什么是安全 Web 网关?

安全 Web 网关可阻止或过滤危险内容,并且防止数据泄漏。如果公司使用安全 Web 网关,则所有员工的 Internet 流量都要通过该网关。

Share facebook icon linkedin icon twitter icon email icon

安全 Web 网关

学习目标

阅读本文后,您将能够:

  • 了解什么是安全 Web 网关
  • 了解安全 Web 网关的工作方式
  • 了解应用程序控制、URL 过滤和其他重要功能

什么是安全 Web 网关?

安全 Web 网关或安全 Internet 网关是一种网络安全产品,可保护公司数据并执行公司安全策略。安全 Web 网关在公司员工和 Internet 之间运行。就像滤水器去除水中危险杂质,使其可以安全饮用,安全 Web 网关从 Web 流量中过滤掉不安全的内容,从而阻止网络威胁和数据泄露。它们还可阻止存在风险或或未经授权的用户行为。

所有安全 Web 网关产品都包含以下技术:

  • URL 过滤
  • 反恶意软件检测和阻止
  • 应用程序控制

安全 Web 网关还可能包括数据丢失防护(DLP)、内容过滤和其他 Internet 流量过滤

安全 Web 网关如何工作?

一些安全 Web 网关在代理服务器上运行。正如有人可以将法律代表派往现场拍卖会代表他们一样,代理服务器也可代表 Internet 上的另一台设备。代理服务器是代表客户端设备(例如,用户的便携式计算机)或另一台服务器发出请求并接收响应的服务器。对于安全 Web 网关,此代理服务器可以是实际的物理服务器,也可以是中的虚拟机

其他安全 Web 网关仅仅是软件;基于软件的网关可以作为 SaaS 应用程序在公司内部运行或在云端运行。最后,一些安全 Web 网关部署为企业内部“设备”:插接到公司 IT 基础设施中的物理硬件设备。

无论安全 Web 网关在哪里运行或如何部署,它们都以大致相同的方式工作。当客户端设备将请求发送到 Internet 上的网站或应用程序时,该请求首先会经过安全 Web 网关。网关会检查请求,并且仅在不违反制定的安全策略的前提下将其传递;这就像保安在物理安全检查点检查人员的随身物品,然后再允许他们通过。相反的方向上也会发生类似的过程:安全 Web 网关会检查所有传入数据,然后再将其传递给用户。

什么是安全策略?

安全策略是公司内所有数据和网络流量必须遵守的规则。举例来说,假设公司制定了一项策略,要求所有网络流量都必须经过加密。实施此策略将涉及阻止不使用 HTTPS 的网站。安全 Web 网关是实施此策略的一种方式,因为它可以过滤掉所有非 HTTPS 网络流量。

安全 Web 网关如何执行安全策略?

安全 Web 网关可以对其检查和转发的 Web 流量执行若干操作,从而执行安全策略:

URL 过滤

URL 是在加载网页时显示在浏览器顶部的文本字符串,如 https://www.cloudflare.com/learning/。因此,URL 过滤是一种控制用户可以加载哪些网站的方法。

URL 过滤通常涉及使用黑名单,即不被允许的已知不良网站的列表。如果用户试图加载黑名单上列出的网站,安全 Web 网关会阻止该请求,并且用户的设备上不会加载这个网站。

反恶意软件扫描

安全 Web 网关扫描网络流量中是否存在恶意软件;也就是说,它们会检查通过的数据,并查看其是否与已知恶意软件中的代码匹配。一些网关还使用沙箱来测试恶意软件:它们在受控环境中执行潜在的恶意代码,以查看其行为。如果检测到恶意软件,网关就会将它阻止。

Internet 上的许多网络流量都是使用HTTPS加密* 的。许多安全 Web 网关可以解密 HTTPS 流量,以便扫描流量中是否存在恶意软件。检查之后,网关会重新加密流量,并将其转发给用户或 Web 服务器。(了解HTTPS 加密如何工作。)

* 加密是指更改数据以使表现为随机化的过程。加密的数据只有在解密后才能读取。解密与加密过程相反。

应用程序控制

安全 Web 网关可以检测员工正在使用哪些应用程序。以此为基础,它们可以控制不同应用程序可以访问的资源,或者完全阻止某些应用程序。一些安全 Web 网关对应用程序使用提供更高程度的控制:例如,它们可以基于用户的身份或位置来控制应用程序的使用

其他安全 Web 网关功能包括:

  • 内容过滤:此功能可检测并阻止某些种类的内容。例如,内容过滤可以防止露骨的视频或照片进入公司网络。公司 IT 管理员通常可以自定义其安全 Web 网关的内容过滤策略。
  • 数据丢失防护(DLP):并非所有 Web 安全网关都提供此功能,但它对于防止数据泄露非常有效。DLP 有点像反向内容过滤:它不是阻止内容进入网络,而是防止内容离开网络。当机密数据从公司控制的环境中离开时,DLP 可以检测到,并通过编辑、阻止或标记化* 数据来防止其泄漏。例如,可以对 DLP 进行设置,以检测并编辑员工电子邮件中发送的所有 16 位数字,从而防止机密的信用卡号离开网络。

*标记化指的是用映射到机密数据的占位符值来替换机密数据,如信用卡号。

这一切在实践中会如何?请看以下示例:

假设爱丽丝在一家使用安全 Web 网关的公司工作,她想看一眼兔子的照片。爱丽丝点击指向兔子照片的超链接,使她的设备生成针对该照片的 HTTP 请求。HTTP 请求到达安全 Web 网关代理服务器,服务器检查请求以确保它不会定向到禁止的 URL,然后将请求转发到适当的 Web 服务器以索取兔子照片。从 Web 服务器收到所请求的照片后,安全 Web 网关会对其进行扫描,然后往回转发给爱丽丝。整个过程应该只需几毫秒。

但是,如果爱丽丝受到诱惑,点击指向不安全网站的链接并且以为这是兔子照片的链接,安全 Web 网关会在 HTTP 请求中识别到不安全 URL 并将其阻止。此外,如果爱丽丝的公司决定实施反兔子策略,安全 Web 网关也可以使用内容过滤功能来阻止这种照片。

Cloudflare 如何保护 Web 流量的安全?

Cloudflare Gateway 为 Internet 上的内部团队提供全面的安全性,同时保护了员工和内部公司数据。Cloudflare Gateway 使用 DNS 过滤来阻止恶意内容,为管理员提供网络流量的完整可见性,并通过浏览器隔离防止用户受到恶意在线代码的侵害。

探索 Cloudflare Gateway 的功能。