【科普篇】云防火墻及防火墻即服務(wù)（FWaaS）

云防火墻是一種安全產(chǎn)品，與傳統(tǒng)防火墻一樣，可以過(guò)濾掉潛在的惡意網(wǎng)絡(luò)流量。而與傳統(tǒng)防火墻不同的是，云防火墻托管在云中。這種防火墻的云交付模式也稱為防火墻即服務(wù) （FWaaS）。

就像傳統(tǒng)防火墻會(huì)形成圍繞企業(yè)內(nèi)部網(wǎng)絡(luò)的屏障一樣，基于云的防火墻將形成圍繞云平臺(tái)、基礎(chǔ)設(shè)施和應(yīng)用程序的虛擬屏障。云防火墻也可以保護(hù)內(nèi)部基礎(chǔ)設(shè)施。

防火墻的定義

防火墻是一種可過(guò)濾掉惡意流量的安全產(chǎn)品。從傳統(tǒng)上來(lái)講，防火墻在受信任的內(nèi)部網(wǎng)絡(luò)和不受信任的網(wǎng)絡(luò)之間運(yùn)行，例如，在專用網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間。早期的防火墻是連接到企業(yè)本地基礎(chǔ)設(shè)施的物理設(shè)備。防火墻根據(jù)一組內(nèi)部規(guī)則阻止和允許網(wǎng)絡(luò)流量。大部分防火墻允許管理員自定義這些規(guī)則。

可信網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的邊界稱為“網(wǎng)絡(luò)邊界”。然而，隨著云計(jì)算的日益普及，網(wǎng)絡(luò)邊界大多已不復(fù)存在。因此，在受信任的云資產(chǎn)和不受信任的互聯(lián)網(wǎng)流量之間形成虛擬屏障的云防火墻變得越來(lái)越重要。

防火墻即服務(wù) （FWaaS） 與云防火墻是否不同？

防火墻即服務(wù)，簡(jiǎn)稱 FWaaS，是云防火墻的另一個(gè)術(shù)語(yǔ)。與其他“即服務(wù)”類別（例如軟件即服務(wù) （SaaS） 或基礎(chǔ)架構(gòu)即服務(wù) （IaaS））一樣，F(xiàn)WaaS 在云中運(yùn)行并通過(guò)互聯(lián)網(wǎng)訪問(wèn)，由一個(gè)第三方供應(yīng)商對(duì)其進(jìn)行更新和維護(hù)。

為什么使用 FWaaS？

銀行有很多物理安全措施。大多數(shù)實(shí)體銀行將包括安全功能，例如安全攝像頭和防彈玻璃。保安人員和銀行員工還幫助阻止?jié)撛诘男⊥?，現(xiàn)金則存儲(chǔ)在高度安全的保險(xiǎn)箱中。

但是，試想一下，如果每個(gè)銀行分支機(jī)構(gòu)的現(xiàn)金都存放在全國(guó)各地由專門從事安全維護(hù)業(yè)務(wù)的公司運(yùn)營(yíng)的保險(xiǎn)箱中，而不是存放在一個(gè)地方。倘若在分散的保險(xiǎn)箱周圍沒(méi)有額外部署其他安全資源，銀行如何才能確保其資金安全？這便類似于云防火墻的功能。

云就像一個(gè)擁有分散資源的銀行，但云不是用來(lái)存儲(chǔ)金錢，而是用來(lái)存儲(chǔ)數(shù)據(jù)和計(jì)算能力。授權(quán)用戶幾乎可以在任何位置、通過(guò)任何網(wǎng)絡(luò)連接到云。在云中運(yùn)行的應(yīng)用程序可以在任何位置運(yùn)行，也適用于云平臺(tái)和基礎(chǔ)設(shè)施。

云防火墻可以阻止針對(duì)這些云資產(chǎn)的網(wǎng)絡(luò)攻擊。部署云防火墻就像將銀行的本地安全攝像頭和實(shí)際的安全保衛(wèi)人員替換為全球全天候安全中心一樣，該中心擁有一個(gè)集中式數(shù)據(jù)源，收集來(lái)自銀行資產(chǎn)所有存放位置的人員和安全攝像頭信息。

使用云防火墻/FWaaS 有哪些優(yōu)勢(shì)？

-阻止惡意 Web 流量，包括惡意軟件和惡意機(jī)器人活動(dòng)。一些 FWaaS 產(chǎn)品還可以阻止敏感數(shù)據(jù)的流出。

-流量不必通過(guò)一個(gè)硬件設(shè)備，因此不會(huì)產(chǎn)生網(wǎng)絡(luò)阻塞點(diǎn)。

-云防火墻可以輕松與云基礎(chǔ)設(shè)施集成。

-可以同時(shí)保護(hù)多個(gè)云部署（只要云防火墻供應(yīng)商支持每個(gè)云）。

-云防火墻可迅速擴(kuò)大規(guī)模，以處理更多的流量。

-企業(yè)及組織不需要自己維護(hù)云防火墻，供應(yīng)商會(huì)處理所有的更新。

云防火墻和下一代防火墻（NGFW）有什么區(qū)別？

下一代防火墻 （NGFW） 包含了早期防火墻產(chǎn)品所未能提供的新技術(shù)，例如：

-入侵防護(hù)系統(tǒng) （IPS）：入侵防護(hù)系統(tǒng)檢測(cè)并阻止網(wǎng)絡(luò)攻擊。

-深度數(shù)據(jù)包檢查 （DPI）：NGFW 檢查數(shù)據(jù)包標(biāo)頭和有效負(fù)載，而不僅僅是標(biāo)頭。這有助于檢測(cè)惡意軟件和其他類型的惡意數(shù)據(jù)。

-應(yīng)用程序控制：NGFW 可以控制單個(gè)應(yīng)用程序的訪問(wèn)權(quán)限或完全阻止應(yīng)用程序。

NGFW 可以在云中運(yùn)行，也可以作為內(nèi)部部署的硬件?；谠频姆阑饓赡芫哂?NGFW 功能，但內(nèi)部部署的防火墻也可能是 NGFW - 了解有關(guān) NGFW 與 FWaaS 的更多信息。

FWaaS 如何融入 SASE 架構(gòu)？

安全訪問(wèn)服務(wù)邊緣（ SASE ）是基于云的網(wǎng)絡(luò)體系結(jié)構(gòu)，將網(wǎng)絡(luò)功能（如軟件定義的 WAN ）與一組安全服務(wù)（包括 FWaaS）結(jié)合在一起。與傳統(tǒng)的網(wǎng)絡(luò)模型不同，傳統(tǒng)的網(wǎng)絡(luò)模型必須使用本地防火墻來(lái)保護(hù)本地?cái)?shù)據(jù)中心的外圍區(qū)域，而 SASE 在網(wǎng)絡(luò)邊緣提供了全面的安全性和訪問(wèn)控制。

在 SASE 網(wǎng)絡(luò)模型中，基于云的防火墻與其他安全產(chǎn)品協(xié)同工作，以保護(hù)網(wǎng)絡(luò)外圍免受攻擊，數(shù)據(jù)泄露和其他網(wǎng)絡(luò)威脅。公司可以使用單個(gè)供應(yīng)商，通過(guò) SD-WAN 功能將 FWaaS、云訪問(wèn)安全代理 （CASB） 服務(wù)、安全 Web 網(wǎng)關(guān) （SWG）和零信任網(wǎng)絡(luò)訪問(wèn) （ZTNA） 捆綁在一起，而無(wú)需使用多個(gè)第三方供應(yīng)商來(lái)部署和維護(hù)每項(xiàng)服務(wù)。

Cloudflare Magic Firewall 旨在通過(guò) Cloudflare 全球網(wǎng)絡(luò)保護(hù)企業(yè)本地部署和云端部署的基礎(chǔ)設(shè)施。Magic Firewall 隨附在 Cloudflare One SASE 平臺(tái)中。

希望保護(hù)其Web應(yīng)用的企業(yè)也可以使用Cloudflare WAF 。