从Facebook和谷歌“安全门”说起:SD-WAN的“奶酪”与“陷阱”
|
几乎所有SD-WAN厂商现在都把基本防火墙功能作为标准产品的一个特色。他们使用数据包识别来了解流量,例如,通过识别流量源头或去向来服务判断是否是可信任或是基于云的服务。此外,,SD-WAN厂商提供的产品还包括内容过滤、端点识别和管理以及策略执行等功能,他们的产品可以分为以下四种类型。 1. 具有基本防火墙功能的SD-WAN设备 许多SD-WAN厂商都在其SD-WAN设备中提供了基本的防火墙功能。这些防火墙大致相当于您在分支机构路由器中看到的状态防火墙。功能包括基于策略的过滤和基于端口或IP地址的阻塞应用程序。关于具有基本防火墙功能的SD-WAN的产品,这里列出Cisco(Viptela),Silver Peak,Velocloud。 今年8月Cisco(Viptela)宣布已经能够将Viptela SD-WAN软件集成到IOS XE中。思科正试图通过将防火墙,入侵防御和URL过滤集成到Viptela来加强其SD-WAN安全性。安全可扩展网络(SEN)是Viptela的SD-WAN解决方案,它包含五个关键的架构元素实现传输独立性、自动保护任何路由的端点、提供端到端网络分段、使用集中控制器实施策略、启用网络服务广告,SEN可提供安全的端到端网络虚拟化,并被企业用于构建大规模网络,并完全集成了路由,安全性,集中策略和编排。
今年6月Silver Peak的Unity EdgeConnect推出了分段和安全服务链SD-WAN解决方案。这些新功能使分布式企业能够将用户、应用程序和WAN服务集中划分为安全区域,并根据预定义的安全策略、法规要求和业务意图,自动化跨LAN和WAN的应用程序流量控制。对于拥有多厂商安全架构的企业,EdgeConnect现在可以提供无缝拖放服务链接到下一代安全基础架构和服务。 VeloCloud的VMware NSX SD-WAN具有独特灵活的架构,通过数据中心保护云目标流量,可用于托管安全设施、VPN终端,也可以用于插入其他服务,包括防火墙和云端 - 基于安全性(例如Zscaler)。NSX SD-WAN Edge支持的VNF功能还允许在分支中插入安全服务。
2. 具有高级防火墙的SD-WAN设备 基本状态防火墙可能足以作为第1阶段连接,用于连接到特定的SaaS IP,但不适用于更广泛的Internet访问。为此,一些厂商在其SD-WAN设备中添加了NGFW功能。 Open Systems在SD-WAN术语创建之前就开始提供与SD-WAN相关的服务,他们的解决方案提供安全即服务,他们的全托管服务在其边缘设备上提供了完整的安全栈和云管理。Open Systems声称将其第三方服务重新打包,作为托管安全SD-WAN设备的一部分。它的任务是控制网络安全服务,包括分布式企业级防火墙; CASB、端点检测和响应、网络安全监控; 分布式网络入侵防御和WiFi安全。 Versa Networks的SD-WAN增强了对分支机构的保护,其SD-WAN安全解决方案提供了基于软件的安全功能,包括状态和下一代防火墙、恶意软件防护、URL和内容过滤、IPS和防病毒、DDoS和VPN/下一代VPN。Versa Networks声称其SD-Branch解决方案提供了一套完整的集成网络(路由、SD-WAN、以太网、Wi-Fi)和安全(NG防火墙、安全Web网关、AV、IPS)功能。虚拟客户端设备(vCPE)也可以运行第三方VNF。
3. 具有SD-WAN功能的防火墙设备 与此同时,一些安全厂商已经宣布为其NGFW设备提供SD-WAN功能。根据Gartner的报告,这些厂商包括Barracuda,Fortinet和Cisco Meraki。 Barracuda CloudGen防火墙为每个分支机构提供可扩展的集中管理,本地安全实施以及高级上行链路智能和QoS的独特组合。这样可以通过直接的VPN隧道实现直接的互联网突破,从而实现每个分支机构的云部署和应用程序。Barracuda CloudGen防火墙包含WAN压缩和重复数据删除、故障转移和链接平衡、动态带宽和延迟检测、跨VPN隧道的多个传输的自适应会话平衡、自适应带宽预留等功能。
Fortinet是一家提供原生SD-WAN和集成高级威胁防护的NGFW厂商。Fortinet SD-WAN内置高级SD-WAN功能,并集成在FortiGate下一代防火墙中,通过使用URL过滤、IPS、防病毒和沙盒检测恶意软件攻击,使分支机构能够检测恶意软件的SSL流量。FortiGate SD-WAN采用单一的应用感知解决方案取代了单独的WAN路由器、WAN优化和安全设备,提供自动WAN路径控制和多宽带支持。它可以提高应用程序性能,降低WAN运营成本并最大限度地降低管理复杂性。
Cisco Meraki MX是一款企业安全和SD-WAN设备,专为需要远程管理的分布式部署而设计,该设备配备了SD-WAN功能,使管理员能够最大限度地提高网络弹性和带宽效率。该设备提供了内容过滤和威胁防护、防火墙和流量整形、NAT和端口转发、使用站点到站点VPN在Cisco Meraki设备和其他非Meraki端点之间创建安全加密隧道、组策略和黑名单等安全功能。 使用支持SD-WAN的防火墙设备,安全性远远优于SD-WAN设备中包含的基本防火墙。但是,组织仍受限于设备的限制。更重要的是,虽然许多这些设备在纸面上显得很好,但它们缺乏经验丰富的SD-WAN产品的成熟度。 4. 安全SD-WAN即服务 (编辑:济源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
