企業(yè)上云不免面臨很多安全問題，其中最基礎的網絡安全問題無外乎云環(huán)境下公網IP地址申請便捷，如何統(tǒng)一管控公網IP？互聯(lián)網漏洞頻繁，針對漏洞攻擊不斷，如何智能攔截？挖礦、木馬活動猖獗，如何識別惡意的主動外聯(lián)行為，并自動阻斷？如何實現傳統(tǒng)的DMZ區(qū)，實現VPC間的訪問控制和流量可視化？

  面對以上種種問題，有人說是不是使用主機安全和Web云防火墻就可以解決，當然不行。這還要先從web云防火墻和云防火墻的區(qū)別上說起。Web云防火墻只能針對Web業(yè)務去防護，對于非web類的業(yè)務沒有防護能力。但云防火墻的核心能力是縮小資產對外的攻擊面，對暴露在互聯(lián)網的全部網絡漏洞通過IPS虛擬補丁能力實時攔截，有效降低云上系統(tǒng)被如挖礦、勒索、木馬和爆破的風險。可以說云防火墻就是一款針對于云環(huán)境下的安全防火墻。

  那么新網認為在選用云防火墻時，安全實驗室集成了攻擊者視角的漏洞掃描能力、IPS 入侵攔截能力、全網威脅情報和高級威脅溯源分析能力，實時感知失陷主機實時感知主機失陷，智能阻斷非法外聯(lián)，由云原生的云防火墻在降低被攻擊如挖礦、勒索、木馬、爆破的風險上有顯著的功效，是云上的流量安全中心，策略管控中心。

  云防火墻作為企業(yè)上云的第一道安全門戶，對企業(yè)來說究竟有哪些價值？還得從入侵的角度來看，首先是偵查和掃描，云防火墻會一鍵梳理出企業(yè)云上資產在互聯(lián)網上的暴露面，并把海外的IP進行封禁；隨后開始IPS及高級威脅檢測，及時發(fā)現并阻斷攻擊行動。然后進行IPS虛擬不等的安裝，可以智能地阻斷惡意文件。主動外聯(lián)完成失陷威脅檢測，阻斷安全風險。再進行橫向移動，完成VPC間FW，將重點資產進行重點防護，以做到等保必備的護網利器。

  web云防火墻也被稱為網站云級入侵防御系統(tǒng)，按照一些常規(guī)的定義，WAF是指通過一系列針對HTTP/HTTP5的安全策略專門為web云提供保護的產品。它主要用于防御針對網絡云層的攻擊，像SQL注入，跨站腳本攻擊、參數篡改、云平臺漏洞攻擊、拒絕服務攻擊等。

  同傳統(tǒng)的防火墻不同的是，web云防火墻位于兩個或多個網絡之間，它們是實施網間訪問控制的一組組建的集合，內部和外部網絡之間的所有網絡數據都必須經過防火墻，只有符合安全策略的數據才能通過防火墻，它工作再開放系統(tǒng)互連參考模型的網絡層，通過地址轉換、訪問控制機器的狀態(tài)檢測等功能，對企業(yè)網絡層數據進行保護。

  3)旁路部署模式是將WAF置于局域網交換機下，訪問web服務器的所有連接通過安全策略指向WAF。它的優(yōu)點是對網絡的影響較小，但是在該模式下，web服務器無法獲取訪問者的真實IP地址。