循序渐进，通过基于云的安全Web网关处置惩罚流量

为了自动应对并控制员工对公共互联网的访问，以及检测和制止恶意软件、打单软件以及钓鱼攻击等恶意内容，已经有越来越多的企业开始摆设安全Web网关（SWG）。
最初的[SWG](http://www.akamai.com/blog/news/anyone-for-alphabet-soup-ztna-swgs-
mfa-and-more-lessons-learned
“SWG”)主要以物理或虚拟装置的情势摆设在企业数据中心内，由于大部分员工都在线下（公司设施内部）工作并已经连接到企业网络，因此可以通过非常简单直观的方式将互联网流量发送给此类装置。假如需要远程办公，员工可以利用虚拟专用网络（VPN）将互联网流量回传到数据中心，以应用企业需要的安全控制。
不过，在“新常态”的当下，情况不同了……
一个全新的（安全）世界

今时不同昔日。诚然，一些企业出于合规方面的思量，依然需要将安全装备摆设在本地环境中。然而至今依然在利用本地[安全Web网关](http://www.techrepublic.com/article/akamai-
adds-secure-web-gateway-capabilities-to-threat-service/
“安全Web网关”)的企业数量正在飞速减少，大部分企业已经开始转为利用基于云的安全Web网关。
此外，以前利用本地安全装备的时候，员工的工作其实是和分配给本身的公司电脑密切绑定的。但如今，很多企业选择了一种[支持接纳任何装备在任何地方完成工作的完全远程或混淆办公模式](https://link.zhihu.com/?target=https%3A//www.akamai.com/blog/security/securing-
the-enterprise-network-for-the-office-anywhere
“支持接纳任何装备在任何地方完成工作的完全远程或混淆办公模式”)。
基于云的安全Web网关

通过云平台交付的SWG解决了本地装备固有的一些问题，例如可扩展性和持续的装备管理与维护，并为全新工作模式提供了所需的灵活性。
然而无论员工身处何地或利用任何装备，都需要为他们提供同等的安全保障，这种目标也造成了新的寻衅，更具体来说，这些寻衅主要在于与SWG有关的上行流量。
本文（以及同一系列的下一篇文章）将探究：在评估各类SWG解决方案时，为何需要着重思量能否通过各种方式将上行流量传入基于云的SWG，以及这种能力的紧张性。
基于DNS的掩护：DNS重定向和DNS转发

为了帮助大家尽可能充分地理解，首先让我们一起看看DNS重定向和DNS转发，究竟这是掩护互联网流量最快速、简单的方法。这种方式通常更多会与DNS防火墙解决方案（而非SWG）配合利用，并且这种方法能提供很多上风。
简单来说，DNS防火墙会检查构造中员工发出的每个DNS哀求，并将哀求的内容与一个已知的恶意域名列表进行对比。防火墙会制止对恶意域名的访问，并允许对安全域名的访问。此外，这种防火墙还可以辨认并制止被攻陷装备与命令和控制（C2）服务器之间的流量，甚至可以检测DNS渗出。
通过将流量重定向或转发到云端防火墙，全部这些安全收益都可以在几分钟内顺利实现。假如进行重定向，企业只需要对现有的递归DNS服务中快速修改一个设置，即可将流量发送给防火墙。
另一种方法是摆设DNS代理，这种方式主要会摆设一种虚拟装备，并设置该装备将DNS流量转发给云端防火墙。利用代理还能得到一个额外的好处：可以辨认发出哀求的装备，从而进行有针对性地补救。
选择性代理的好处

DNS重定向和转发还可以与选择性代理（Selective
proxy）一起利用，进而得到更深入的洞察力并对互联网流量进行更细化的控制。利用选择性代理的情况下，除了可以制止或允许DNS流量，还可以在威胁列表中将特定域名标记为有风险的。当有哀求希望访问有风险的域名时，防火墙会返回云代理的IP地址，随后装备可与代理创建连接。
然后，代理可以检查装备希望访问的URL，借此判定内容是安全的还是恶意的，这在某些情况下可以提供额外的掩护，例如某个域名下可能同时存在安全和恶意的内容。利用选择性代理方法一个最紧张的好处在于：可以制止有风险的内容，但同时也能将代理破坏应用步伐的风险降至最低。
为任何位置的客户端提供掩护

众所周知，当今的员工已经不再只通过一个固定位置工作，而是可以在任何能访问网络的地方工作：例如在家里的书房通过Wi-
Fi连接网络，或在家附近的咖啡馆里，甚至会在任何地方通过蜂窝网络创建连接。
为了掩护这些装备并应用须要的安全控制，企业需要在装备上摆设客户端软件。软件保证了无论装备通过何种方式连接到互联网，互联网流量均可路由至云端的安全Web网关。客户端软件的另一个上风在于，可以借此辨认发出哀求的不同装备。
这类客户端软件通常可用于台式机和条记本电脑的操作系统，同时也应该能支持移动装备的操作系统；应该能提供基于DNS的掩护、选择性代理掩护，以及完整的代理掩护。
将全部Web流量发送给SWG

假如需要进一步提高安全性，还可将全部HTTP与HTTPS流量发送给云端SWG。此时一种常见做法是利用Internet Protocol
Security（IPsec）隧道将Web流量引导至SWG以供扫描。
但这需要设置本地基础设施（例如防火墙或SD-
WAN控制器），这样才能以最优化且安全的方式将流量从分支位置传输至总部的SWG。IPSec的另一个好处在于，全部Web流量都会被加密，这也进一步掩护了内部IP地址等私密信息。
HTTP/S流量转发

除了设置IPsec隧道，我们还可以在本地摆设HTTP/S代理，通常这种代理是以虚拟机的情势摆设的。这样的代理可以将全部HTTP和HTTPS流量通过TLS加密隧道转发至云端SWG，上风之一在于可以摆设多个转发器，借此对大规模流量实现负载均衡，从而改善可扩展性。此外这种方式还有助于提高服务的可靠性。
HTTP/S流量转发还能简化从本地SWG的过渡，因为这种转发器可以看作本地安全装备的替换品。一旦过渡到基于云的SWG并确认一切都能正常工作，即可剔除转发器，直接通过IPSec处置惩罚全部流量。
代理链

如上文所述，基于云的SWG是最主要的摆设方法，然而对于依然在本地利用安全装备，但希望迁移到云端安全装备的企业来说，切换过程本身就是一个巨大的寻衅。
为简化迁移过程，企业可以通过代理链（Proxy
chaining）设置现有安全装备，使其将HTTP和HTTPS流量转发至云服务。借此企业可以充分测试新服务，当确保一切都能如期工作时，即可移除本地装备，并激活IPsec或HTTP/S流量转发。
选择得当的情势和方法

在了解了将流量陆续转移至云端SWG的不同方法后，大家很可能会问：企业是否需要[选择](http://www.akamai.com/resources/white-
paper/how-to-select-a-cloud-based-secure-web-gateway
“选择”)一种特定的方法？根据具体用例和所需的掩护程度来[选择得当的方法](https://link.zhihu.com/?target=https%3A//www.akamai.com/site/en/documents/white-
paper/how-to-select-a-cloud-based-secure-web-gateway.pdf “选择得当的方法”)是否能得到更多收益？
一个用例

让我们以Acme
Manufacturing为例来答复这些问题。Acme在全球范围内有上万名员工，在芝加哥和伦敦设立了大型总部，此外还有数十个分支办公室以及四个大型制造厂。只要工作脚色允许，Acme的员工如今都会远程办公。此外，固然Acme已经开始转向云计算，但他们的总部依然运行了本身的数据中心。
对于这家制造业公司来说，某一种具体的方法是无法满足全部需求的。下表根据不同用例列出了Acme选择的不同方法，并介绍了每种方法所能提供的掩护程度。
用例流量转发方法提供的安全掩护总部和工厂HTTP转发器完整检查并控制员工的全部HTTP和HTTPS流量分支位置IPsec隧道（通常通过SD-WAN的集成）完整检查并控制员工的全部HTTP和HTTPS流量来宾Wi-FiDNS重定向为访客提供基于DNS的简单掩护数据中心DNS转发为服务器流量提供基于DNS的“城墙”远程员工客户端软件选择性或完整的代理掩护 根据用例选择得当的方法，每种方法提供了不同的流量转发方式和掩护程度
总结

鉴于工作方式不停变化，每个企业需要支持的用例多种多样，因此通过多种方法将流量转向云端安全Web网关是一种非常紧张的能力。为实现所需安全程度，很多企业会同时利用多种方法。
[Akamai Secure Internet Access](http://www.akamai.com/products/secure-
internet-access-enterprise “Akamai Secure Internet Access”)
Enterprise是一种基于云的SWG，可支持多种流量传输方式，从而最大限度实现摆设灵活性。在这一系列的下篇文章中，我们将探究SD-
WAN如何通过集成能力，利用Akamai的映射，将流量自动路由至间隔用户最近的Secure Internet Access
Enterprise接入点，从而实现最优化的性能。
题外话

初入计算机行业的人大概大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：
2023届天下高校毕业生预计到达1158万人，就业形势严肃；
国家网络安全宣传周公布的数据表现，到2027年我国网络安全职员缺口将达327万。
一方面是每年应届毕业生就业形势严肃，一方面是网络安全人才百万缺口。
6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。此中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。
具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均到达了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关紧张的因素之一。
网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中心人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而天下各大学校每年造就的职员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，如今从事网络安全行业的从业职员只有10W人。

行业发展空间大，岗位非常多
网络安全行业产业以来，随即新增长了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗出工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产物经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、劫难规复专业职员、实战攻防专业职员…
职业增值潜力大
网络安全专业具有很强的技术特性，尤其是掌握工作中的焦点网络架构、安全技术，在职业发展上具有不可替换的竞争上风。
随着个人能力的不停提升，所从事工作的职业代价也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。
从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。
1.学习蹊径图

行业发展空间大，岗位非常多
网络安全行业产业以来，随即新增长了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗出工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产物经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、劫难规复专业职员、实战攻防专业职员…
职业增值潜力大
网络安全专业具有很强的技术特性，尤其是掌握工作中的焦点网络架构、安全技术，在职业发展上具有不可替换的竞争上风。
随着个人能力的不停提升，所从事工作的职业代价也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。
从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。
1.学习蹊径图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的蹊径图，假如你能学完它们，你去就业和接私活完全没有问题。
2.视频教程

网上固然也有很多的学习资源，但基本上都残破不全的，这是我本身录的网安视频教程，上面蹊径图的每一个知识点，我都有配套的视频讲授。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗出测试基础、毛病详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。
3.技术文档和电子书

技术文档也是我本身整理的，包括我参加大型网安行动、CTF和挖SRC毛病的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。
4.工具包、口试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要会合在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感爱好的同学不容错过。
还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。
这些标题都是大家在口试笃信服、奇安信、腾讯大概其它大厂口试时经常遇到的，假如大家有好的标题大概好的见解欢迎分享。
参考解析：笃信服官网、奇安信官网、Freebuf、csdn等
内容特点：条理清晰，含图像化表现更加易懂。
内容概要：包括 内网、操作系统、协议、渗出测试、安服、毛病、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑毛病、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前去获取
假如你对网络安全入门感爱好，那么你需要的话可以点击这里