收集报复打击与互联网采取了不异的编制，操纵域名系统(DNS)来漫衍歹意软件、节制僵尸收集和汇集登录信息。跟着云计较办事、BYOD和长途办公的增加，报复打击面已超出了传统的企业收集鸿沟。

　　这类设备和收集的多样性创作发现了一个环境，企业必需容纳在任何处所漫游的任何设备。但是，此刻的安然平台没法应对如许的环境。这催生了新的收集安然平台：安然云网关(Secure Cloud Gateway，SCG)，安然云网关操纵基于DNS的根本来供给更遍及的安然性、进步笼盖范围和更深层次的可视性。

　　合法的网页浏览只会产生在两个和谈(端口)对：HTTP(80)和HTTPS(443)。而歹意软件偶尔会经由过程非尺度端口来传染设备，僵尸收集凡是利用非web和谈来报复打击收集和盗取数据。安然云网关操纵DNS来呵护所有端口、和谈和利用法度。

　　此刻，威胁是有针对性的，但报复打击方针无处不在。小我设备愈来愈多地连接到企业收集，而员工常常将包含敏感数据的企业设备带到安然鸿沟以外。经由过程操纵DNS，安然云网关可觉得设备供给安然保障，不管这些设备在甚么位置。

　　收集威胁的外不雅和行动改变无常，不外，他们凡是是源自限制命目标互联网主机，有些收集报复打击还凡是共用不异的犯法根本举措措施。为了获得准确的安然谍报，安然云网关利用DNS根本举措措施和Anycast路由手艺来跨互联网映照每个连接要求。

　　当然尽大年夜大都web域名可以被回为安然或歹意，但有些互联网主机很难分类。这是因为它们同时包含安然和歹意web内容，或它们的互联网来历很可 疑。但是，对每个web连接进行深度查抄会较着降落机能。别的，重定向每个web连接会降落可治理性。安然云网关可以辨认高风险或可疑域名，并操纵DNS重定历来路由它们进行更深度查抄。

　　与安然Web网关(SWG)设备或经由过程代办署剪发送web连接的办事不合，安然云网关只会路由可疑web连接进行深度查抄。这类概念被称为智能代办署理，下面是它的工作道理。

　　情境1：一名员工试图拜候站点#1，安然云网关已肯定该站点是歹意的，按照对该主机的风险评分。或许这个域名与已知用于犯法报复打击的根本举措措施有关，或该域名老是在其他歹意主机要求后被要求。安然云网关将该IP地址返回到其封锁页面，而不是歹意域名，从而呵护该企业的收集和数据。

　　情境2：员工试图拜候站点#2，安然云网关延续阐发该站点内容主机的互联网来历—从空间(例如地舆、收集)和时候(例如要求量、共同呈现率)。基于已知数据和算法风险猜想，安然云网关肯定站点#2域名风险很低，便会将IP地址直接连接到该站点的主机。员工在拜候该 站点时，不会碰着任何延迟或干扰。

　　情境3：员工试图拜候站点#3，安然云网关已肯定该站点的内容主机是高风险，并将该IP地址返回到其代办署理办事 器。代办署理办事器供给更深度的查抄，包含查抄互联网来历、域名和IP地址。在这些查抄后，假定内容被觉得是安然的，将会被发送到浏览器，连接员工到该域名。 假定内容是歹意的，安然云网关发还禁止拜候页面，员工被禁止拜候该歹意域名。

　　集成谍报与履行

　　有效的安然性同时需要谍报和履行来抵抗高级威胁和有针对性的报复打击。没有即时履行的谍报将没法禁止歹意软件或抵抗僵尸收集。与此同时，没有猜想性谍报的履行也没法禁止最复杂的报复打击。安然云网关以新的编制整合了谍报和履行。

　　可把持的谍报需要最大年夜的笼盖范围和可视性。安然云网关利用DNS根本举措措施，可以汇集巨量的数据，这足以猜想新兴互联网的互联网来历，即便二进制文件或缝隙操纵是未知的。这些汇集的数据可以或许反应所有设备的利用模型，不管这些设备的位置、所有者类型，不管经由过程甚么端口或和谈。

　　与此同时，履行需要具有最大年夜广度和深度的安然手艺。利用递回DNS，安然云网关可以跨65535个收集端口和无线数量标和谈及利用法度对流量履行安 全政策。为了供给高级威胁呵护，安然云网关重定向高风险web要求到其智能代办署理(Intelligent Proxy)，以履行更深的查抄来检测和禁止隐躲在web会话中的歹意内容。

　　不是利用传统代办署理办事器或内线架构，安然云网关采取了基于云计较的根本举措措施，整合多个安然履行手艺与互联网范围的威胁谍报汇集功能，这使安然云网关可以或许应对不竭改变的报复打击和新呈现的威胁，而不需要牺牲机能和可治理性。