其實一直以來，基於代理的防火牆或Web代理都被認爲是一種非常重要的安全組件。但問題就在於，這種類型的代理針對可以幫助用戶保證他們的安全嗎？

那麼在這篇文章中，我們將對基於代理的防火牆進行討論，討論內容將涉及到相關的短板和技術壁壘，並給出新一代的安全解決方案。

第一代基於代理的防火牆實現了控制用戶可以訪問哪些網站的基本任務。從那個時候開始，這項技術一直都在經歷着不斷地發展和演變，並且還增添了類似惡意軟件檢測和攔截、在線數據丟失防禦（DLP）、SSL/TLS流量檢查和帶寬控制等強大且實用的功能。

但現實就在於，Web代理存在着明顯的缺陷，而這些明顯的安全缺陷導致基於代理的防火牆或Web代理最終無法成爲有效的安全防護工具。

接下來，我們將從以下幾個方面來對基於代理的防火牆或Web代理進行探討。

一、實現

由於基於代理的防火牆其實現方式以及具體的技術實現細節，導致了它無法成功地保護目標設備中所有的網絡流量。在雲端部署一個基於代理的防火牆時，最常用的技術就是使用代理自動配置（PAC）文件或在用戶的操作系統和瀏覽器設置中顯式地指定代理服務器地址。

PAC文件可以使用JavaScript函數來確定通過顯式指定的代理服務器或直接向Internet所發送流量的位置。在這裏，顯式代理部署主要通過代理服務器發送所有瀏覽器流量。

這兩種部署方式的主要問題就在於：

1、並非所有的應用程序都是代理可識別的，有些應用程序會忽略代理服務器的相關係統配置，並且總是會繞過代理然後直接發送它們的網絡流量。
2、有些聰明的用戶會選擇使用VPN、服務器端瀏覽器（如Puffin瀏覽器）、匿名和加密瀏覽器（如Tor瀏覽器）或其他方法輕鬆繞過代理服務器。

二、效率

從設計之初，基於代理的防火牆壓根就不是用來面對和處理現代安全威脅的，因爲它們只能檢查有限的協議，如HTTP、HTTPS、FTP和DNS。這意味着，僅僅使用Web代理的話，將有可能導致通信流量中出現明顯的掃描檢測盲點，並且無法識別非標準端口上的或跨多個協議的應用程序和安全威脅。除此之外，有些應用程序根本就不兼容代理，所以肯定會被繞過。

一種新的方法-安全訪問服務邊緣（SASE）

Secure access service edge (SASE)，即安全訪問服務邊緣模型，它可以給用戶提供對Internet、SaaS應用程序和私有託管應用程序的完全零信任訪問，而這種模型方案正逐漸成爲解決傳統Web代理技術短板的一種全新的解決方案。一個真正的SASE解決方案結合了從雲端提供的網絡服務和安全服務，這種方案將涵蓋多種技術，例如雲訪問安全代理（CASB）、零信任網絡訪問（ZTNA）、防火牆即服務（FWaaS）和高級威脅預防等等。

SASE產品在雲環境中運行，允許我們對用戶流量進行更多的控制，而且可見性更加高，以便開發人員對其進行動態擴展。因此，SASE允許在單一節點和分支中使用多種技術，如IPSec或SSL VPN，從而允許我們對所有流量進行從始至終的安全強制管理。接下來，操作策略就變成了業務決策，而不是由於技術限制所被迫做出的妥協。

選擇一個基於雲的安全合作伙伴並不是一個隨便拍拍腦袋就可以做的決定，在購買服務之前我們應該仔細考慮任何可能的技術、方法、規模和有效性。因此，我們應該選擇的是那些能夠爲組織中所有流量、所有用戶和所有應用程序提供必要安全性和網絡服務的解決方案。

* 參考來源： paloaltonetworks ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM