自从Internet 诞生之初，Web代理已成为安全堆栈的重要组成部分。一方面，代理提供了更多的性能优势和更可靠的安全性，并针对所有类型流量进行风险分析，另一方面，代理提供的分析要比独立防火墙提供的更加具体深刻。Web代理的优点是能够完全打开和检查流量，而且在做这些操作的时候，对用户的影响为零。

代理与防火墙有何不同?

让我们用一个简单的类比来说明防火墙和代理之间的区别。假设您的公司收到一个包裹。邮递员首先会读取标签，然后再进一步寻找更多相关信息。因此，邮递员可以将包裹放入X射线机检查其内容。一般来说，使用X射线机检查就够了，但并非100%可靠。要真正找出包装内的物品，必须有人打开包装并检查其中的物品。从这个意义上讲，防火墙类似于X射线机。它可以工作到一定程度，但是有局限性。我们可以继续类比，网络代理类似于实际打开包裹的店员。代理可以详细查看流量数据包的内容，包括有效负载。当然，代理是以比人类更快的速度打开包裹，检查内容并重新包装流量数据包。一些防火墙解决方案提供商试图用显式的代理和PAC文件配置来混淆代理体系结构的基本原理。然而真实的代理提供了多种方法来将流量驱动到代理安全服务，这些方法超越了传统的路由，它还提供了一个更深入、更可扩展的解决方案来保护和引导流量。实际上，整个互联网都是建立在代理技术之上的，像Netflix这样的流媒体公司使用CDN技术时，地理位置分散的服务器组开始协同工作，向Netflix客户快速交付互联网内容。使用应用交付控制器(ADC)的企业，该交付控制器位于防火墙和应用程序服务器之间的数据中心，以提高应用程序性能并在服务器之间执行负载平衡。安全的Web网关(SWG)，它可以提供大规模的保护并监视用户对互联网的访问。防火墙技术有其局限性

代理流量涵盖HTTP，HTTPS和FTP，它们构成了绝大多数的互联网流量。当今的下一代防火墙通常具有多个内置的安全服务(包括数据丢失防护)，旨在防止威胁进入您的组织以及防止敏感数据泄露。但即使是下一代防火墙，也缺乏检查所有HTTPS(加密)流量的处理能力。这已经成为我们面临的一个主要问题，如何保护无法检查的内容?

Web代理和SASE

Web代理的构建是为了大规模地检查加密的流量，并可靠地应用所有安全和风险控制。代理将流量导向到代理安全服务中，使企业可以使用其他方法将流量定向到Internet。因此，它们提供了一个高度可扩展、高度安全的解决方案，用于在不会影响性能的情况下保护和引导流量。

基于安全访问服务边缘(SASE)模型的SWG可以提供这些功能。特别是，作为服务交付的多租户SASE解决方案，既具有成本效益，又具有可扩展性，无需担心随着需求的变化而更新或扩展基础架构。Gartner认为SWG不仅是SASE的重要组成部分，而且它是构建SASE平台的基础技术架构。