什么是云防火墻？云防火墻是一種安全產品，與傳統防火墻一樣，可以過濾掉潛在的惡意網絡流量。與傳統防火墻不同，云防火墻托管在云中。這種用于防火墻的云交付模型也稱為防火墻即服務 (FWaaS)。基于云的防火墻在云平臺、基礎設施和應用程序周圍形成虛擬屏障，就像傳統防火墻在組織內部網絡周圍形成屏障一樣。云防火墻還可以保護本地基礎設施。

防火墻的定義

防火墻是一種過濾惡意流量的安全產品。傳統上，防火墻在受信任的內部網絡和不受信任的網絡之間運行——例如，在專用網絡和 Internet 之間。早期的防火墻是連接到組織內部部署基礎設施的物理設備。防火墻根據一組內部規則阻止和允許網絡流量。大多數防火墻允許管理員自定義這些規則。

受信任網絡和 Internet 之間的邊界稱為“網絡邊界”。然而，隨著云計算的日益普及，網絡邊界幾乎消失了。因此，在受信任的云資產和不受信任的互聯網流量之間形成虛擬屏障的云防火墻變得越來越重要。

防火墻即服務 (FWaaS) 與云防火墻不同嗎？

防火墻即服務，簡稱 FWaaS，是云防火墻的另一個術語。與其他“即服務”類別，如軟件即服務 (SaaS)或基礎設施即服務 (IaaS) 一樣，FWaaS 在云中運行并通過 Internet 訪問，第三- 方供應商更新并維護它。

為什么要使用 FWaaS？

銀行有很多物理安全措施。大多數實體銀行將包括安全功能，如安全攝像頭和防彈玻璃。保安和銀行員工也幫助阻止潛在的小偷，現金存放在高度安全的保險箱中。

但是想象一下，如果每個銀行分行的現金不是存放在一個地方，而是存放在全國不同的保險箱中，這些保險箱由專門從事安全維護的公司運營。如果不在分散的保險箱周圍部署額外的安全資源，銀行如何確保其資金安全？這類似于云防火墻的作用。

云就像一個資源分散的銀行，但不是錢，而是云存儲數據和計算能力。授權用戶可以從任何地方和幾乎任何網絡連接到云。在云中運行的應用程序可以在任何地方運行，這也適用于云平臺和基礎設施。

云防火墻可阻止針對這些云資產的網絡攻擊。部署云防火墻就像用全球 24/7 安全中心替換銀行的本地安全攝像頭和物理保安，該中心擁有集中的員工和來自銀行資產所有存儲位置的安全攝像頭。

使用云防火墻/FWaaS 的主要好處是什么？

• 惡意網絡流量被阻止，包括惡意軟件和不良機器人活動。一些 FWaaS 產品還可以阻止敏感數據流出。
• 流量不必通過硬件設備匯集，因此不會創建網絡阻塞點。
• 云防火墻可輕松與云基礎架構集成。
• 可以同時保護多個云部署（只要云防火墻供應商支持每個云）。
• 云防火墻可快速擴展以處理更多流量。
• 組織不需要自己維護云防火墻；供應商處理所有更新。

云防火墻和下一代防火墻 (NGFW) 有什么區別？

一個下一代防火墻（NGFW）是一個防火墻，包括沒有在早期的防火墻產品提供新技術，如：

• 入侵防御系統 (IPS)：入侵防御系統檢測并阻止網絡攻擊。
• 深度包檢測 (DPI)：?NGFW 檢查數據包標頭和有效載荷，而不僅僅是標頭。這有助于檢測惡意軟件和其他類型的惡意數據。
• 應用程序控制：?NGFW 可以控制單個應用程序可以訪問的內容，或完全阻止應用程序。

NGFW 可以在云中運行，也可以作為本地硬件運行。基于云的防火墻可能具有 NGFW 功能，但內部部署的防火墻也可以是 NGFW。了解有關 NGFW 與 FWaaS 的更多信息。

FWaaS 如何融入 SASE 框架？

安全訪問服務邊緣（SASE）是一種基于云的網絡架構，它將網絡功能（如軟件定義的廣域網）與一組安全服務（包括 FWaaS）相結合。與必須使用內部防火墻保護內部部署數據中心周邊的傳統網絡模型不同，SASE 在網絡邊緣提供全面的安全性和訪問控制。

在 SASE 網絡模型中，基于云的防火墻與其他安全產品協同工作，以保護網絡外圍免受攻擊、數據泄露和其他網絡威脅。與其使用多個第三方供應商來部署和維護每項服務，公司可以使用單個供應商將 FWaaS、云訪問安全代理 (CASB)服務、安全 Web 網關 (SWG)和零信任網絡訪問 (ZTNA)與SD-WAN 功能。