現(xiàn)在企業(yè)廣域網(wǎng)(WAN)正逐漸使用寬帶互聯(lián)網(wǎng)作為常規(guī)連接方式，IT組織必須保證采用互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性。本文將介紹適用于保證企業(yè)分支網(wǎng)絡(luò)安全性的互聯(lián)網(wǎng)安全措施。

越來(lái)越多的組織使用互聯(lián)網(wǎng)作為新的企業(yè)WAN。Nemertes研究集團(tuán)發(fā)現(xiàn)，各種行業(yè)和規(guī)模的企業(yè)都越來(lái)越關(guān)注這個(gè)領(lǐng)域。在一些情況中，這意味著互聯(lián)網(wǎng)連接和WAN連接同時(shí)存在——甚至出現(xiàn)了一種“分割線路”，即將MPLS鏈接的一部分作為WAN訪問(wèn)，另一部分則通過(guò)運(yùn)營(yíng)商的云（而非WAN和數(shù)據(jù)中心）連接互聯(lián)網(wǎng)。

在另一些情況中，互聯(lián)網(wǎng)訪問(wèn)可能是唯一的網(wǎng)絡(luò)鏈路。一些分公司只有互聯(lián)網(wǎng)鏈路，他們將互聯(lián)網(wǎng)鏈路作為連接VPN與WAN的唯一方式；另一些分則使用它實(shí)現(xiàn)VPN鏈路和互聯(lián)網(wǎng)訪問(wèn)，從而不需要通過(guò)數(shù)據(jù)中心回送流量；還有一些則只將該鏈路用于寬帶互聯(lián)網(wǎng)訪問(wèn)，他們的用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)公司資源，訪問(wèn)方式與其他互聯(lián)網(wǎng)用戶完全一樣。

假設(shè)互聯(lián)網(wǎng)鏈路不僅僅用于創(chuàng)建VPN連接，那么IT就必須規(guī)劃分公司的安全措施，避免它遭受來(lái)自互聯(lián)網(wǎng)的攻擊。有三種方法可以實(shí)現(xiàn)分公司的互聯(lián)網(wǎng)安全性：使用專用設(shè)備、使用云服務(wù)和使用混合方法。最基本的原則是，只有在安全解決方案通過(guò)測(cè)試和允許部署時(shí)，IT才能夠使用這個(gè)連接訪問(wèn)互聯(lián)網(wǎng)VPN。

通過(guò)設(shè)備保證由互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性

設(shè)備模型的主要優(yōu)點(diǎn)是IT已經(jīng)掌握實(shí)施方法和所有技能，這是很大的優(yōu)勢(shì)。其重要性在于掌握了一種解決問(wèn)題的有效方法。但它的主要缺點(diǎn)是，IT可能不準(zhǔn)備使用路由器集成的安全特性，而是必須在每一個(gè)位置部署一臺(tái)設(shè)備。這樣既增加投入和運(yùn)營(yíng)成本，也增加了分公司基礎(chǔ)架構(gòu)的復(fù)雜性，從而增加了由于錯(cuò)誤配置和設(shè)備故障造成中斷的風(fēng)險(xiǎn)。

建議：如果沒(méi)有策略驅(qū)動(dòng)和高級(jí)自動(dòng)化的集中管理方法，那么IT不應(yīng)該部署基于設(shè)備的解決方案。如果必須逐一管理各個(gè)設(shè)備，那么基于設(shè)備的策略就很難擴(kuò)展到大規(guī)模站點(diǎn)上。要尋找一種能夠解決大范圍安全威脅的解決方案，確定您是否能夠?qū)踩耘c路由、管理或其他功能整合在一起。

通過(guò)云來(lái)保證由互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性

云方法將安全掃描操作轉(zhuǎn)移到其他人的網(wǎng)絡(luò)設(shè)備上，通常是你的連接提供商，但是也可能是第三方公司。例如，在分割線路中，它就是MPLS。

它的優(yōu)點(diǎn)是，由于分公司不需要部署設(shè)備，所以這種策略能夠保證分支網(wǎng)絡(luò)靈活簡(jiǎn)單。啟動(dòng)時(shí)間短（有時(shí)候這些服務(wù)可以按需啟動(dòng)）、移植簡(jiǎn)單和不需要資金投入，都讓解決方案更靈活。

它的缺點(diǎn)是，大多數(shù)IT部門還不熟悉這種安全模型，他們需要掌握特定的專業(yè)知識(shí)，才能真正符合組織的安全要求。此外，IT會(huì)對(duì)安全性的控制更少，實(shí)現(xiàn)的可見(jiàn)性也更少。最后，這種方法經(jīng)常不可實(shí)現(xiàn)：只有一些運(yùn)營(yíng)商和少數(shù)第三方服務(wù)提供商提供了“云防火墻”和基于云的分支網(wǎng)絡(luò)保護(hù)服務(wù)。

建議：IT應(yīng)該考慮云安全性，如果組織的安全策略和風(fēng)險(xiǎn)管理政策允許，要尋找和測(cè)試符合需求的供應(yīng)商。它的優(yōu)勢(shì)之一是按使用付費(fèi)；有時(shí)候甚至可以“購(gòu)買前先試用”。而且，它很容易啟用和關(guān)閉，所以可以試用多個(gè)提供商的服務(wù)。

使用混合解決方案保證由互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性

混合方法組合了設(shè)備和云解決方案的特點(diǎn)。它使用本地設(shè)備提供本地服務(wù)，但是由云提供商負(fù)責(zé)管理和更新，甚至還增加額外一層功能。例如，設(shè)備可以通過(guò)云服務(wù)對(duì)第一次遇到的URL進(jìn)行安全評(píng)估。

它的優(yōu)點(diǎn)是，云管理能夠減少運(yùn)營(yíng)開(kāi)支，而本地設(shè)備能夠提升處理性能，而且也更容易滿足本地安全要求。

它的缺點(diǎn)是，這種模型依賴于云服務(wù)，服務(wù)中斷可能會(huì)暫時(shí)嚴(yán)重影響或破壞他們的設(shè)備。它需要在每個(gè)站點(diǎn)配備設(shè)備，這增加了每個(gè)分支網(wǎng)絡(luò)的設(shè)備數(shù)量。有一些提供商會(huì)完全操作成本——把設(shè)備費(fèi)用包括在服務(wù)價(jià)格中（并非所有提供商都這樣），有時(shí)候IT必須購(gòu)買一些設(shè)備。

建議：如果您的組織允許使用云安全解決方案，那么IT應(yīng)該選擇混合解決方案，作為提高性能的方法（特別是大的分支網(wǎng)絡(luò)）。

大多數(shù)擁有大量分公司的公司都會(huì)變成混合使用WAN與互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)。IT需要評(píng)估直接訪問(wèn)互聯(lián)網(wǎng)的安全方法——設(shè)備、云和混合方法。