什么是安全 Web 网关 (SWG)？

无论 SWG 在哪里运行或如何部署，它们都以大致相同的方式工作。当客户端设备将请求发送到互联网上的网站或应用程序时，该请求首先会经过 SWG。网关会检查请求，并且仅在不违反制定的安全策略的前提下将其传递；这就像保安在物理安全检查点检查人员的随身物品，然后再允许他们通过一样。相反的方向上也会发生类似的过程：SWG 会检查所有传入数据，然后再将其传递给用户。

由于 SWG 可以在任何地方运行，它们对管理远程员工特别有帮助。通过要求远程员工经由安全 Web 网关访问互联网，依赖分布式员工的公司可以更好地防止数据泄露，即使他们不能直接控制其员工的设备或网络。

安全 Web 网关如何执行安全策略？

安全策略是公司内所有数据和网络流量必须遵守的规则。举例来说，假设公司制定了一项策略，要求所有网络流量都必须经过加密。实施此策略将涉及阻止不使用 HTTPS 的网站。安全 Web 网关是实施此策略的一种方式，因为它可以过滤掉所有非 HTTPS 网络流量。

SWG 可以对其检查和转发的 Web 流量执行若干操作，从而执行安全策略：

URL 过滤

URL 是在加载网页时显示在浏览器顶部的文本字符串，如 https://www.cloudflare.com/learning/。因此，URL 过滤是一种控制用户可以加载哪些网站的方法。

URL 过滤通常涉及使用阻止列表，即不被允许的已知不良网站的列表。如果用户试图加载阻止列表上列出的网站，SWG 会阻止该请求，并且用户的设备上不会加载这个网站。

反恶意软件扫描

SWG 会扫描网络流量中是否存在恶意软件；也就是说，它们会检查通过的数据，并查看其是否与已知恶意软件中的代码匹配。一些网关还使用沙箱来测试恶意软件：它们在受控环境中执行潜在的恶意代码，以查看其行为。如果检测到恶意软件，网关就会将它阻止。

互联网上的很多网络流量都使用 HTTPS 进行加密*。许多 SWG 可以解密 HTTPS 流量，以扫描流量中是否存在恶意软件。检查后，网关重新加密流量并将其转发给用户或 Web 服务器。这个过程被称为 HTTPS 检查。

* 加密是指更改数据以使表现为随机化的过程。加密的数据只有在解密后才能读取。解密与加密过程相反。

应用程序控制

SWG 可以检测员工正在使用哪些应用程序。基于此，它们可以控制不同应用程序能够访问的资源，或者完全阻止某些应用程序。一些 SWG 对应用程序使用提供更高程度的控制：例如，它们可以基于用户的身份或位置来控制应用程序的使用。

其他 SWG 功能力包括：

• 内容过滤：此功能可检测并阻止某些种类的内容。例如，内容过滤可以防止露骨的视频或照片进入公司网络。公司 IT 管理员通常可以自定义其安全 Web 网关的内容过滤策略。
• 数据丢失防护 (DLP)：并非所有 Web 安全网关都提供此功能，但它对于防止数据泄露非常有效。DLP 有点像反向内容过滤：它不是阻止内容进入网络，而是防止内容离开网络。当机密数据从公司控制的环境中离开时，DLP 可以检测到，并通过编辑或阻止数据来防止其泄漏。例如，可以对 DLP 进行设置，以检测并编辑员工电子邮件中发送的所有 16 位数字，从而防止机密的信用卡号离开网络。

安全 Web 网关如何融入 SASE 模式？

SASE（安全访问服务边缘）将网络功能与各种安全功能（如 SWG）捆绑在一起，并从单个全球网络中提供。

像许多安全产品一样，SWG 是一种单一解决方案产品，通常与其他网络和网络安全功能分开管理。然而，随着 SASE 框架的建立，公司可以从一个基于云的供应商处实施和维护他们的网络与网络安全。

Cloudflare Gateway 如何保护 Web 流量的安全？

Cloudflare Gateway 为互联网上的内部团队提供全面的安全性，同时保护员工和内部公司数据。Cloudflare Gateway 使用 DNS 过滤来阻止恶意内容，为管理员提供网络流量的完整可见性，并通过浏览器隔离防止用户受到恶意在线代码的侵害。

探索 Cloudflare Gateway 的功能。