📜  什么是云防火墙?

📅  最后修改于: 2022-05-13 01:57:03.343000             🧑  作者: Mango

什么是云防火墙?

防火墙是一种安全产品,其主要函数是过滤未经授权和恶意流量,它们在受信任和不受信任的网络(即私有网络和互联网)之间运行。这些防火墙阻止恶意网络,只允许授权流量绕过它们,这是通过管理员配置的一组规则指定的。

云防火墙:
云防火墙只不过是部署在云中的防火墙,这些云防火墙形成了一个虚拟屏障,为了防止云中的恶意网络流量,它们的函数与传统防火墙相同,但唯一的区别是云防火墙是托管的在云平台上。

云防火墙作为一种安全产品,充当盾牌并保护未经授权的网络流量,并且这种保护提供给不同的云组件,如云 CRM、云数据库、电子邮件云。

云防火墙的需求:
Cloud Firewall 在提供针对恶意和不需要的网络流量的安全性方面非常重要。云是虚拟空间的来源,它存储了大量属于企业的关键数据,因此非常需要安全机制来保护它,并且防火墙已经在本地物理基础设施中取得了成功。
云提供商也为虚拟工作空间配置了强大的防火墙环境。

这些云防火墙的设计方式使其可以阻止针对虚拟云工作空间的网络攻击,并为云组件提供 24/7 的安全性,我们可以假设这些与保护银行和这些虚拟工作空间的安全卫士相同即云服务器可以被视为银行资产。

云防火墙的类型:
云防火墙大致分为两种类型,即:

  1. 下一代防火墙(NGFW)
  2. SaaS防火墙

这些解释如下。

1. 下一代防火墙 (NGFW) –
这些是云防火墙服务,旨在部署在数据中心,旨在保护组织的服务器基础设施即服务平台即服务模型。在这些模型中,部署了云防火墙软件并保护云操作中的网络流量。

2. SaaS防火墙——
这些类型的防火墙的配置方式使其主要工作是保护虚拟空间的网络,与传统防火墙相同,但唯一的区别是托管在云中。这些具有各种其他名称和类型,例如:

  1. 安全即服务 –
    这是一种用于 IT 行业的商业模式,其中提供安全服务的责任由服务提供商完成,即客户根据其要求按月或按年订阅的任何第三方咨询公司。
  2. SECaas——
    它为用户提供 Internet 安全,防止网络攻击和威胁,例如不断检查访问点以破坏网站的 DDOS。
  3. 软件即服务 (SaaS) –
    软件即服务(Software-as-a-Service)是 IT 中的一种业务交付模式,软件集中托管,用户通过有效的许可证使用,一般云计算中主要考虑 SaaS,用户通过瘦客户端访问这些 SaaS 应用例如网络,它可能包含各种软件,例如办公软件、CAD 软件、开发软件、游戏化软件、银行软件等。
  4. 防火墙即服务 (FWaaS) –
    托管在云服务器上的云防火墙生态系统的防火墙即服务,它在访问管理、身份管理、URL 过滤、高级威胁防护、DNS 安全、入侵防御系统、DNS 安全方面提供第 7 层功能。 FWaaS 使组织能够-
    1. 简化 IT 基础架构
    2. 单一控制台的集中管理消除了补丁管理的挑战
    3. 政策管理
    4. 协调用户协调的整个组织的中断窗口。

云防火墙的工作:
云防火墙的工作原理与传统防火墙类似,唯一的区别是云防火墙托管在云环境中。这些云防火墙的函数类似于数据包扫描防火墙,它们在传入数据进入网络之前过滤掉传入的数据,这涉及评估云网络的活动连接,基于这些连接,防火墙将决定哪些数据包是安全的并且可以通过它,因此典型的云防火墙执行以下功能:

包过滤:
网络中的少量数据称为数据包。这些数据包在绕过防火墙之前会暴露给一组过滤器,在防火墙中,数据包会针对某些威胁进行扫描,如果它们与这些威胁匹配,则防火墙会阻止它们进入网络。

代理服务:
这些代理服务可防止客户端设备与传入数据包之间的直接连接,从而保护网络区域免受未经授权的访问。

状态检查:
云防火墙还对传入的数据包执行状态检查,这些防火墙检查源和目标之间的某些策略,以便在它们之间建立会话,如果所需的策略不在源和目标之间,则不会提供访问,并且用户需要为他们注册新的策略。

云防火墙

云防火墙

好处 :

  1. 部署和可扩展性——
    云防火墙易于扩展和部署,拥有自己的软件性质,与部署在云上的传统防火墙相比,这些所需的时间非常短,对业务的干扰更少,并且非常易于维护。与传统防火墙不同,随着带宽的增加,这些防火墙具有无限的规模,FWaas 进行调整以保持奇偶性,因此企业无需担心网络中的流量大小。
  2. 访问和身份管理 –
    云防火墙旨在过滤来自不同租户和网络分区之间的多个来源的流量,因此它们可以轻松区分机器人和人类,从而防止机器人攻击,它们控制访问管理和身份验证,以确保对云服务器的精细控制。
  3. 更新 -
    防火墙采用实时自动更新设计,可针对防火墙上启用的高级威胁过滤系统提供保护。
  4. 可用性 -
    基于云的防火墙全天候 24/7 可用,这是传统防火墙无法实现的,因为云防火墙具有内置冗余(电源、HVAC、网络),因此它们可以全天为任何类型的事件做好准备。

缺点:

  1. 基于云的防火墙真的不知道访问者是谁,他们根据防火墙注册表中创建的策略盲目扫描数据包,如果攻击者设法创建任何现有策略的虚假副本,那么他可以轻松欺骗防火墙并绕过云网络。
  2. 基于云的防火墙缺乏对站点的真正运作方式、基于软件的环境、谁是经过身份验证的用户以及需要什么权限的理解。
  3. 由于这些防火墙遵循通用用例,它们可能无法检测特定软件的漏洞,例如插件漏洞。
  4. 云防火墙背后的站点依赖于防火墙服务提供商,如果该服务出现故障,它可能会在云网络中造成中断。