什么是云防火墙?云防火墙是一种安全产品,与传统防火墙一样,可以过滤掉潜在的恶意网络流量。与传统防火墙不同,云防火墙托管在云中。这种用于防火墙的云交付模型也称为防火墙即服务 (FWaaS)。基于云的防火墙在云平台、基础设施和应用程序周围形成虚拟屏障,就像传统防火墙在组织内部网络周围形成屏障一样。云防火墙还可以保护本地基础设施。
防火墙的定义
防火墙是一种过滤恶意流量的安全产品。传统上,防火墙在受信任的内部网络和不受信任的网络之间运行——例如,在专用网络和 Internet 之间。早期的防火墙是连接到组织内部部署基础设施的物理设备。防火墙根据一组内部规则阻止和允许网络流量。大多数防火墙允许管理员自定义这些规则。
受信任网络和 Internet 之间的边界称为“网络边界”。然而,随着云计算的日益普及,网络边界几乎消失了。因此,在受信任的云资产和不受信任的互联网流量之间形成虚拟屏障的云防火墙变得越来越重要。
防火墙即服务 (FWaaS) 与云防火墙不同吗?
防火墙即服务,简称 FWaaS,是云防火墙的另一个术语。与其他“即服务”类别,如软件即服务 (SaaS)或基础设施即服务 (IaaS) 一样,FWaaS 在云中运行并通过 Internet 访问,第三- 方供应商更新并维护它。
为什么要使用 FWaaS?
银行有很多物理安全措施。大多数实体银行将包括安全功能,如安全摄像头和防弹玻璃。保安和银行员工也帮助阻止潜在的小偷,现金存放在高度安全的保险箱中。
但是想象一下,如果每个银行分行的现金不是存放在一个地方,而是存放在全国不同的保险箱中,这些保险箱由专门从事安全维护的公司运营。如果不在分散的保险箱周围部署额外的安全资源,银行如何确保其资金安全?这类似于云防火墙的作用。
云就像一个资源分散的银行,但不是钱,而是云存储数据和计算能力。授权用户可以从任何地方和几乎任何网络连接到云。在云中运行的应用程序可以在任何地方运行,这也适用于云平台和基础设施。
云防火墙可阻止针对这些云资产的网络攻击。部署云防火墙就像用全球 24/7 安全中心替换银行的本地安全摄像头和物理保安,该中心拥有集中的员工和来自银行资产所有存储位置的安全摄像头。
使用云防火墙/FWaaS 的主要好处是什么?
- 恶意网络流量被阻止,包括恶意软件和不良机器人活动。一些 FWaaS 产品还可以阻止敏感数据流出。
- 流量不必通过硬件设备汇集,因此不会创建网络阻塞点。
- 云防火墙可轻松与云基础架构集成。
- 可以同时保护多个云部署(只要云防火墙供应商支持每个云)。
- 云防火墙可快速扩展以处理更多流量。
- 组织不需要自己维护云防火墙;供应商处理所有更新。
云防火墙和下一代防火墙 (NGFW) 有什么区别?
一个下一代防火墙(NGFW)是一个防火墙,包括没有在早期的防火墙产品提供新技术,如:
- 入侵防御系统 (IPS):入侵防御系统检测并阻止网络攻击。
- 深度包检测 (DPI): NGFW 检查数据包标头和有效载荷,而不仅仅是标头。这有助于检测恶意软件和其他类型的恶意数据。
- 应用程序控制: NGFW 可以控制单个应用程序可以访问的内容,或完全阻止应用程序。
NGFW 可以在云中运行,也可以作为本地硬件运行。基于云的防火墙可能具有 NGFW 功能,但内部部署的防火墙也可以是 NGFW。了解有关 NGFW 与 FWaaS 的更多信息。
FWaaS 如何融入 SASE 框架?
安全访问服务边缘(SASE)是一种基于云的网络架构,它将网络功能(如软件定义的广域网)与一组安全服务(包括 FWaaS)相结合。与必须使用内部防火墙保护内部部署数据中心周边的传统网络模型不同,SASE 在网络边缘提供全面的安全性和访问控制。
在 SASE 网络模型中,基于云的防火墙与其他安全产品协同工作,以保护网络外围免受攻击、数据泄露和其他网络威胁。与其使用多个第三方供应商来部署和维护每项服务,公司可以使用单个供应商将 FWaaS、云访问安全代理 (CASB)服务、安全 Web 网关 (SWG)和零信任网络访问 (ZTNA)与SD-WAN 功能。