自从Internet 诞生之初,Web代理已成为安全堆栈的重要组成部分。一方面,代理提供了更多的性能优势和更可靠的安全性,并针对所有类型流量进行风险分析,另一方面,代理提供的分析要比独立防火墙提供的更加具体深刻。Web代理的优点是能够完全打开和检查流量,而且在做这些操作的时候,对用户的影响为零。
代理与防火墙有何不同?
让我们用一个简单的类比来说明防火墙和代理之间的区别。假设您的公司收到一个包裹。邮递员首先会读取标签,然后再进一步寻找更多相关信息。因此,邮递员可以将包裹放入X射线机检查其内容。一般来说,使用X射线机检查就够了,但并非100%可靠。要真正找出包装内的物品,必须有人打开包装并检查其中的物品。
从这个意义上讲,防火墙类似于X射线机。它可以工作到一定程度,但是有局限性。我们可以继续类比,网络代理类似于实际打开包裹的店员。代理可以详细查看流量数据包的内容,包括有效负载。当然,代理是以比人类更快的速度打开包裹,检查内容并重新包装流量数据包。
一些防火墙解决方案提供商试图用显式的代理和PAC文件配置来混淆代理体系结构的基本原理。然而真实的代理提供了多种方法来将流量驱动到代理安全服务,这些方法超越了传统的路由,它还提供了一个更深入、更可扩展的解决方案来保护和引导流量。
实际上,整个互联网都是建立在代理技术之上的,像Netflix这样的流媒体公司使用CDN技术时,地理位置分散的服务器组开始协同工作,向Netflix客户快速交付互联网内容。使用应用交付控制器(ADC)的企业,该交付控制器位于防火墙和应用程序服务器之间的数据中心,以提高应用程序性能并在服务器之间执行负载平衡。安全的Web网关(SWG),它可以提供大规模的保护并监视用户对互联网的访问。
防火墙技术有其局限性
代理流量涵盖HTTP、HTTPS和FTP,它们构成了绝大多数的互联网流量。当今的下一代防火墙通常具有多个内置的安全服务(包括数据丢失防护),旨在防止威胁进入您的组织以及防止敏感数据泄露。但即使是下一代防火墙,也缺乏检查所有HTTPS(加密)流量的处理能力。这已经成为我们面临的一个主要问题,如何保护无法检查的内容?
Web代理和SASE
Web代理的构建是为了大规模地检查加密的流量,并可靠地应用所有安全和风险控制。代理将流量导向到代理安全服务中,使企业可以使用其他方法将流量定向到Internet。因此,它们提供了一个高度可扩展、高度安全的解决方案,用于在不会影响性能的情况下保护和引导流量。
基于安全访问服务边缘(SASE)模型的SWG可以提供这些功能。特别是,作为服务交付的多租户SASE解决方案,既具有成本效益,又具有可扩展性,无需担心随着需求的变化而更新或扩展基础架构。
Gartner认为SWG不仅是SASE的重要组成部分,而且它是构建SASE平台的基础技术架构。
原文链接:
https://www.zscaler.com/blogs/corporate/why-proxies-and-firewalls-are-essential-modern-threat-landscape
声明:本文来自SDNLAB,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。