基于代理的防火墙安全性探讨

其实一直以来，基于代理的防火墙或Web代理都被认为是一种非常重要的安全组件。但问题就在于，这种类型的代理针对可以帮助用户保证他们的安全吗？

那么在这篇文章中，我们将对基于代理的防火墙进行讨论，讨论内容将涉及到相关的短板和技术壁垒，并给出新一代的安全解决方案。

第一代基于代理的防火墙实现了控制用户可以访问哪些网站的基本任务。从那个时候开始，这项技术一直都在经历着不断地发展和演变，并且还增添了类似恶意软件检测和拦截、在线数据丢失防御（DLP）、SSL/TLS流量检查和带宽控制等强大且实用的功能。

但现实就在于，Web代理存在着明显的缺陷，而这些明显的安全缺陷导致基于代理的防火墙或Web代理最终无法成为有效的安全防护工具。

接下来，我们将从以下几个方面来对基于代理的防火墙或Web代理进行探讨。

一、实现

由于基于代理的防火墙其实现方式以及具体的技术实现细节，导致了它无法成功地保护目标设备中所有的网络流量。在云端部署一个基于代理的防火墙时，最常用的技术就是使用代理自动配置（PAC）文件或在用户的操作系统和浏览器设置中显式地指定代理服务器地址。

PAC文件可以使用JavaScript函数来确定通过显式指定的代理服务器或直接向Internet所发送流量的位置。在这里，显式代理部署主要通过代理服务器发送所有浏览器流量。

这两种部署方式的主要问题就在于：

1、并非所有的应用程序都是代理可识别的，有些应用程序会忽略代理服务器的相关系统配置，并且总是会绕过代理然后直接发送它们的网络流量。
2、有些聪明的用户会选择使用VPN、服务器端浏览器（如Puffin浏览器）、匿名和加密浏览器（如Tor浏览器）或其他方法轻松绕过代理服务器。

二、效率

从设计之初，基于代理的防火墙压根就不是用来面对和处理现代安全威胁的，因为它们只能检查有限的协议，如HTTP、HTTPS、FTP和DNS。这意味着，仅仅使用Web代理的话，将有可能导致通信流量中出现明显的扫描检测盲点，并且无法识别非标准端口上的或跨多个协议的应用程序和安全威胁。除此之外，有些应用程序根本就不兼容代理，所以肯定会被绕过。

一种新的方法-安全访问服务边缘（SASE）

Secure access service edge (SASE)，即安全访问服务边缘模型，它可以给用户提供对Internet、SaaS应用程序和私有托管应用程序的完全零信任访问，而这种模型方案正逐渐成为解决传统Web代理技术短板的一种全新的解决方案。一个真正的SASE解决方案结合了从云端提供的网络服务和安全服务，这种方案将涵盖多种技术，例如云访问安全代理（CASB）、零信任网络访问（ZTNA）、防火墙即服务（FWaaS）和高级威胁预防等等。

SASE产品在云环境中运行，允许我们对用户流量进行更多的控制，而且可见性更加高，以便开发人员对其进行动态扩展。因此，SASE允许在单一节点和分支中使用多种技术，如IPSec或SSL VPN，从而允许我们对所有流量进行从始至终的安全强制管理。接下来，操作策略就变成了业务决策，而不是由于技术限制所被迫做出的妥协。

选择一个基于云的安全合作伙伴并不是一个随便拍拍脑袋就可以做的决定，在购买服务之前我们应该仔细考虑任何可能的技术、方法、规模和有效性。因此，我们应该选择的是那些能够为组织中所有流量、所有用户和所有应用程序提供必要安全性和网络服务的解决方案。

* 参考来源： paloaltonetworks ，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM