构建安全服务和防火墙以保证SD-WAN更具安全性

2020-04-30 17:09:58 云杰 125

构建安全服务和防火墙以保证SD-WAN更具安全性


为了解决SD-WAN固有的安全性问题,您需要确定如何分割WAN上的流量并保护它的安全。网络层分段也是为了更好的进行划分以保证其运作

随着时间的流逝,供应商将在其SD-WAN解决方案中构建安全服务和防火墙,从而使他们的解决方案更具吸引力和安全性。

 

防火墙/网络分段

如今,许多WAN允许进行网络分段。这很重要,但是没有提供足够的粒度。为了解决此问题,某些提供程序将允许您细分到端点。本质上,这种粒度就是您在防火墙和VLAN上看到的粒度。SD-WAN供应商将安全元素和防火墙集成到他们的解决方案中,并声称可以创建单一安全性涵盖WANLAN的策略。通常,应用程序分类是五元组(源和目标地址,源和目标端口号以及三层协议类型)或六元组(五元组加上DSCPToS值)。这些都不提供在应用程序层识别服务和用户所必需的粒度。实际上,SD-WAN供应商经常难以提供完成此操作所需的详细级别。

 

 SD-WANWAN防火墙供应商

WAN防火墙检查跨服务的私有骨干网传输的所有流量,并允许为移动用户和办公室用户应用相同的安全策略。此外还提供网络功能虚拟化(NFV)功能,允许在SD-WAN解决方案中部署符合NFV的防火墙。

 

攻击者如何到达您的WAN

对于许多SD-WAN供应商而言,安全集成意味着检查传出和传入的互联网流量以确保安全。但是,检查绑定到InternetHTTP流量不能解决危险的站点到站点流量的问题,这需要它自己的保护和检查。大多数客户已经在使用下一代防火墙,安全Web网关,防火墙和其他从Internet分割网络的安全设备。在内部,ACLVLAN将一个资源与另一个资源进行分段大多数客户都不必担心对实际的WAN本身进行分段。

L3 WAN体系结构是细分的挑战。尽管IP路由几乎可以完成任何事情,但在MPLS环境中分段IP却异常复杂,并且需要VRFMPLS / LDP MP BGP  方面的专业知识,而不仅仅是IP路由方面的专业知识。

WAN分段非常重要,因为它可以防止影响一个办公室的攻击在整个企业中传播。由于大多数安全威胁都来自企业内部,因此对于那些需要最佳安全性的组织而言,WAN分段已变得不可或缺。SD-WAN提供基于控制器的网络并简化WAN分段。

通常,SD-WAN解决方案允许用户为基础网络定义策略,然后在节点之间分发策略。在定义每个策略时,用户将包括寻址,网络配置,应用程序特征等。这个基于策略的系统通常通过IPsec创建多点隧道,这些隧道链接每个策略中定义的办公室。在每个网段中,流量仅限于该网段内关联的目的地和来源。公司通常根据用例将其WAN分为5-7个应用程序组。例如,这些应用程序可以包括访客Wi-Fi,关键任务应用程序,文件传输,实时应用程序以及其他所有内容。