什么是云防火墙?| 防火墙即服务

尽管没有明确定义的网络外围,云防火墙仍可保护云基础设施。了解它们如何工作及其与 NGFW 的区别。

Share facebook icon linkedin icon twitter icon email icon

云防火墙

学习目标

阅读本文后,您将能够:

  • 了解什么是云防火墙
  • 探索云计算如何改变网络外围
  • 了解云防火墙和传统防火墙的区别
  • 区分下一代防火墙与云防火墙
  • 了解“防火墙即服务”的含义

什么是云防火墙?

银行有很多物理安全措施。大多数实体银行都会提供安保功能,例如安全摄像机和防弹玻璃。安全保卫人员和银行员工也会帮助阻止疑似的小偷,现金则存放在高度安全的保险箱中。

但是,试想一下,如果每个银行分支机构的现金都存放在全国各地由专门从事安全维护业务的公司运营的保险箱中,而不是存放在一个地方。倘若在分散的保险箱周围没有额外部署其他安全资源,银行如何才能确保其资金安全?这就是云防火墙的工作。

Cloud Firewall

就像一个拥有分散资源的银行,但云不是用来存储金钱,而是用来存储数据和计算能力。授权用户几可以在任何位置、通过任何网络连接到云。在云中运行的应用程序可以在任何位置运行,也适用于云平台和基础设施。

云防火墙可以阻止针对这些云资产的网络攻击。顾名思义,云防火墙是托管在云中的防火墙。就像传统防火墙会形成围绕企业内部网络的屏障一样,基于云的防火墙将形成围绕云平台、基础设施和应用程序的虚拟屏障。部署云防火墙就像将银行的本地安全摄像机和实际的安全保卫人员替换为全球全天候安全中心一样,该中心拥有一个集中式数据源,收集来自银行资产所有存放位置的人员和安全摄像机信息。

什么是防火墙?

防火墙是一种可过滤掉恶意流量的安全产品。从传统上来讲,防火墙在受信任的内部网络和不受信任的网络之间运行,例如,在专用网络和 Internet 之间。早期的防火墙是连接到企业本地基础设施的物理设备。防火墙根据一组内部规则阻止和允许网络流量。某些防火墙允许管理员自定义这些规则。

traditional firewall

但是,随着云计算的日益普及,受信任的网络与更大型的 Internet 之间的划分已经不复存在;因此,需要云防火墙在受信任的云资产和不受信任的 Internet 流量之间形成一个虚拟屏障。

防火墙即服务 (FWaaS) 的含义是什么?

防火墙即服务,或简称 FWaaS,是有关云防火墙的另一个术语。就像软件即服务或平台即服务之类的其他“即服务”类别的产品一样,FWaaS 在云中运行并可以通过 Internet 进行访问,第三方供应商将其作为服务提供,并负责相关的更新和维护事项。

云防火墙与下一代防火墙 (NGFW) 有什么区别?

下一代防火墙 (NGFW) 是一种包含早期防火墙产品所不具有的新技术的防火墙,例如:

  • 入侵防护系统 (IPS):入侵防护系统可以检测并阻止网络攻击。
  • 深度包检测 (DPI):NGFW 检测数据包标头和有效负载,而不是仅仅检测标头。这有助于检测恶意软件和其他类型的恶意数据。
  • 应用程序控制:NGFW 可以控制允许访问哪些单个应用程序或完全阻止应用程序。

NGFW 还可能具有其他高级功能。

“下一代防火墙”是一个广泛应用的术语,但是 NGFW 不一定在云中运行。基于云的防火墙可能具有 NGFW 功能,而本地防火墙也可能是 NGFW。

什么是网络外围?云技术如何影响网络外围?

网络外围是指企业管理的内部网络与外部供应商(通常是 Internet 服务提供商 (ISP))提供的网络访问之间的界限。换句话说,网络外围是指企业控制范围的边缘。网络也可以通过实体方式锁定:公司的员工可能必须在办公室里,并使用由公司管理的设备连接到公司网络。防火墙最初旨在控制这种类型的网络外围,并且阻止任何恶意软件侵入。

在云计算中,网络外围基本上消失了。用户可以通过不受控制的 Internet 访问服务。用户的实际位置,有时候甚至是他们使用的设备,都不再重要。由于几乎不可能确定安全保护层应设在哪里,因此很难在公司资源周围设置一个安全保护层。一些公司采用的方法是将多种不同的安全产品组合起来,包括传统的防火墙、VPN、访问控制和 IPS 产品,但这给 IT 部门增加了很多复杂性,且难以管理。

Cloudflare Web Application Firewall 有什么作用?

Cloudflare Web Application Firewall (WAF) 保护云属性免遭漏洞攻击,帮助阻止 DDoS 攻击,并允许 IT 管理员编写自己的自定义防火墙规则。公司可以在任何类型的云部署前部署 Cloudflare WAF – 混合云多云、公共云等。