【云安全最佳实践】什么是云防火墙？

【云安全最佳实践】什么是云防火墙？

防火墙是一种安全产品，其主要功能是过滤掉未经授权和恶意的流量，它们在可信和不受信任的网络（即专用网络和互联网）之间运行。这些防火墙阻止恶意网络，只允许授权的流量绕过它们，这是通过管理员配置的一组规则指定的。

云防火墙：

云防火墙只不过是部署在云中的防火墙，这些云防火墙形成虚拟屏障，为了防止云中的恶意网络流量，它们的功能与传统防火墙相同，但唯一的区别是云防火墙托管在云平台中。

云防火墙充当安全产品，充当盾牌并保护未经授权的网络流量，并且这种保护提供给不同的云组件，如云CRM，云数据库，电子邮件云。

云防火墙的需求：

云防火墙在提供针对恶意和不需要的网络流量的安全性方面非常重要。云是虚拟空间的来源，它存储了许多属于企业的关键数据，并且非常需要安全机制来保护它，并且防火墙已经在内部部署物理基础架构中取得了成功。 云提供商还为虚拟工作区配置了强大的防火墙环境。

这些云防火墙的设计方式是，它们可以阻止针对虚拟云工作区的网络攻击，并为云组件提供24/7全天候的安全性，我们可以假设这些与保护银行的保安相同，这些虚拟工作区即云服务器可以被视为银行资产。

云防火墙的类型：

云防火墙大致分为两种类型，即：

1. 下一代防火墙
2. 思科网络防火墙

这些解释如下。

1. 下一代防火墙 （NGFW） –

这些是旨在部署在数据中心的云防火墙服务，旨在保护组织的服务器基础架构即服务或平台即服务模型。在这些模型中，部署了云防火墙软件，并在云操作中保护网络流量。

SaaS防火墙 -

这些类型的防火墙的配置方式是，其主要工作是保护与传统防火墙相同的虚拟空间网络，但唯一的区别是托管在云中。它们具有各种其他名称和类型，例如：

1. 安全即服务 - 这是IT行业中使用的一种商业模式，其中提供安全服务的责任由服务提供商（即客户根据其要求每月或每年订阅的任何第三方咨询公司）完成。
2. SECaas - 它为用户提供互联网安全，提供针对网络攻击和威胁（如DDOS）的保护，DDOS不断检查接入点以破坏网站。
3. 软件即服务（SaaS） - 软件即服务是IT中的一种业务交付模式，其中软件集中托管，用户通过有效的许可证使用它，通常SaaS主要考虑在云计算中，这些SaaS应用程序由用户通过瘦客户端（例如Web）访问，其中可能包含各种软件，例如办公软件， CAD软件、开发软件、游戏化软件、银行软件等
4. 防火墙即服务 （FWaaS） – 托管在云服务器上的云防火墙生态系统的防火墙即服务，在访问管理、身份管理、URL 过滤、高级威胁防护、DNS 安全、入侵防御系统、DNS 安全方面提供第 7 层功能。FWaaS 使组织具有 - 1.简化其 IT 基础架构 2.从单个控制台进行集中式管理消除了补丁管理 中的挑战 3.策略管理4.协调用户协调的组织内的中断时段。

云防火墙的工作原理： 云防火墙的工作原理与传统防火墙的工作原理类似，唯一的区别是云防火墙托管在云环境中。这些云防火墙的功能类似于数据包扫描防火墙，在进入网络之前过滤掉传入的数据，这涉及评估云网络的活动连接，根据这些连接，防火墙将决定哪些数据包是安全的并且可以通过它，因此典型的云防火墙执行以下功能：

数据包过滤： 网络中的少量数据称为数据包。这些数据包在绕过防火墙之前会暴露给一组特定的过滤器，防火墙会针对某些威胁扫描数据包，如果它们与这些威胁匹配，则防火墙会阻止它们进入网络。

代理服务： 这些代理服务可防止客户端设备和传入数据包之间的直接连接，从而保护网络区域免受未经授权的访问。

状态检查： 云防火墙还对传入的数据包执行状态检查，其中这些防火墙检查源和目标之间的某些策略，以便在它们之间建立会话，如果所需的策略不在源和目标之间，则不会提供访问，用户需要为它们注册新策略。

云防火墙

优势：

1. 部署和可扩展性 - 云防火墙易于扩展和部署拥有自己的软件性质，与传统防火墙相比，这些只需要很少的时间即可部署到云上，并且对业务造成更少的中断，并且非常易于维护。与传统防火墙不同，随着带宽的增加，这些防火墙具有无限的规模，FWaas会进行调整以保持奇偶校验，因此企业不必担心网络中的流量大小。
2. 访问和身份管理 - 云防火墙旨在过滤来自不同租户和网络分区之间的多个来源的流量，因此它们可以轻松区分机器人和人类，从而防止机器人攻击，它们控制访问管理和身份验证，以确保对云服务器的精细控制。
3. 更新 – 防火墙设计有实时自动更新，可针对防火墙上启用的高级威胁过滤系统提供保护。
4. 可用性 - 基于云的防火墙可以24/7全天候使用，这是传统防火墙无法实现的，因为云防火墙具有内置冗余（电源，HVAC，网络），因此它们为全天任何类型的事件做好准备。

劣势：

1. 基于云的防火墙真的不知道访问者是谁，他们根据防火墙注册表中创建的策略盲目地扫描数据包，如果攻击者设法创建了任何现有策略的虚假副本，那么他可以很容易地欺骗防火墙并绕过进入云网络。
2. 基于云的防火墙缺乏对站点实际运行方式、什么是基于软件的环境、谁是经过身份验证的用户以及需要哪些权限的理解。
3. 由于这些防火墙遵循一般用例，因此它们可能无法检测到特定于软件的漏洞，例如插件漏洞。
4. 云防火墙后面的站点依赖于防火墙服务提供商，如果服务关闭，则可能会在云网络中造成中断。