事实上,基于代理的防火墙或Web代理长期以来一直被认为是一个非常重要的安全组件。但问题是,这种代理目标能否帮助用户保障安全呢?那么在这篇文章中,我们将讨论基于代理的防火墙,讨论中会涉及到相关的缺点和技术壁垒。并赋予新一代安全解决方案。第一代基于代理的防火墙实现了控制用户可以访问哪些网站的基本任务。从那时起,该技术不断发展和演变,增加了强大而有用的功能,如恶意软件检测和阻止、内联数据丢失防护(DLP)、SSL/TLS流量检查和带宽控制。功能。但现实是Web代理存在明显的缺陷,这些明显的安全缺陷使得基于代理的防火墙或Web代理最终无法成为有效的安全防护工具。接下来,我们将从以下几个方面讨论基于代理的防火墙或Web代理。1.实现由于基于代理的防火墙的实现方法和具体的技术实现细节,它不能成功地保护目标设备中的所有网络流量。在云中部署基于代理的防火墙的最常见技术是使用代理自动配置(PAC)文件或在用户的操作系统和浏览器设置中明确指定代理服务器地址。PAC文件可以使用JavaScript函数来确定流量是通过明确指定的代理服务器发送到哪里还是直接发送到Internet。在这里,显式代理部署基本上通过代理服务器发送所有浏览器流量。这两种部署方式的主要问题是:1.并不是所有的应用程序都是代理感知的,有些应用程序会忽略代理服务器的相关系统配置,总是会绕过代理直接发送他们的网络流量。2、一些聪明的用户会选择使用VPN、服务器端浏览器(如Puffin浏览器)、匿名加密浏览器(如Tor浏览器)等方式轻松绕过代理服务器。2.效率从设计之初,基于代理的防火墙根本就不是为了面对和应对现代安全威胁而设计的,因为它们只能检查有限的协议,如HTTP、HTTPS、FTP和DNS。这意味着仅使用Web代理可能会导致通信流量中出现明显的扫描检测盲点,并且无法识别非标准端口或跨多个协议的应用程序和安全威胁。除此之外,一些应用程序根本不兼容代理,因此它们肯定会被绕过。Anewapproach-SecureAccessServiceEdge(SASE)Secureaccessserviceedge(SASE),安全访问服务边缘模型,可以为用户提供对互联网、SaaS应用程序和私有托管应用程序的完全零信任访问,而这模型解决方案正逐渐成为解决传统Web代理技术缺点的新方案。一个真正的SASE解决方案结合了网络服务和从云端交付的安全服务,这样的解决方案将涵盖多种技术,例如云访问安全代理(CASB)、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和高级威胁预防等等。SASE产品在云环境中运行,这使我们能够更好地控制用户流量和更高的可见性,以便开发人员可以动态扩展它。因此,SASE允许在单个节点和分支中使用多种技术,例如IPSec或SSLVPN,从而使我们能够从头到尾对所有流量进行安全强制管理。然后,运营策略成为一项业务决策,而不是由于技术限制而被迫做出的妥协。选择基于云的安全合作伙伴并不是一个可以轻易做出的决定。在购买服务之前,我们应该仔细考虑任何可能的技术、方法、规模和有效性。因此,我们应该选择那些能够为组织中的所有流量、所有用户和所有应用程序提供必要的安全和网络服务的解决方案。
