其實(shí)一直以來(lái)，基于代理的防火墻或Web代理都被認(rèn)為是一種非常重要的安全組件。但問(wèn)題就在于，這種類(lèi)型的代理針對(duì)可以幫助用戶保證他們的安全嗎?

[[319821]]

那么在這篇文章中，我們將對(duì)基于代理的防火墻進(jìn)行討論，討論內(nèi)容將涉及到相關(guān)的短板和技術(shù)壁壘，并給出新一代的安全解決方案。

第一代基于代理的防火墻實(shí)現(xiàn)了控制用戶可以訪問(wèn)哪些網(wǎng)站的基本任務(wù)。從那個(gè)時(shí)候開(kāi)始，這項(xiàng)技術(shù)一直都在經(jīng)歷著不斷地發(fā)展和演變，并且還增添了類(lèi)似惡意軟件檢測(cè)和攔截、在線數(shù)據(jù)丟失防御(DLP)、SSL/TLS流量檢查和帶寬控制等強(qiáng)大且實(shí)用的功能。

但現(xiàn)實(shí)就在于，Web代理存在著明顯的缺陷，而這些明顯的安全缺陷導(dǎo)致基于代理的防火墻或Web代理最終無(wú)法成為有效的安全防護(hù)工具。

接下來(lái)，我們將從以下幾個(gè)方面來(lái)對(duì)基于代理的防火墻或Web代理進(jìn)行探討。

一、實(shí)現(xiàn)

由于基于代理的防火墻其實(shí)現(xiàn)方式以及具體的技術(shù)實(shí)現(xiàn)細(xì)節(jié)，導(dǎo)致了它無(wú)法成功地保護(hù)目標(biāo)設(shè)備中所有的網(wǎng)絡(luò)流量。在云端部署一個(gè)基于代理的防火墻時(shí)，最常用的技術(shù)就是使用代理自動(dòng)配置(PAC)文件或在用戶的操作系統(tǒng)和瀏覽器設(shè)置中顯式地指定代理服務(wù)器地址。

PAC文件可以使用JavaScript函數(shù)來(lái)確定通過(guò)顯式指定的代理服務(wù)器或直接向Internet所發(fā)送流量的位置。在這里，顯式代理部署主要通過(guò)代理服務(wù)器發(fā)送所有瀏覽器流量。

這兩種部署方式的主要問(wèn)題就在于：

1、并非所有的應(yīng)用程序都是代理可識(shí)別的，有些應(yīng)用程序會(huì)忽略代理服務(wù)器的相關(guān)系統(tǒng)配置，并且總是會(huì)繞過(guò)代理然后直接發(fā)送它們的網(wǎng)絡(luò)流量。

2、有些聰明的用戶會(huì)選擇使用VPN、服務(wù)器端瀏覽器(如Puffin瀏覽器)、匿名和加密瀏覽器(如Tor瀏覽器)或其他方法輕松繞過(guò)代理服務(wù)器。

二、效率

從設(shè)計(jì)之初，基于代理的防火墻壓根就不是用來(lái)面對(duì)和處理現(xiàn)代安全威脅的，因?yàn)樗鼈冎荒軝z查有限的協(xié)議，如HTTP、HTTPS、FTP和DNS。這意味著，僅僅使用Web代理的話，將有可能導(dǎo)致通信流量中出現(xiàn)明顯的掃描檢測(cè)盲點(diǎn)，并且無(wú)法識(shí)別非標(biāo)準(zhǔn)端口上的或跨多個(gè)協(xié)議的應(yīng)用程序和安全威脅。除此之外，有些應(yīng)用程序根本就不兼容代理，所以肯定會(huì)被繞過(guò)。

一種新的方法-安全訪問(wèn)服務(wù)邊緣(SASE)

Secure access service edge (SASE)，即安全訪問(wèn)服務(wù)邊緣模型，它可以給用戶提供對(duì)Internet、SaaS應(yīng)用程序和私有托管應(yīng)用程序的完全零信任訪問(wèn)，而這種模型方案正逐漸成為解決傳統(tǒng)Web代理技術(shù)短板的一種全新的解決方案。一個(gè)真正的SASE解決方案結(jié)合了從云端提供的網(wǎng)絡(luò)服務(wù)和安全服務(wù)，這種方案將涵蓋多種技術(shù)，例如云訪問(wèn)安全代理(CASB)、零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)、防火墻即服務(wù)(FWaaS)和高級(jí)威脅預(yù)防等等。

SASE產(chǎn)品在云環(huán)境中運(yùn)行，允許我們對(duì)用戶流量進(jìn)行更多的控制，而且可見(jiàn)性更加高，以便開(kāi)發(fā)人員對(duì)其進(jìn)行動(dòng)態(tài)擴(kuò)展。因此，SASE允許在單一節(jié)點(diǎn)和分支中使用多種技術(shù)，如IPSec或SSL VPN，從而允許我們對(duì)所有流量進(jìn)行從始至終的安全強(qiáng)制管理。接下來(lái)，操作策略就變成了業(yè)務(wù)決策，而不是由于技術(shù)限制所被迫做出的妥協(xié)。

選擇一個(gè)基于云的安全合作伙伴并不是一個(gè)隨便拍拍腦袋就可以做的決定，在購(gòu)買(mǎi)服務(wù)之前我們應(yīng)該仔細(xì)考慮任何可能的技術(shù)、方法、規(guī)模和有效性。因此，我們應(yīng)該選擇的是那些能夠?yàn)榻M織中所有流量、所有用戶和所有應(yīng)用程序提供必要安全性和網(wǎng)絡(luò)服務(wù)的解決方案。