务或私有应用程序。这样的设计目的是为了为远程员工提供一致的网络安全保障，同时避免所有流量都必须经过某个单一办公地点。

分割与局部控制

防火墙仍然是网络内部进行分割的核心工具：它可以将服务器分层隔离，保护敏感系统免受攻击，同时控制横向流量，并为公共服务建立DMZ区域。

即使采用了安全的接入服务边缘技术，许多组织仍然保留着本地防火墙（以及基于主机的防火墙）。因为在许多环境中，分段管理和本地控制仍然非常重要。

加密后的流量检查

大多数现代交通通信都是经过加密处理的。无论是SASE还是防火墙安全机制，都面临着同样的挑战：进行检查需要解密数据。为了更深入地了解应用程序数据，防火墙无法读取加密后的应用程序数据，除非它们能够解密并查看这些数据（NIST SP 800-41中有相关说明）。而SASE检查也面临着同样的现实限制。

SASE和防火墙是如何协同工作的呢？

在许多网络安全设计中，安全接入服务边缘和防火墙分别解决了不同的问题。

• 对于用户与应用程序之间的访问需求（尤其是针对云应用程序），应使用SASE来进行处理。此外，为了确保在不同地理位置和用户的设备上获得一致的安全服务，也建议使用SASE。
• 您应该使用防火墙来实现网络分段、DMZ保护，以及对站点和数据中心内的网络流量进行本地控制。

政策提示：在这两个系统中，保持“谁可以访问什么”这一规则的一致性非常重要。这样，随着环境的发展，安全策略就不会发生变动。

如何在SASE和防火墙之间进行选择

从用户工作的地方以及应用程序运行的位置开始考虑吧。

在以下情况下，应选择安全的接入服务边缘：

• 远程或混合式访问已经成为常态。