今天，我們很高興地發布 Magic Firewall™，這款通過 Cloudflare 提供的網絡級防火墻能夠保護您的企業安全。Magic Firewall 為您的遠程用戶、分支機構、數據中心和云基礎結構提供安全保障。最重要的是，它與 Cloudflare One™ 深度集成，讓您在一個一站式視圖中洞悉網絡中的所有情況。

　　Cloudflare Magic Transit™ 采用與我們用來保障自有全球網絡安全的相同 DDoS 保護技術，為 IP 子網提供保護。這有助于確保您的網絡免受攻擊并保持可用，而且還能用 Cloudflare 網絡來取代存在限制的物理設備。

　　不過，企業內部仍然遺留了一些硬件來承擔其職能：防火墻。網絡需要的不僅僅是防御 DDoS 攻擊。管理員需要一種方式，為所有進出網絡的流量設置策略。我們希望，Magic Firewall 能幫助您的團隊淘汰那些網絡防火墻設備，并將這些負擔轉移到 Cloudflare 全球網絡。

　　防火墻設備管理令人痛苦

　　網絡防火墻一直都笨手笨腳。不僅成本高昂，而且受到自身硬件限制的桎梏。如果需要更多 CPU 或內存，您必須添置更多設備。如果容量不足，整個網絡都會受苦，直接影響力圖完成工作的員工。為進行彌補，網絡運營和安全團隊不得不購買超出需求的容量，被迫支付多余的費用。

　　我們從持續遇到容量挑戰的 Magic Transit 客戶那里聽到了這個問題：

　　“我們不斷地耗盡內存，并達到防火墻連接限制。這是一個巨大的問題�！�

　　網絡運維人員將來自不同供應商的解決方案拼湊在一起，混合和搭配不同的功能，而且還要努力使策略在整個網絡中保持同步。結果是煩惱變得更多，成本也更高。

　　解決方案不是添加硬件

　　后來，一些組織轉向更多供應商購買額外的硬件，以管理他們拼湊在一起的防火墻硬件。這樣一來，團隊必須在更多平臺之間平衡硬件的換代、更新和退役管理。這些創可貼式解決方案無法解決根本的問題：如何創建整個網絡的單一視圖，以便洞悉正在發生的情況（不論好壞）并在全局范圍內即時應用策略？

　　傳統防火墻架構

　　Magic Firewall 簡介

　　我們推出的 Magic Firewall 不是創可貼式解決方案，而是一套綜合的網絡過濾解決方案。與舊式設備不同，Magic Firewall 在 Cloudflare 網絡中運行。這個網絡可以隨時根據客戶需求變化而擴展或收縮。

　　在我們的網絡中運行還可帶來更多好處。為執行防火墻操作，許多客戶將網絡流量回傳到單個阻塞點，從而增加了延遲。Cloudflare 在全球 200 個城市運營數據中心，每個入網點都能提供相同的解決方案。這使得 Cloudflare Magic Firewall 引擎在距離客戶 100 毫秒以內的位置運行，成為區域辦事處和數據中心的依靠。

　　與 Cloudflare One 集成

　　Cloudflare One 包含多種產品，讓您可以將具有一致安全性控制的單個過濾引擎應用于網絡的全部，而不是局部。組織希望對離開網絡的流量應用某些類型的控制，同樣的控制也應該應用到離開您的設備的流量。

　　Magic Firewall 將與您已在使用的 Cloudflare 功能集成。例如，離開網絡外部端點的流量通過 Cloudflare WARP客戶端到達 Cloudflare，并在那里由 Gateway 應用您的團隊為網絡級過濾配置的相同規則。分支機構和數據中心可以通過 Magic Transit 使用相同的規則集進行連接。這樣，您便能獲得整個網絡的一站式概覽，不必在多個設備和供應商之間搜尋信息。

　　如何工作？

　　那么，什么是 Magic Firewall？Magic Firewall 是一種通過服務式解決方案替換過時的本地網絡防火墻的方法，將您的邊界推向邊緣。我們已通過 Magic Transit 讓您在我們的邊緣應用防火墻規則，但在以前，添加或更改規則的過程會涉及與您的客戶團隊或 Cloudflare 支持人員合作。Magic Firewall 的第一個版本將在幾個月后面向公眾提供，屆時所有的 Magic Transit 客戶都能以 Cloudflare 的規模完全自助地應用靜態 OSI 第 3 層和第 4 層緩解措施。

　　Cloudflare applies firewall policies at every data center Meaning you have firewalls applying policies across the globe

　　Cloudflare 在每個數據中心應用防火墻策略 意味著您擁有在全球范圍內應用策略的防火墻

　　Magic Firewall 的第一個版本將著重于靜態緩解措施，允許您設置一組標準的規則并應用到整個網絡，不論是云端的設備或應用程序，還是分支機構內的員工設備。您將能夠基于以下條件表達允許或阻止規則：

　　協議

　　來源或目的地 IP 及端口

　　數據包長度

　　位域匹配

　　規則可以用 Wireshark 語法編寫，這是網絡世界中常用的域特定語言，也是我們在其他產品中使用的相同語法。使用這種語法，您可以輕松地制定極其強大的規則，精確地允許或拒絕任何流量進出您的網絡。如果您懷疑網絡邊界內部或外部有不良行為者，只需登錄儀表板并阻止其流量便可。幾秒鐘后，便可將規則推送到全球，從而在邊緣阻止威脅。

　　防火墻配置應該簡便，并且功能強大。使用 Magic Firewall 時，您可以通過便捷的 UI 來配置規則，實現復雜的邏輯�；蛘�，只需使用 Wireshark 過濾器語法手動鍵入過濾規則并進行配置。不想操作 UI？您可以通過 API 輕松添加規則。

　　下一步是什么？

　　查看數據包還不足夠… 即使有了防火墻規則，團隊仍需要了解網絡中 實際發生的情況：這些數據流內部發生了什么？這是合法的流量，還是有惡意行為者在我們網絡內部或外部干壞事？將 Cloudflare 部署到與您的任何資產進行交互的任何兩個行為者之間（不論員工設備還是對互聯網公開的服務），可以使我們在任何地方執行任何策略，無論流量來自何處或其內部包含什么�；�于流量類型應用策略指日可待，而且我們也計劃在不久之后增加其他功能，以基于數據流內部的情況自動檢測入侵事件。

　　我們為這一新旅程感到興奮。借助 Cloudflare One，我們正在重塑企業網絡的新面貌。我們全面集成了訪問管理、安全功能和性能：同時面向網絡的訪問者，以及網絡內部的所有人。所有這些都建立在 #BuiltForThis 的網絡之上。

　　我們將從現有的 Magic Transit 客戶開始，限量開放 Magic Firewall 的 Beta 版測試。如果您有興趣，請告訴我們（www.cloudflare.com）。