自從Internet 誕生之初，Web代理已成為安全堆棧的重要組成部分。一方面，代理提供了更多的性能優(yōu)勢(shì)和更可靠的安全性，并針對(duì)所有類型流量進(jìn)行風(fēng)險(xiǎn)分析，另一方面，代理提供的分析要比獨(dú)立防火墻提供的更加具體深刻。Web代理的優(yōu)點(diǎn)是能夠完全打開和檢查流量，而且在做這些操作的時(shí)候，對(duì)用戶的影響為零。

[[319776]]

代理與防火墻有何不同?

讓我們用一個(gè)簡(jiǎn)單的類比來(lái)說(shuō)明防火墻和代理之間的區(qū)別。假設(shè)您的公司收到一個(gè)包裹。郵遞員首先會(huì)讀取標(biāo)簽，然后再進(jìn)一步尋找更多相關(guān)信息。因此，郵遞員可以將包裹放入X射線機(jī)檢查其內(nèi)容。一般來(lái)說(shuō)，使用X射線機(jī)檢查就夠了，但并非100%可靠。要真正找出包裝內(nèi)的物品，必須有人打開包裝并檢查其中的物品。從這個(gè)意義上講，防火墻類似于X射線機(jī)。它可以工作到一定程度，但是有局限性。我們可以繼續(xù)類比，網(wǎng)絡(luò)代理類似于實(shí)際打開包裹的店員。代理可以詳細(xì)查看流量數(shù)據(jù)包的內(nèi)容，包括有效負(fù)載。當(dāng)然，代理是以比人類更快的速度打開包裹，檢查內(nèi)容并重新包裝流量數(shù)據(jù)包。一些防火墻解決方案提供商試圖用顯式的代理和PAC文件配置來(lái)混淆代理體系結(jié)構(gòu)的基本原理。然而真實(shí)的代理提供了多種方法來(lái)將流量驅(qū)動(dòng)到代理安全服務(wù)，這些方法超越了傳統(tǒng)的路由，它還提供了一個(gè)更深入、更可擴(kuò)展的解決方案來(lái)保護(hù)和引導(dǎo)流量。實(shí)際上，整個(gè)互聯(lián)網(wǎng)都是建立在代理技術(shù)之上的，像Netflix這樣的流媒體公司使用CDN技術(shù)時(shí)，地理位置分散的服務(wù)器組開始協(xié)同工作，向Netflix客戶快速交付互聯(lián)網(wǎng)內(nèi)容。使用應(yīng)用交付控制器(ADC)的企業(yè)，該交付控制器位于防火墻和應(yīng)用程序服務(wù)器之間的數(shù)據(jù)中心，以提高應(yīng)用程序性能并在服務(wù)器之間執(zhí)行負(fù)載平衡。安全的Web網(wǎng)關(guān)(SWG)，它可以提供大規(guī)模的保護(hù)并監(jiān)視用戶對(duì)互聯(lián)網(wǎng)的訪問。防火墻技術(shù)有其局限性

代理流量涵蓋HTTP，HTTPS和FTP，它們構(gòu)成了絕大多數(shù)的互聯(lián)網(wǎng)流量。當(dāng)今的下一代防火墻通常具有多個(gè)內(nèi)置的安全服務(wù)(包括數(shù)據(jù)丟失防護(hù))，旨在防止威脅進(jìn)入您的組織以及防止敏感數(shù)據(jù)泄露。但即使是下一代防火墻，也缺乏檢查所有HTTPS(加密)流量的處理能力。這已經(jīng)成為我們面臨的一個(gè)主要問題，如何保護(hù)無(wú)法檢查的內(nèi)容?

Web代理和SASE

Web代理的構(gòu)建是為了大規(guī)模地檢查加密的流量，并可靠地應(yīng)用所有安全和風(fēng)險(xiǎn)控制。代理將流量導(dǎo)向到代理安全服務(wù)中，使企業(yè)可以使用其他方法將流量定向到Internet。因此，它們提供了一個(gè)高度可擴(kuò)展、高度安全的解決方案，用于在不會(huì)影響性能的情況下保護(hù)和引導(dǎo)流量。

基于安全訪問服務(wù)邊緣(SASE)模型的SWG可以提供這些功能。特別是，作為服務(wù)交付的多租戶SASE解決方案，既具有成本效益，又具有可擴(kuò)展性，無(wú)需擔(dān)心隨著需求的變化而更新或擴(kuò)展基礎(chǔ)架構(gòu)。Gartner認(rèn)為SWG不僅是SASE的重要組成部分，而且它是構(gòu)建SASE平臺(tái)的基礎(chǔ)技術(shù)架構(gòu)。