Zscaler服务使用称为ZIA Public Service Edge (以前称为Zscaler强制执行节点或ZEN)的功能齐全的嵌入式代理来检查和实施有关传入和传入组织的流量的策略。ZIA公共服务边缘具有单扫描多动作(SSMA)技术。SSMA处理检查,然后在ZIA Public Service Edge的Web和防火墙模块中执行策略。
SSMA允许检查引擎一次扫描所有内容。数据包放置在高度优化的自定义服务器的共享内存中。ZIA公共服务边缘上的所有CPU均可同时访问这些数据包。通过为每个功能配备专用的CPU,所有引擎都可以同时检查相同的数据包。这种方法与物理设备或虚拟设备的链接模型完全不同,后者的每个安全服务独立地处理数据包,从而在每个跃点处增加增量的延迟。由于采用了SSMA技术,Zscaler服务以各种安全引擎为基础,以最小的延迟来应用策略。
SSMA检查过程完成后,ZIA公共服务边缘将执行具有特定优先级的策略。每个ZIA Public Service Edge都有两个用于应用策略的主要模块:一个Web模块和一个防火墙模块。
从高层次看,这是流量如何通过模块流动的方式:
出站Web流量:当ZIA Public Service Edge从您的组织到Internet接收到出站Web流量时,它将流量发送到其Web模块以进行策略评估。如果流量违反了网络策略,则会阻止交易。如果流量没有违反任何Web策略,则会将流量发送到防火墙模块以进行策略评估。在防火墙模块中,如果流量违反了防火墙策略,则会阻止该事务。如果流量没有违反任何防火墙策略,它将允许流量流向Internet。
出站非Web流量:当ZIA Public Service Edge接收到去往80/443以外的端口(或其他HTTP / S端口)的出站非Web流量时,它将流量直接发送到防火墙模块以进行策略评估。如果流量违反防火墙策略,则会阻止该事务。如果流量没有违反任何防火墙策略,它将允许流量流向Internet。
入站Web流量:当ZIA公共服务边缘响应HTTP GET / POST请求从互联网接收入站Web流量(端口80/443的HTTP / HTTPS流量)时,会将其发送到其Web模块以进行策略评估。如果流量违反了网络策略,则会阻止交易。如果流量没有违反任何Web策略,它将允许流量进入您的组织。
