安全云网关：利用互联网对抗网络攻击

网络攻击与互联网采用了相同的方式，利用域名系统(DNS)来分布恶意软件、控制僵尸网络和收集登录信息。随着云计算服务、BYOD和远程办公的增加，攻击面已经超越了传统的企业网络边界。

这种设备和网络的多样性创造了一个环境，企业必须容纳在任何地方漫游的任何设备。然而，现在的安全平台无法应对这样的情况。这催生了新的网络安全平台：安全云网关(Secure Cloud Gateway，SCG)，安全云网关利用基于DNS的基础来提供更广泛的安全性、提高覆盖范围和更深层次的可视性。

合法的网页浏览只会发生在两个协议(端口)对：HTTP(80)和HTTPS(443)。而恶意软件偶尔会通过非标准端口来感染设备，僵尸网络通常使用非web协议来攻击网络和窃取数据。安全云网关利用DNS来保护所有端口、协议和应用程序。

现在，威胁是有针对性的，但攻击目标无处不在。个人设备越来越多地连接到企业网络，而员工经常将包含敏感数据的企业设备带到安全边界之外。通过利用DNS，安全云网关可以为设备提供安全保障，无论这些设备在什么位置。

网络威胁的外观和行为变化无常，不过，他们通常是源自限定数量的互联网主机，有些网络攻击还通常共用相同的犯罪基础设施。为了获取准确的安全情报，安全云网关使用DNS基础设施和Anycast路由技术来跨互联网映射每个连接请求。

虽然绝大多数web域名可以被归为安全或者恶意，但有些互联网主机很难分类。这是因为它们同时包含安全和恶意web内容，或者它们的互联网来源很可 疑。然而，对每个web连接进行深度检查会显著降低性能。此外，重定向每个web连接会降低可管理性。安全云网关可以识别高风险或可疑域名，并利用DNS重定向来路由它们进行更深度检查。

与安全Web网关(SWG)设备或者通过代理发送web连接的服务不同，安全云网关只会路由可疑web连接进行深度检查。这种概念被称为智能代理，下面是它的工作原理。

情境1：一名员工试图访问站点#1，安全云网关已经确定该站点是恶意的，根据对该主机的风险评分。也许这个域名与已知用于犯罪攻击的基础设施有关，或者该域名总是在其他恶意主机请求后被请求。安全云网关将该IP地址返回到其封锁页面，而不是恶意域名，从而保护该企业的网络和数据。

情境2：员工试图访问站点#2，安全云网关持续分析该站点内容主机的互联网来源—从空间(例如地理、网络)和时间(例如请求量、共同出现率)。基于已知数据和算法风险预测，安全云网关确定站点#2域名风险很低，便会将IP地址直接连接到该站点的主机。员工在访问该 站点时，不会遇到任何延迟或者干扰。

情境3：员工试图访问站点#3，安全云网关已经确定该站点的内容主机是高风险，并将该IP地址返回到其代理服务 器。代理服务器提供更深度的检查，包括检查互联网来源、域名和IP地址。在这些检查后，如果内容被认为是安全的，将会被发送到浏览器，连接员工到该域名。 如果内容是恶意的，安全云网关发回阻止访问页面，员工被阻止访问该恶意域名。

集成情报与执行

有效的安全性同时需要情报和执行来抵御高级威胁和有针对性的攻击。没有即时执行的情报将无法阻止恶意软件或抵御僵尸网络。与此同时，没有预测性情报的执行也无法阻止最复杂的攻击。安全云网关以新的方式整合了情报和执行。

可操作的情报需要最大的覆盖范围和可视性。安全云网关使用DNS基础设施，可以收集巨量的数据，这足以预测新兴互联网的互联网来源，即使二进制文件或者漏洞利用是未知的。这些收集的数据能够反映所有设备的使用模型，无论这些设备的位置、所有者类型，无论通过什么端口或协议。

与此同时，执行需要具有最大广度和深度的安全技术。使用递归DNS，安全云网关可以跨65535个网络端口和无线数量的协议及应用程序对流量执行安 全政策。为了提供高级威胁保护，安全云网关重定向高风险web请求到其智能代理(Intelligent Proxy)，以执行更深的检查来检测和阻止隐藏在web会话中的恶意内容。

不是使用传统代理服务器或者内线架构，安全云网关采用了基于云计算的基础设施，整合多个安全执行技术与互联网规模的威胁情报收集功能，这使安全云网关能够应对不断变化的攻击和新出现的威胁，而不需要牺牲性能和可管理性。