什么是安全 Web 网关 (SWG)?

安全 Web 网关 (SWG) 可阻止或过滤危险内容,并且防止数据泄漏。所有员工的互联网流量都要通过 SWG。

学习目标

阅读本文后,您将能够:

  • 了解什么是安全 Web 网关
  • 了解安全 Web 网关的工作方式
  • 了解应用程序控制、URL 过滤和其他重要的 SWG 功能

复制文章链接

什么是安全 Web 网关 (SWG)?

安全 Web 网关 (SWG) 是一种网络安全产品,可保护公司数据并执行安全策略。SWG 在公司员工和互联网之间运行。就像滤水器去除水中危险杂质,使其可以安全饮用一样,SWG 从 Web 流量中过滤掉不安全的内容,从而阻止网络威胁和数据泄露。它们还可阻止存在风险或或未经授权的用户行为。

所有 SWG 产品都包含以下技术:

  • URL 过滤
  • 反恶意软件检测和阻止
  • 应用程序控制

SWG 还可能包括数据丢失防护 (DLP)、内容过滤和其他互联网流量过滤器

为什么要使用安全 Web 网关?

在过去,业务流程主要在企业内部网络中进行。但是,随着对远程员工云计算的依赖增加,企业不得不在内部专用网络之外使用互联网,或是用互联网代替内部专用网络。而互联网上存在的威胁种类和数量(如网络钓鱼攻击恶意软件感染的网页等)使得 SWG 对许多组织来说至关重要。

安全 Web 网关如何工作?

一些 SWG 在代理服务器上运行。代理服务器可代表互联网上的另一台设备,它代表客户端设备(例如,用户的笔记本电脑)或另一台服务器发出请求并接收响应。对于安全 Web 网关,此代理服务器可以是实际的物理服务器,也可以是云中的虚拟机

其他 SWG 仅仅是软件;基于软件的网关可以作为 SaaS 应用程序在公司内部运行或在云端运行。最后,一些 SWG 部署为企业内部设备,即插接到公司 IT 基础设施中的物理硬件设备。

无论 SWG 在哪里运行或如何部署,它们都以大致相同的方式工作。当客户端设备将请求发送到互联网上的网站或应用程序时,该请求首先会经过 SWG。网关会检查请求,并且仅在不违反制定的安全策略的前提下将其传递;这就像保安在物理安全检查点检查人员的随身物品,然后再允许他们通过一样。相反的方向上也会发生类似的过程:SWG 会检查所有传入数据,然后再将其传递给用户。

由于 SWG 可以在任何地方运行,它们对管理远程员工特别有帮助。通过要求远程员工经由安全 Web 网关访问互联网,依赖分布式员工的公司可以更好地防止数据泄露,即使他们不能直接控制其员工的设备或网络。

安全 Web 网关如何执行安全策略?

安全策略是公司内所有数据和网络流量必须遵守的规则。举例来说,假设公司制定了一项策略,要求所有网络流量都必须经过加密。实施此策略将涉及阻止不使用 HTTPS 的网站。安全 Web 网关是实施此策略的一种方式,因为它可以过滤掉所有非 HTTPS 网络流量。

SWG 可以对其检查和转发的 Web 流量执行若干操作,从而执行安全策略:

URL 过滤

URL 是在加载网页时显示在浏览器顶部的文本字符串,如 https://www.cloudflare.com/learning/。因此,URL 过滤是一种控制用户可以加载哪些网站的方法。

URL 过滤通常涉及使用阻止列表,即不被允许的已知不良网站的列表。如果用户试图加载阻止列表上列出的网站,SWG 会阻止该请求,并且用户的设备上不会加载这个网站。

反恶意软件扫描

SWG 会扫描网络流量中是否存在恶意软件;也就是说,它们会检查通过的数据,并查看其是否与已知恶意软件中的代码匹配。一些网关还使用沙箱来测试恶意软件:它们在受控环境中执行潜在的恶意代码,以查看其行为。如果检测到恶意软件,网关就会将它阻止。

互联网上的很多网络流量都使用 HTTPS 进行加密*。许多 SWG 可以解密 HTTPS 流量,以扫描流量中是否存在恶意软件。检查后,网关重新加密流量并将其转发给用户或 Web 服务器。这个过程被称为 HTTPS 检查

* 加密是指更改数据以使表现为随机化的过程。加密的数据只有在解密后才能读取。解密与加密过程相反。

应用程序控制

SWG 可以检测员工正在使用哪些应用程序。基于此,它们可以控制不同应用程序能够访问的资源,或者完全阻止某些应用程序。一些 SWG 对应用程序使用提供更高程度的控制:例如,它们可以基于用户的身份或位置来控制应用程序的使用。

其他 SWG 功能力包括:

  • 内容过滤:此功能可检测并阻止某些种类的内容。例如,内容过滤可以防止露骨的视频或照片进入公司网络。公司 IT 管理员通常可以自定义其安全 Web 网关的内容过滤策略。
  • 数据丢失防护 (DLP):并非所有 Web 安全网关都提供此功能,但它对于防止数据泄露非常有效。DLP 有点像反向内容过滤:它不是阻止内容进入网络,而是防止内容离开网络。当机密数据从公司控制的环境中离开时,DLP 可以检测到,并通过编辑或阻止数据来防止其泄漏。例如,可以对 DLP 进行设置,以检测并编辑员工电子邮件中发送的所有 16 位数字,从而防止机密的信用卡号离开网络。

安全 Web 网关如何融入 SASE 模式?

SASE(安全访问服务边缘)将网络功能与各种安全功能(如 SWG)捆绑在一起,并从单个全球网络中提供。

像许多安全产品一样,SWG 是一种单一解决方案产品,通常与其他网络和网络安全功能分开管理。然而,随着 SASE 框架的建立,公司可以从一个基于云的供应商处实施和维护他们的网络与网络安全。

Cloudflare Gateway 如何保护 Web 流量的安全?

Cloudflare Gateway 为互联网上的内部团队提供全面的安全性,同时保护员工和内部公司数据。Cloudflare Gateway 使用 DNS 过滤来阻止恶意内容,为管理员提供网络流量的完整可见性,并通过浏览器隔离防止用户受到恶意在线代码的侵害。

探索 Cloudflare Gateway 的功能。