什么是云防火墙?| 防火墙即服务

尽管没有明确定义的网络外围,云防火墙仍可保护云基础设施。 了解它们如何工作及其与 NGFW 的区别。

Share facebook icon linkedin icon twitter icon email icon

云防火墙

学习目标

阅读本文后,您将能够:

  • 了解什么是云防火墙
  • 探索云计算如何改变网络外围
  • 了解云防火墙和传统防火墙的区别
  • 区分下一代防火墙与云防火墙
  • 了解“防火墙即服务”的含义

什么是云防火墙?

银行有很多物理安全措施。大多数实体银行将包括安全功能,例如安全摄像机和防弹玻璃。保安人员和银行员工还帮助阻止潜在的小偷,现金则存储在高度安全的保险箱中。

但是,想象一下,每个银行分支机构的现金都存放在全国各地由一家专门从事安全维护的公司所运营的保险箱中,而不是集中放在一个地方。那银行如何才能确保自己的资金安全,而又不必在分散的保险箱周围都部署额外的安全资源?这就是云防火墙所擅长的。

Cloud Firewall

就像一个拥有分散资源的银行,但是云不是存储金钱,而是存储数据和计算能力。授权用户可以从几乎任何网络上的任何地方连接到云。在云中运行的应用程序可以在任何地方运行,并且也适用于云平台和基础设施。

云防火墙阻止针对这些云资产的网络攻击。顾名思义,云防火墙是托管在云中的防火墙。基于云的防火墙形成围绕云平台、基础设施和应用程序的虚拟屏障,就像传统防火墙形成围绕组织内部网络的屏障一样。部署云防火墙就像用全球的全天候安全中心替换银行的本地安全摄像机和安全警卫一样,该中心拥有集中的人员和来自存放银行资产的各个地点的监控视频。

什么是防火墙?

防火墙是一种安全产品,可过滤掉恶意流量。传统上,防火墙运行在受信任的内部网络和不受信任的网络之间,例如,在专用网络和互联网之间。早期的防火墙是连接到组织的本地基础设施的物理设备。防火墙根据一组内部规则阻止并允许网络流量。某些防火墙允许管理员自定义这些规则。

traditional firewall

然而,随着云计算的日益普及,可信网络与大型互联网之间的划分已经不复存在。因此,需要在可信任的云资产和不可信任的互联网流量之间形成虚拟屏障的云防火墙。

防火墙即服务(FWaaS)是什么意思?

防火墙即服务,简称FWaaS,是云防火墙的另一个术语。与其他"即服务"类别(例如软件即服务或平台即服务)一样,FWaaS在云中运行并可以通过互联网进行访问,而第三方供应商将其作为可以更新和维护的服务

云防火墙和下一代防火墙(NGFW)有什么区别?

下一代防火墙(NGFW)包含了早期防火墙产品所未能提供的新技术,例如:

  • 入侵防护系统(IPS):入侵防护系统检测并阻止网络攻击。
  • 深度数据包检查(DPI):NGFW 检查数据包标头和有效负载,而不仅仅是标头。这有助于检测恶意软件和其他种类的恶意数据。
  • 应用程序控制:NGFW可以控制单个应用程序的访问权限或完全阻止应用程序。

NGFW还具有其他高级功能。

"下一代防火墙"是一个广泛应用的术语,但是NGFW不一定在云中运行。基于云的防火墙可能具有NGFW功能,但是本地防火墙也可以是NGFW。

什么是网络边界?云计算如何影响网络边界?

网络边界是组织管理的内部网络与外部供应商(通常是互联网服务提供商(ISP))提供的网络访问之间的划分。换句话说,网络边界是组织控制的边缘。网络也可以从物理上来界定:公司的员工可能必须在办公室里,并使用公司管理的设备连接到公司网络。防火墙最初被设计为控制这种类型的网络边界,并且不会让任何恶意软件通过。

在云计算中,网络边界实际上消失了。用户通过不受控制的互联网访问服务。用户的实际位置,有时甚至是他们使用的设备,都不再重要。很难在公司资源周围放置一层安全保护,因为几乎不可能确定安全保护层应该去到哪里。一些公司诉诸于结合多种不同的安全产品,包括传统的防火墙、VPN、访问控制和IPS产品,但这给IT部门增加了很多复杂性,并且难以管理。

Cloudflare Web应用程序防火墙能做些什么?

Cloudflare Web应用程序防火墙(WAF)保护云端资产不因漏洞而被侵犯,帮助阻止 DDoS攻击 ,并允许IT管理员编写自己的自定义防火墙规则。企业可以在任何类型的云部署之上部署CloudFlare WAF,不论是混合云多重云还是公共云等等。