思科的新产品Umbrella在企业网络防御方面占据领先地位。

思科认定，不该把Web网关放在网络边界这个地方，于是它将一款产品放到了云端。

这家交换机巨头顺应将产品分解成软件这个不可避免的潮流，它在大力推销其新的“Umbrella”产品时，对硬件网关嗤之以鼻，认为这种设备不够有效、不够安全。

作为一款基于云的安全互联网网关（SIG），Umbrella“可以阻止基于所有端口和协议的当前和新出现的威胁，获得最全面的保护。它在连接建立或文件下载文件之前，就可以阻止用户访问恶意的域名、URL、IP地址和文件。”

用思科的话来说，这让Umbrella与众不同，因为典型的边界Web检查代理系统（据该公司的注册即可下载的白皮书声称）“只能检查基于端口80和443的来自Web的威胁”，却无法发现诸如恶意软件指挥与控制回调之类的威胁。

Umbrella实际上是思科的Web应用程序层保护软件与它在2015年收购的OpenDNS技术集成起来的产品。

这家公司指出，部署在企业网关的产品无力应对另外两个问题：许多公司不再让它们的分支机构“舍近求远”从总部接入互联网；远程工作的人员可能并不使用VPN连接到总部来接入互联网。

针对这两种使用场合，思科认为将网关放在云端才是解决之道。Umbrella分散了用户所需的安全服务，而不是用户面临将所有流量通过总部来传输带来的性能开销。

以下是思科为Umbrella提供的众多功能特性：

• 无论有没有连接到企业网络，都能确保可见性和强制执行，即便用户没有使用VPN，没有将所有流量回程传输到企业网络；

• 提供保护，可以防范基于所有端口和协议的威胁；

• 借助反病毒引擎和行为沙盒机制，基于代理系统检查Web流量、检查文件；

• 来自全球互联网活动的实时威胁情报可实时分析，安全更新版在短短几分钟内即可部署到各个地方；

• 拥有双向API的开放式平台与你现有的安全堆栈集成起来；以及

• 发现和控制SaaS应用程序。

SaaS发现功能是通过与思科的CloudLock平台集成起来而提供的。

为了让用户可以轻松地部署，Umbrella使用了任播（Anycast）路由技术：“每个数据中心宣布相同的IP地址，那样请求可以透明地发送到速度最快的那个，并拥有故障自动切换机制，保持100%的正常运行时间。

更不用说这点了：通过DNS寻址，引导用户经由安全系统比要求用户记得在连接之前点击VPN应用程序要容易得多。

当然了，如果软件在云端运行，芯片级产品问题解决起来容易多了，不过那是另一个话题了。