什麼是安全 Web 閘道 (SWG)?

安全 Web 閘道 (SWG) 可封鎖或篩選掉危險內容並防止資料洩露。所有員工的網際網路流量都通過 SWG。

學習目標

閱讀本文後,您將能夠:

  • 瞭解什麼是安全 Web 閘道
  • 瞭解安全 Web 閘道的運作方式
  • 瞭解應用程式控制、URL 篩選和其他重要的 SWG 功能

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是安全 Web 閘道 (SWG)?

安全 Web 閘道

安全 Web 閘道 (SWG) 是一種網路安全產品,可保護公司資料並實施安全性原則。SWG 在公司員工和網際網路之間運作。就像濾水器可去除水中危險雜質並產生安全飲用水一樣,SWG 也會篩選掉 Web 流量中不安全的內容,從而阻止網路威脅資料外洩。它們還會封鎖有風險或未經授權的使用者行為。

所有 SWG 產品都包含以下技術:

  • URL 篩選
  • 反惡意軟體偵測和封鎖
  • 應用程式控制

SWG 還可能包括資料丟失預防 (DLP)、內容篩選和其他網際網路流量篩選器

為什麼要使用安全 Web 閘道?

過去,商務流程主要發生在內部公司網路中。但是,隨著對遠端員工雲端運算的日益依賴,組織不得不使用網際網路來代替其內部私人網路。從網路釣魚攻擊到受惡意軟體感染的網頁,網際網路上存在的威脅種類繁多,數量眾多,這使得 SWG 對許多組織至關重要。

安全 Web 閘道如何運作?

部分 SWG 在代理伺服器上執行。代理伺服器代表網際網路上的另一台裝置。它代表用戶端裝置(例如使用者的筆記型電腦)或另一台伺服器發出請求並接收回應。對於安全 Web 閘道,此代理伺服器可以是實際的實體伺服器,也可以是雲端的虛擬機器

其他 SWG 僅是軟體;基於軟體的閘道既可以在公司內部執行,也可以作為 SaaS 應用程式在雲端執行。最後,一些 SWG 部署為內部部署裝置,即接入公司 IT 基礎結構的實際硬體裝置。

無論它們在哪裡執行或如何部署,所有 SWG 的運作方式大致相同。當用戶端裝置向網際網路上的網站或應用程式傳送要求時,該要求會先經過 SWG。閘道會檢查請求,只有在不違反既定安全性原則的情況下才會傳遞請求。這就像保安在實際安全檢查點檢查人員的隨身物品,然後再允許他們通過一樣。同時還會發生相反的類似流程:SWG 檢查所有傳入資料,再傳遞給使用者。

由於 SWG 可以在任何地方執行,因此它們對於管理遠端員工特別有用。透過要求雲端工作人員經由安全 Web 閘道存取網際網路,依賴分散式員工的公司可以更好地防止資料外洩,即使他們不能直接控制其員工的裝置或網路。

安全 Web 閘道如何實施安全性原則?

安全性原則是公司內所有資料和網路流量必須遵守的規則。例如,假設一家公司設定了一個原則,規定所有網路流量都必須加密。實施強此原則後,將封鎖不使用 HTTPS 的網站。安全 Web 閘道是實作此原則的一種方法,因為它可以篩選掉所有非 HTTPS 網路流量。

SWG 可以對它們檢查和轉寄的 Web 流量執行許多動作,以實施安全性原則:

URL 篩選

URL 是瀏覽器載入網頁時顯示在頂部的文字字串:例如,https://www.cloudflare.com/learning/。因此,URL 篩選可以控制使用者能夠載入哪些網站。

URL 篩選通常涉及使用封鎖清單,即不允許的已知不良網站清單。如果使用者嘗試載入封鎖清單中的網站,SWG 會封鎖請求,且不會在使用者的裝置上載入該網站。

反惡意軟體掃描

SWG 掃描網路流量以查找惡意軟體,這意味著它們會檢查通過的資料,並查看它是否與來自已知惡意軟體的程式碼匹配。一些閘道還使用沙箱來測試惡意軟體:它們在受控環境中執行潛在的惡意程式碼以查看其行為方式。如果偵測到惡意軟體,閘道會封鎖它。

網際網路上的許多網路流量都使用 HTTPS 進行加密*。許多 SWG 可以解密 HTTPS 流量,以便掃描流量中是否存在惡意軟體。檢查后,閘道會重新加密流量並將其轉寄給使用者或網頁伺服器。此過程稱為 HTTPS 檢查

*加密是更改資料以使其看起來是隨機字串的過程。加密的資料在解密之前無法讀取。解密與加密過程相反。

應用程式控制

SWG 可以偵測員工正在使用哪些應用程式。基於此,它們能夠控制不同應用程式可存取的資源,或者完全封鎖某些應用程式。一些 SWG 對應用程式使用方式提供更大程度的控制:例如,它們可以根據使用者的身分或位置控制應用程式的使用。

其他 SWG 功能包括:

  • 內容篩選:此功能會偵測某些類型的內容並封鎖該內容。例如,內容篩選可以封鎖露骨的影片或相片進入公司網路。公司 IT 管理員通常可以自訂其安全 Web 閘道的內容篩選原則。
  • 資料丟失預防 (DLP):並非所有 Web 安全閘道都提供此功能,但它可以非常有效地防止洩露。DLP 在某種程度上與內容篩選相反:它不是阻止內容進入網路,而是阻止內容離開網路。DLP 偵測機密資料何時從公司控制的環境中流出,並編輯或封鎖資料以防止其洩露。例如,可以將 DLP 設定為偵測和編輯員工電子郵件中傳送的所有 16 位數字,以阻止機密信用卡號離開網路。

安全 Web 閘道如何融入 SASE 模型?

SASE(安全存取服務邊緣)將網路功能與各種安全功能(如 SWG)捆綁在一起,並從單個全球網路提供它們。

與許多安全性產品一樣,SWG 是一種單一解決方案產品,通常與其他網路和網路安全功能分開管理。但是,使用 SASE 框架,公司可以從單個基於雲端的廠商實作和維護其網路與網路安全。

Cloudflare Gateway 如何保持 Web 流量安全?

Cloudflare Gateway 為網際網路上的內部團隊提供全面的安全性,保護員工和內部公司資料。Cloudflare Gateway 使用 DNS 篩選來封鎖惡意內容,使管理員能夠完全瞭解網路流量,並使用瀏覽器隔離保護使用者免受惡意線上程式碼的侵害。

探索 Cloudflare Gateway 的功能。