云下一代防火墙和云防火墙的区别对比

目前大部分云服务供应商都提供了「云防火墙」，而「云下一代防火墙」不是每家都提供。
但是大多同事提供两种防火墙的供应商，没有直接对比两者的文档。自己总结一下，方便整理招标文件。
以天翼云为例：
云下一代防火墙「CT-ECFW」

云防火墙「CFW」

一、实现上的区别：

云下一代防火墙和云防火墙都是基于云计算的防火墙服务，但它们在实现上略有不同。

• 1. 部署位置不同

云下一代防火墙安装在云环境下的虚拟机或物理服务器上，而云防火墙则是直接提供云服务。

• 2. 管理方式不同

云下一代防火墙需要自己管理，包括维护安全策略、更新软件补丁、监控日志等；云防火墙则由云服务提供商来管理，并提供整个系统的监控和管理。

• 3. 功能上略有不同

云下一代防火墙通常支持更多的定制化功能，以满足复杂的安全需求，如基于应用程序的安全等；而云防火墙则注重易用性和自动化，提供基础的安全功能。

• 4. 成本上略有不同

云下一代防火墙通常需要用户自行购买并维护硬件设备，而云防火墙则是以服务方式提供，成本相对较低。

综上所述:

云下一代防火墙更适用于对安全要求更高，有专业人员管理和维护的企业；而云防火墙则更适用于小型企业或个人用户，以及基础安全需求不高的企业。

二、云下一代的优势

• 1.具有全面适应能力的软件防火墙
  在虚拟化环境中，用户的计算、存储、数据资源都是运行在服务器的虚拟机上，在考虑安全防护的设计时，云下一代防火墙安全产品可在虚拟机上实现快速灵活的部署，支持在 VMware、KVM、XEN、Hyper-V等主流虚拟化平台上运行，可串联或单臂连接到虚拟网络中（如：虚拟应用服务器前端的网关，或者是VPC网络的边界网关），为虚拟网络或应用提供专业的边界网络安全防护功能。
  以虚拟化的形式部署设备，能够克服物理防火墙的限制，在虚拟化环境中可部署于更加靠近 VM 的位置，对于 VM 主机内部流量进行过滤，实现同时对于南北向和东西向流量的安全防护。同时，用户可以根据网络搭建需求，弹性调配和管理网络资源等，并且能够按需进行灵活迁移，充分发挥虚拟化优势。
• 2.拥有专业 NGFW 安全防护功能
  云下一代防火墙安全产品拥有与 NGFW 相同的操作系统，具有丰富的网络安全防护功能，对网络威胁进行防御，能够满足企业分支及公有云多租户环境中的网络安全需求。
  ·具备精细化应用管控，可为用户提供多维的应用风险分析和筛选，以及灵活的安全控制，包括策略阻止、会话限制、应用引流和智能流量管理等。同时，还具备入侵防御、病毒过滤、攻击防护、NAT等功能，满足客户对安全访问、应用识别和控制等需求。
  ·具备 HA 组网能力，满足配置和会话同步的要求，从而实现高可靠的冗余部署，保障用户业务的不间断连续运营
• 3.结合云平台的安全可视化管理
  数据中心在云化过程中给网络安全管理带来了挑战，云下一代防火墙安全产品进行便捷的虚拟网络管理，为云环境中的独立租户提供专属的安全隔离和策略保护。同时，可实现基于快照的系统快速恢复，在虚拟设备出现问题或宕机的情况下，可通过快照存储的上一时间的配置进行快速恢复，即刻就能在原有虚拟机或者新的虚拟机上启动虚拟防火墙设备。
  云下一代防火墙安全产品具有一致的管理界面，图形化交互直观易用。具备各种日志记录查询功能，能够有效记录网络情况，并提供实时流量和安全事件的报表统计功能，帮助管理员全面掌握网络运行状态，提高运维效率。
• 4.提供多种自动化部署方案
  云下一代防火墙安全产品适合在公有云和私有云中部署，可为公有云和私有云客户提供自动化的网络安全解决方案，抵御外部的网络攻击。借助虚拟化的优势特性，云下一代防火墙安全产品可按需自动化部署和扩展安全服务资源，并可与现有的云计算管理平台进行紧密整合，将管理和安全防护能力直接深入到虚拟化架构中，可伴随着客户或虚拟业务资源的需求增长和缩减。
  可为具有开发能力的客户提供完成初始化部署的方案，并提供二次开发对接接口；可为OpenStack的客户提供替换源生vRouter以及FWaaS的整体交付方案；可为致力于方案解耦的客户提供符合国际化标准的开源开放>NFV集成方案。

三、附件：

• 附件中的这些都可以在供应商的官网文档中查阅，这里列举出来只为方便查阅

云下一代防火墙（Extended Capacity Firewall CT-ECFW）是专门为云计算环境设计的虚拟化网络安全产品，内嵌网络防火墙专用操作系统，以虚拟主机形态提供高性价比、不同安全等级应用之间的安全隔离防护的云安全边界解决方案，为客户提供了下一代防火墙、高可用性 (HA)、入侵防御 (IPS)、病毒过滤 (AV)、服务质量保证 (QoS)僵尸网络防护（C&C）、云沙箱（SandBox）等丰富功能，降低客户初始采购和管理维护成本。

CT-ECFW.png

云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。

CFW.png