隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，在線網(wǎng)站的規(guī)模越來越大，防火墻作為網(wǎng)站的安全屏障，被大量的使用。防火墻數(shù)量的增加以及防火墻中安全策略條目的增加，安全工程師的運維工作量成倍的增長，應用交付往往要求防火墻策略能快速設置。用傳統(tǒng)的人工方式運維大量的防火墻策略已經(jīng)變得非常困難。

　　本文會介紹攜程網(wǎng)絡安全運維如何通過自動化方式，在防火墻數(shù)量達到幾十臺，策略條目龐大、多品牌的情況下，對防火墻策略進行集中式統(tǒng)一化的管理，提升用戶查詢、申請策略體驗，優(yōu)化申批流程，系統(tǒng)自動化配置防火墻策略，提升安全工程師效率的同時降低人工出錯概率。

　　防火墻運維之痛

　　防火墻運維之痛，這種叫法有點落俗套，可事實上運維的確是痛的，我們經(jīng)常在很多場合以及在PPT的開篇，會看到這樣的說法，比如IT運維之痛，機房管理之痛，網(wǎng)絡管理之痛，所以痛在運維這個行業(yè)是一個正常的存在，我們都知道，運維通常要經(jīng)歷人工階段到自動化階段，再到智能階段這三個過程。當人工階段處理的事務遇到嚴重挑戰(zhàn)，就會痛苦，不痛苦就沒有改變。所以痛也不見得是壞事。

　　我們在建設基礎的安全架構(gòu)的時候，通常有兩種選擇，一種是單一品牌的防火墻，或者選擇多品牌的防火墻的架構(gòu)。攜程由于一些歷史的原因，我們在現(xiàn)網(wǎng)使用的就有5個品牌。據(jù)相關調(diào)查數(shù)據(jù)顯示，企業(yè)網(wǎng)使用多品牌防火墻是一種普遍情況。比如銀行業(yè)有防火墻異構(gòu)的合規(guī)要求，一些金融企業(yè)也會參照這個標準。不同品牌的防火墻提供不同的功能特性。比如在OA出口，你想看到并攔截應用層的安全威脅。就會選擇NGFW，數(shù)據(jù)中心可能會選大吞吐量的墻來滿足數(shù)據(jù)轉(zhuǎn)發(fā)的需求。不同時期、商務因素等這樣一些原因，導致我們使用了不同品牌的防火墻來滿足安全隔離的要求。