Magic Firewall 簡介

　　今天，我們很高興地釋出 Magic Firewall™，這款透過 Cloudflare 提供的網路級防火牆能夠保護您的企業安全。Magic Firewall 為您的遠端使用者、分支機構、資料中心和雲基礎結構提供安全保障。最重要的是，它與 Cloudflare One™ 深度整合，讓您在一個一站式檢視中洞悉網路中的所有情況。

　　Cloudflare Magic Transit™ 採用與我們用來保障自有全球網路安全的相同 DDoS 保護技術，為 IP 子網提供保護。這有助於確保您的網路免受攻擊並保持可用，而且還能用 Cloudflare 網路來取代存在限制的物理裝置。

　　不過，企業內部仍然遺留了一些硬體來承擔其職能：防火牆。網路需要的不僅僅是防禦 DDoS 攻擊。管理員需要一種方式，為所有進出網路的流量設定策略。我們希望，Magic Firewall 能幫助您的團隊淘汰那些網路防火牆裝置，並將這些負擔轉移到 Cloudflare 全球網路。

　　防火牆裝置管理令人痛苦

　　網路防火牆一直都笨手笨腳。不僅成本高昂，而且受到自身硬體限制的桎梏。如果需要更多 CPU 或記憶體，您必須添置更多裝置。如果容量不足，整個網路都會受苦，直接影響力圖完成工作的員工。為進行彌補，網路運營和安全團隊不得不購買超出需求的容量，被迫支付多餘的費用。

　　我們從持續遇到容量挑戰的 Magic Transit 客戶那裡聽到了這個問題：

　　“我們不斷地耗盡記憶體，並達到防火牆連線限制。這是一個巨大的問題。”

　　網路運維人員將來自不同供應商的解決方案拼湊在一起，混合和搭配不同的功能，而且還要努力使策略在整個網路中保持同步。結果是煩惱變得更多，成本也更高。

　　解決方案不是新增硬體

　　後來，一些組織轉向更多供應商購買額外的硬體，以管理他們拼湊在一起的防火牆硬體。這樣一來，團隊必須在更多平臺之間平衡硬體的換代、更新和退役管理。這些創可貼式解決方案無法解決根本的問題：如何建立整個網路的單一檢視，以便洞悉正在發生的情況（不論好壞）並在全域性範圍內即時應用策略？

　　傳統防火牆架構

　　Magic Firewall 簡介

　　我們推出的 Magic Firewall 不是創可貼式解決方案，而是一套綜合的網路過濾解決方案。與舊式裝置不同，Magic Firewall 在 Cloudflare 網路中執行。這個網路可以隨時根據客戶需求變化而擴充套件或收縮。

　　在我們的網路中執行還可帶來更多好處。為執行防火牆操作，許多客戶將網路流量回傳到單個阻塞點，從而增加了延遲。Cloudflare 在全球 200 個城市運營資料中心，每個入網點都能提供相同的解決方案。這使得 Cloudflare Magic Firewall 引擎在距離客戶 100 毫秒以內的位置執行，成為區域辦事處和資料中心的依靠。

　　與 Cloudflare One 整合

　　Cloudflare One 包含多種產品，讓您可以將具有一致安全性控制的單個過濾引擎應用於網路的全部，而不是區域性。組織希望對離開網路的流量應用某些型別的控制，同樣的控制也應該應用到離開您的裝置的流量。

　　Magic Firewall 將與您已在使用的 Cloudflare 功能整合。例如，離開網路外部端點的流量透過 Cloudflare WARP客戶端到達 Cloudflare，並在那裡由 Gateway 應用您的團隊為網路級過濾配置的相同規則。分支機構和資料中心可以透過 Magic Transit 使用相同的規則集進行連線。這樣，您便能獲得整個網路的一站式概覽，不必在多個裝置和供應商之間搜尋資訊。

　　如何工作？

　　那麼，什麼是 Magic Firewall？Magic Firewall 是一種透過服務式解決方案替換過時的本地網路防火牆的方法，將您的邊界推向邊緣。我們已透過 Magic Transit 讓您在我們的邊緣應用防火牆規則，但在以前，新增或更改規則的過程會涉及與您的客戶團隊或 Cloudflare 支援人員合作。Magic Firewall 的第一個版本將在幾個月後面向公眾提供，屆時所有的 Magic Transit 客戶都能以 Cloudflare 的規模完全自助地應用靜態 OSI 第 3 層和第 4 層緩解措施。

　　Cloudflare applies firewall policies at every data center Meaning you have firewalls applying policies across the globe

　　Cloudflare 在每個資料中心應用防火牆策略 意味著您擁有在全球範圍內應用策略的防火牆

　　Magic Firewall 的第一個版本將著重於靜態緩解措施，允許您設定一組標準的規則並應用到整個網路，不論是雲端的裝置或應用程式，還是分支機構內的員工裝置。您將能夠基於以下條件表達允許或阻止規則：

　　協議

　　來源或目的地 IP 及埠

　　資料包長度

　　位域匹配

　　規則可以用 Wireshark 語法編寫，這是網路世界中常用的域特定語言，也是我們在其他產品中使用的相同語法。使用這種語法，您可以輕鬆地制定極其強大的規則，精確地允許或拒絕任何流量進出您的網路。如果您懷疑網路邊界內部或外部有不良行為者，只需登入儀表板並阻止其流量便可。幾秒鐘後，便可將規則推送到全球，從而在邊緣阻止威脅。

　　防火牆配置應該簡便，並且功能強大。使用 Magic Firewall 時，您可以透過便捷的 UI 來配置規則，實現複雜的邏輯。或者，只需使用 Wireshark 過濾器語法手動鍵入過濾規則並進行配置。不想操作 UI？您可以透過 API 輕鬆新增規則。

　　下一步是什麼？

　　檢視資料包還不足夠… 即使有了防火牆規則，團隊仍需要了解網路中 實際發生的情況：這些資料流內部發生了什麼？這是合法的流量，還是有惡意行為者在我們網路內部或外部幹壞事？將 Cloudflare 部署到與您的任何資產進行互動的任何兩個行為者之間（不論員工裝置還是對網際網路公開的服務），可以使我們在任何地方執行任何策略，無論流量來自何處或其內部包含什麼。基於流量型別應用策略指日可待，而且我們也計劃在不久之後增加其他功能，以基於資料流內部的情況自動檢測入侵事件。

　　我們為這一新旅程感到興奮。藉助 Cloudflare One，我們正在重塑企業網路的新面貌。我們全面整合了訪問管理、安全功能和效能：同時面向網路的訪問者，以及網路內部的所有人。所有這些都建立在 #BuiltForThis 的網路之上。

　　我們將從現有的 Magic Transit 客戶開始，限量開放 Magic Firewall 的 Beta 版測試。如果您有興趣，請告訴我們（）。