網絡攻擊與互聯網采用了相同的方式，利用域名系統(DNS)來分布惡意軟件、控制僵尸網絡和收集登錄信息。隨著云計算服務、BYOD和遠程辦公的增加，攻擊面已經超越了傳統的企業網絡邊界。

這種設備和網絡的多樣性創造了一個環境，企業必須容納在任何地方漫游的任何設備。然而，現在的安全平臺無法應對這樣的情況。這催生了新的網絡安全平臺：安全云網關(Secure Cloud Gateway，SCG)，安全云網關利用基于DNS的基礎來提供更廣泛的安全性、提高覆蓋范圍和更深層次的可視性。

合法的網頁瀏覽只會發生在兩個協議(端口)對：HTTP(80)和HTTPS(443)。而惡意軟件偶爾會通過非標準端口來感染設備，僵尸網絡通常使用非web協議來攻擊網絡和竊取數據。安全云網關利用DNS來保護所有端口、協議和應用程序。

現在，威脅是有針對性的，但攻擊目標無處不在。個人設備越來越多地連接到企業網絡，而員工經常將包含敏感數據的企業設備帶到安全邊界之外。通過利用DNS，安全云網關可以為設備提供安全保障，無論這些設備在什么位置。

網絡威脅的外觀和行為變化無常，不過，他們通常是源自限定數量的互聯網主機，有些網絡攻擊還通常共用相同的犯罪基礎設施。為了獲取準確的安全情報，安全云網關使用DNS基礎設施和Anycast路由技術來跨互聯網映射每個連接請求。

雖然絕大多數web域名可以被歸為安全或者惡意，但有些互聯網主機很難分類。這是因為它們同時包含安全和惡意web內容，或者它們的互聯網來源很可 疑。然而，對每個web連接進行深度檢查會顯著降低性能。此外，重定向每個web連接會降低可管理性。安全云網關可以識別高風險或可疑域名，并利用DNS重定向來路由它們進行更深度檢查。

與安全Web網關(SWG)設備或者通過代理發送web連接的服務不同，安全云網關只會路由可疑web連接進行深度檢查。這種概念被稱為智能代理，下面是它的工作原理。

情境1：一名員工試圖訪問站點#1，安全云網關已經確定該站點是惡意的，根據對該主機的風險評分。也許這個域名與已知用于犯罪攻擊的基礎設施有關，或者該域名總是在其他惡意主機請求后被請求。安全云網關將該IP地址返回到其封鎖頁面，而不是惡意域名，從而保護該企業的網絡和數據。

情境2：員工試圖訪問站點#2，安全云網關持續分析該站點內容主機的互聯網來源—從空間(例如地理、網絡)和時間(例如請求量、共同出現率)。基于已知數據和算法風險預測，安全云網關確定站點#2域名風險很低，便會將IP地址直接連接到該站點的主機。員工在訪問該 站點時，不會遇到任何延遲或者干擾。

情境3：員工試圖訪問站點#3，安全云網關已經確定該站點的內容主機是高風險，并將該IP地址返回到其代理服務 器。代理服務器提供更深度的檢查，包括檢查互聯網來源、域名和IP地址。在這些檢查后，如果內容被認為是安全的，將會被發送到瀏覽器，連接員工到該域名。 如果內容是惡意的，安全云網關發回阻止訪問頁面，員工被阻止訪問該惡意域名。

集成情報與執行

有效的安全性同時需要情報和執行來抵御高級威脅和有針對性的攻擊。沒有即時執行的情報將無法阻止惡意軟件或抵御僵尸網絡。與此同時，沒有預測性情報的執行也無法阻止最復雜的攻擊。安全云網關以新的方式整合了情報和執行。

可操作的情報需要最大的覆蓋范圍和可視性。安全云網關使用DNS基礎設施，可以收集巨量的數據，這足以預測新興互聯網的互聯網來源，即使二進制文件或者漏洞利用是未知的。這些收集的數據能夠反映所有設備的使用模型，無論這些設備的位置、所有者類型，無論通過什么端口或協議。

與此同時，執行需要具有最大廣度和深度的安全技術。使用遞歸DNS，安全云網關可以跨65535個網絡端口和無線數量的協議及應用程序對流量執行安 全政策。為了提供高級威脅保護，安全云網關重定向高風險web請求到其智能代理(Intelligent Proxy)，以執行更深的檢查來檢測和阻止隱藏在web會話中的惡意內容。

不是使用傳統代理服務器或者內線架構，安全云網關采用了基于云計算的基礎設施，整合多個安全執行技術與互聯網規模的威脅情報收集功能，這使安全云網關能夠應對不斷變化的攻擊和新出現的威脅，而不需要犧牲性能和可管理性。