什么是云防火墙? 什么是防火墙即服务(FWaaS)?
云防火墙可以保护云基础设施免受攻击,就像传统防火墙保护内部网络一样。
学习目标
阅读本文后,您将能够:
- 了解什么是云防火墙
- 了解“防火墙即服务”的含义
- 探索云计算如何改变网络外围
复制文章链接
就像传统防火墙会形成围绕企业内部网络的屏障一样,基于云的防火墙将形成围绕云平台、基础设施和应用程序的虚拟屏障。云防火墙也可以保护内部基础设施。
防火墙的定义
防火墙是一种可过滤掉恶意流量的安全产品。从传统上来讲,防火墙在受信任的内部网络和不受信任的网络之间运行,例如,在专用网络和互联网之间。早期的防火墙是连接到企业本地基础设施的物理设备。防火墙根据一组内部规则阻止和允许网络流量。大部分防火墙允许管理员自定义这些规则。
可信网络和互联网之间的边界称为“网络边界”。然而,随着云计算的日益普及,网络边界大多已不复存在。因此,在受信任的云资产和不受信任的互联网流量之间形成虚拟屏障的云防火墙变得越来越重要。
防火墙即服务 (FWaaS) 与云防火墙是否不同?
防火墙即服务,简称 FWaaS,是云防火墙的另一个术语。与其他“即服务”类别(例如软件即服务 (SaaS) 或基础架构即服务 (IaaS))一样,FWaaS 在云中运行并通过互联网访问,由一个第三方供应商对其进行更新和维护。
为什么使用 FWaaS?
银行有很多物理安全措施。大多数实体银行将包括安全功能,例如安全摄像机和防弹玻璃。保安人员和银行员工还帮助阻止潜在的小偷,现金则存储在高度安全的保险箱中。
但是,试想一下,如果每个银行分支机构的现金都存放在全国各地由专门从事安全维护业务的公司运营的保险箱中,而不是存放在一个地方。倘若在分散的保险箱周围没有额外部署其他安全资源,银行如何才能确保其资金安全?这类似于云防火墙的功能。
云就像一个拥有分散资源的银行,但云不是用来存储金钱,而是用来存储数据和计算能力。授权用户几乎可以在任何位置、通过任何网络连接到云。在云中运行的应用程序可以在任何位置运行,也适用于云平台和基础设施。
云防火墙可以阻止针对这些云资产的网络攻击。部署云防火墙就像将银行的本地安全摄像机和实际的安全保卫人员替换为全球全天候安全中心一样,该中心拥有一个集中式数据源,收集来自银行资产所有存放位置的人员和安全摄像机信息。
使用云防火墙/FWaaS 有哪些主要好处?
- 阻止恶意 Web 流量,包括恶意软件和恶意机器人活动。一些 FWaaS 产品还可以阻止敏感数据的流出。
- 流量不必通过一个硬件设备,因此不会产生网络阻塞点。
- 云防火墙可以轻松与云基础设施集成。
- 可以同时保护多个云部署(只要云防火墙供应商支持每个云)。
- 云防火墙可迅速扩大规模,以处理更多的流量。
- 组织不需要自己维护云防火墙,供应商会处理所有的更新。
云防火墙和下一代防火墙(NGFW)有什么区别?
下一代防火墙 (NGFW) 包含了早期防火墙产品所未能提供的新技术,例如:
- 入侵防护系统 (IPS):入侵防护系统检测并阻止网络攻击。
- 深度数据包检查 (DPI):NGFW 检查数据包标头和有效负载,而不仅仅是标头。这有助于检测恶意软件和其他类型的恶意数据。
- 应用程序控制:NGFW 可以控制单个应用程序的访问权限或完全阻止应用程序。
NGFW 可以在云中运行,也可以作为内部部署的硬件。基于云的防火墙可能具有 NGFW 功能,但内部部署的防火墙也可能是 NGFW。了解有关 NGFW 与 FWaaS 的更多信息。
FWaaS 如何融入 SASE 框架?
安全访问服务边缘( SASE )是基于云的网络体系结构,将网络功能(如软件定义的 WAN )与一组安全服务(包括 FWaaS)结合在一起。与传统的网络模型不同,传统的网络模型必须使用本地防火墙来保护本地数据中心的外围区域,而 SASE 在网络边缘提供了全面的安全性和访问控制。
在 SASE 网络模型中,基于云的防火墙与其他安全产品协同工作,以保护网络外围免受攻击,数据泄露和其他网络威胁。公司可以使用单个供应商,通过 SD-WAN 功能将 FWaaS、云访问安全代理 (CASB) 服务、安全 Web 网关 (SWG) 和零信任网络访问 (ZTNA) 捆绑在一起,而不使用多个第三方供应商来部署和维护每个服务。
Cloudflare Magic Firewall 旨在通过 Cloudflare 全球网络保护企业本地部署和云端部署的基础设施。Magic Firewall 随附在 Cloudflare One SASE 平台中。
希望保护其Web应用的企业也可以使用Cloudflare WAF了解有关Cloudflare Web应用防火墙的更多信息。