思科sdwan解决方案

思科认为，"简单、安全、可扩大"的SDWAN方案，更多选择让企业可以根据本身情况在网络和安全中实现最好的平衡，让其信心十足且更快地采取云技术。

软件定义广域网(SDWAN)是传统企业级广域网方案的重要技术更新和迭代方向。传统广域网平台主要用于将分支机构直接连接到数据中心，而没法灵活地处理与多个云平台的同时连接，也不能自动选择最高效且最具本钱效益的路由。

对企业而言，新方案的优势不但在于采取云技术时开发、管理上的便捷，同时，软件定义广域网的边界还要融入更广泛的安全能力，以应对复杂环境带来的风险。

网络产品的出色能力，一直是思科(Cisco)的核心竞争力。连续多年入选Gartner"有线和无线局域网接入基础设施"魔力象限中的领导者就是最好的印证。网络与安全并重是思科近年的发力方向，但产品和方案层面二者却仍一直相对独立。但此次，思科在其软件定义广域网方案中，在产品层面将大量安全能力与软件定义广域网技术进行了深度整合，并将安全作为其网络方案的重要特点提及。

这篇文章将侧重介绍安全为思科SDWAN方案带来的重要优势。

新的广域网边界需要融入更多的安全能力

思科在全国具有超过10万名广域网边界装备企业客户，110余万台路由器正在客户环境中运行。为了进一步完成对SDWAN的技术布局，思科在2017年8月宣布以6.1亿美元现金和相干股权鼓励完成对软件定义广域网公司Viptela的收购，并以有史以来最快的速度完成和Viptela的全面技术整合。

Viptela的优势在于先进的路由和网络分段能力，和良好的可扩大性。同时，多云支持的管理、编排和覆盖技术，让SDWAN的部署和管理更加简单。而和思科Meraki路由(含无线)系列产品结合使用，则能够让思科的SDWAN方案广泛满足客户的部署要求。

对Viptela的成功收购，不但为思科SDWAN方案带来了关键的能力支持，使其顺利进入Gartner2018年"WAN边界基础设施魔力象限"报告的领导者象限，这或思科向以软件为中心、定阅主导的网络模式战略转型的关键一步。

Gartner2018年WAN边界基础设施魔力象限

Gartner在该报告中表示，受企业数字化转型和对众多重要业务线管理需求的驱动，传统的组网网络将经历巨大转变。广域网边界基础设施的更新，软件定义广域网软件/利用及传统路由，是重要的方向。市场的转型，必将将涌入更多领域的提供商。安全，也将会作为重要功能，内嵌到新的广域网边界基础设施中。

思科SDWAN方案，也体现了和Gartner论断一致的对安全的重视。

思科将自家SDWAN方案的特点概括为"简单、安全、可扩大"。其中，"简单"在于方案部署和通过单一界面对网络、安全功能的管理;"可扩大性"在于对云服务/利用的支持;"安全"则更加丰富，包括以要挟情报(TI)团队Talos的数据支持，下一代防火墙，入侵检测和防护，URLs过滤，Umberlla(DNS防护)，和在去年10月以23.5亿美金完成收购的DuoSecurity(多因子身份认证)。

思科将这些作为核心安全能力，通过与WAN装备集成的方式，将其内嵌到全部SDWAN方案中，针对多个要挟场景，提供多组合、可选、全方位的安全防护。

内嵌的安全能力，是思科SDWAN方案的重要优势。

SDWAN场景下的安全隐患

思科全国高级副总裁，企业网络事业部总经理ScottHarrell曾表示，全新云边界的出现正在颠覆客户的网络和安全架构。如今，每款广域网装备都一定要支持软件定义，并具有强大的安全特性。

思科认为，云的引入，软件定义广域网技术的利用，没法避免的引入了更多的风险。从防护的角度，可以将其大致分为下面三个场景：

1、云边界

云边界，即网络、云和安全系统的交叉点。企业在这个要挟场景下，饱受诸多问题困扰。

企业分支机构有大量对云利用/服务上关键资源访问的需求。如果所有流量，即访问和回传流量，都要先转发到企业数据中心进行安全检查、分析和过滤，再对安全流量放行，意味着使用大量昂贵的组网线路。这不但会增加数据中心安全架构的范围和复杂性，效力低下，安全本钱会随着流量增长而快速增加。同时，这还意味着装备和人员在连接云服务时，因安全阻碍而没法享受本应有的便捷体验。这与企业拥抱云的初衷是不一致的。

但是，如果不通过数据中心的安全装备，组织要面临员工访问歹意站点，歹意回传流量所带来的数据泄漏、歹意软件感染等安全隐患。安全是面向未来的投资。如果只是绕过进行直连，即便暂时没有产生安全事件，但这些耽忧也会让企业没法放心使用自己选择的云服务。

2、分支机构的网络接入

专注客户体验的企业常常会偏向于向向客户开放其分支机构WiFi，以便访客访问企业公然的业务、数据和服务。同时，由于企业组织架构在地域散布上的的复杂性，分支机构的员工及其装备，也都需要正确的辨认，并通过不同的网络分段策略，实现有效的权限控制。如何高效且不失安全性的进行身份认证和管理，斟酌体验的同时，及时禁止来自分支机构和互联网的未授权访问，是企业一定要要面对的窘境。

3、广域网内部隐私数据的合规

数据安全的合规性可谓是2018年一个重要热门，特别是GDPR开始正式实行后。具有庞大分支机构的企业，需要留意到广域网内部的敏感信息，在存储和传输进程中，是否是满足了各国各行业不同的合规性要求。不管这些数据的位于分支结构或云利用中，都需要在敏感数据的访问权限控制和安全传输上下足工夫。最大程度保证不会因未授权访问或中间人攻击，避免因数据泄漏带来客户、企业名誉和商业利益的多重损失。

从要挟角度来看，三个场景实际对应着四种安全要挟：

一是通过云边界，来自互联网或云利用的歹意流量;

二是从企业广域网内部对互联网钓鱼站点和歹意C2服务器的通讯;

三是通过分支结构以多种情势试图接入广域网内部时，必要的身份认证与管控;

四是广域网内部流量中敏感数据的合规性保障。

思科在其SDWAN方案内嵌了多种安全能力组合，以针对性的、最大程度为客户下降上述场景中的安全风险。结合Talos团队的重要支持，和与网络功能统一界面的简易管理，实现安全能力的有效、及时和简单。

思科SDWAN方案的五大安全优势

对云端利用的青睐，让企业传统广域网的攻击面正确切被连接、放大。不管要挟是来自云端、互联网或企业广域网内部。本日，各国对信息安全的合规性要求日渐凸显随着，企业级广域网客户对能够与先进SDWAN方案紧耦合的安全能力的需求也是必会紧随其后。

统筹利用体验和安全性是思科软件定义广域网方案的突出特点。通过在分支机构路由器的边沿提供全面的防护，思科在其SDWAN中嵌入的安全能力为其整套方案的带来了下面五个突出优势。

优势1中心化、自动化的安全管理

基于对多种流量协议、传输方式和多种云公司的广泛支持，思科SDWAN方案可以实现快速部署和启动，更简易的管理，这是软件定义广域网技术本身相对传统广域网的重要优势。而这个优势，也延续到了该方案中的安全部份。

思科的SDWAN是网络和安全的"一揽子"方案，WAN装备已集成了包括下一代防火墙、入侵防护、URL过滤、DNS防护、身份管理等多种安全功能。配合要挟情报的底层支持，让安全能力更加自动化。借由与Viptela的技术整合，传统广域网客户只需进行软件升级，通过单一许可证租赁后就能够享受网络和安全的功能，并通过集中式管理的vManage控制器，在单一界面实现网络和安全进行范围化的策略配置。

优势2敏感信息的合规性保障

例如用户和员工个人信息，企业的交易和财务数据，关键利用的开起源码和测试用例等敏感信息，会在广域网内部的各分支机构间流转，更不用说新引入的云端利用。在思科基于意图的网络中，只需在vManage中进行类似"仅在IPsec方案上传输敏感数据"的设定一次，便可自动利用于全部网络。同时，借由WAN路由器中内嵌的防火墙，和可根据安全策略明确划分流量的vSmart控制器，确保只有所需的利用才可以访问到这些关键数据。

优势3零信任的访问控制

不管是访客从分支结构wifi对企业公然利用、数据和服务的访问，或企业员工及其装备广域网的登入，不但需要根据安全策略进行网络分段的支持，所有业务数据流都通过IPsec方案隧道进行安全传输，还需要对其身份和权限进行严格的控制。固然，这不局限于传统广域网的分支结构边界，新引入云边界更是如此。

思科在其SDWAN方案中，集成了去年10月刚刚收购的DuoSecurity。DuoSecurity是致力于云交付的统一访问安全和多因子身份认证的公司。通过验证身份和装备运行状态，DuoSecurity可以帮助思科广域网客户实现任意装备任意云利用的安全接入。并借此，简化思科SDWAN方案中的云安全策略，扩大对端点装备的可见性。

固然，身份认证和访问控制这道门坎仅能帮助排除未授权访问。访客或员工的Web访问如果回传了歹意流量，或要通过更体系化的高级安全能力进行防控。

优势4统筹利用体验的安全Web/云利用访问

传统广域网的解决思路，应对云边界带来的安全问题时，在安全性、本钱和利用体验间是一定要进行取舍的。但是，思科通过在其SDWAN方案中实现了其核心安全框架与WAN装备的良好集成，以实现不影响云利用和互联网访问体验质量的条件下，最大程度规避歹意攻击和数据泄漏的风险。

首先是思科下一代防火墙，入侵检测和防护。这两款受Gartner认可的思科拳头安全产品，两者同时进入了2018年Gartner魔力象限报告的领导者象限(以下图)。安全牛之前还有专门文章对思科的下一代防火墙进行介绍。

Talos团队从要挟视角所提供的近乎实时的重要数据支持，策略的编排，极短时间窗、有效的要挟检测和响应(CTR)，和自动化的处置(阻断)，是这两款产品的核心优势。

结合URLs过滤，和思科Umbrella从DNS和IP层面提供入侵检测能力，思科在其WAN装备中内嵌的安全能力组合，对如钓渔网站、歹意C&C服务器的连接，DDoS攻击等，可以进行有效的检测和防御。即便这些攻击是利用云利用使用的互联网连接和开放API作为媒介。

更加重要的是，这类嵌入式的安全能力，让广域网客户不用再刻意将流量先转发的数据中心，而是以近乎直连的方式，在WAN边界路由进行安全检测，统筹体验的同时，还极大程度节省了用户的安全本钱。

优势5多种方案可选

企业对云利用的青睐，不但是更加灵活，本钱也是企业重要的斟酌因素。安全也是如此，需要适度的防护。思科在方案的营销层面，也通过量种组合的情势，让企业可根据本身需求，对SDWAN和安全的能力进行选择。

思科在SDWAN方案中附带了DNAEssentials许可，其中就包括整合Viptela技术的强大SDWAN能力，和上文提及的除去Umbrella和DuoSecurity的全部安全能力。而SDWAN能力稍显弱势的Meraki版本，则提供了企业级和进阶安全级两个版本可供选择。

不难看出，思科正试图通过在Viptela和Meraki的基础上主动扩大SDWAN产品组合的方式，进一步夯实用户在SDWAN利用中的可选服务。

“不管是思科，或来自Gartner行业视察判断，安全能力对SDWAN解决方案整体能力无疑是相当重要的。这直接地体现了思科多年在安全的积累能给网络反馈的重大价值。新网络技术的利用，让安全可以更早、更深度地参与，并向未来业务发展提供有力支持。从思科对Viptela、DuoSecurity的大手笔收购和快速整合，和在SDWAN方案中倾注的安全实力中可以看到，思科正在试图为客户搭建一座通往全新业务领域的桥梁。这座桥不但要推动客户更快的释放云计算的强大潜力，同时也要以明显下降安全风险为其重要的条件。网络和安全更抓紧密结合的未来已至。