详解改进WAN安全架构的两种选择

    对于改进WAN安全架构，IT专业人士有持续的压力。他们需要支持并提高员工的工作效率，同时抵御不断增加的复杂的威胁，但还不能显著增加成本。

    为什么需要改变你的WAN安全架构？

    有一些趋势迫使企业必须及时对WAN安全架构进行全面调整。首先是员工位置和行为的转变。分公司办公地点的员工更少了，并且随着新的协作工具和移动应用的出现，员工可以更容易地进行远程办公。此外，约有70%的企业在不同程度上使用BYOD采购模式，迫使安全人员不得不从保护和管理企业数据的角度来考虑安全问题，而不是从设备的角度。

    其次，越来越多的企业使用云计算解决方案，大约有四分之一到三分之一的企业在使用基础设施即服务（IaaS）或者平台即服务（PaaS）云解决方案。这使网络流量从内部循环（从用户到企业数据中心）转变为外部传输（从用户到云环境）。因此，很多企业正在使用直连网分支网络来取代其回程分支网络架构。

    结果如何？IT专业人士需要考虑其他方式来提供普遍的基于政策的WAN安全。

    选择一：结合WAN优化和现有安全

    一个潜在的替代方法是结合WAN优化与分支机构的安全。这需要企业重新审视向分支站点提供互联网连接的传统方法。回程分支或者说传统方法需要结合 MPLS服务（确保站点到站点连接的安全）与每个分支的WAN优化控制器。同时，安全在数据中心通过企业级网关来处理，该网关具备防火墙、网络入侵防御、防病毒/防垃圾邮件（AV/AS）、VPN、内容过滤和数据泄露防护（DLP）等功能。

    这种方法的优点是，它向所有站点提供一致的安全性，并且IT仍然牢牢控制着政策变化执行。然而缺点是：成本。IT需要支付分支机构的所有设备和数据中心的安全设备（加上每年的软件维护成本），以及管理和维护这些设备的内部运作成本（劳动力）。最后，企业还需要支付两次互联网和云计算流量的传输和服务成本：一次是通过WAN的回程，还有通过互联网传输的流量。

    解决办法？开始采用直连网的方法。在此架构下，企业将功能整合到一个分支设备中——结合WAN优化功能与传统安全功能（上述）及统一威胁管理（UTM）。它们通过最直接的方法来路由流量到其最终目的地：互联网流量到云计算，数据中心流量通过私有WAN返回。Blue Coat、思科、瞻博网络、Riverbed等供应商都提供这样的设备。

    选择二：WAN优化安全即服务

    但上述方法仍然需要IT专业人士管理企业内部的设备，以及所有相关的头痛问题。更长期的解决方案将是WAN优化和安全作为云服务。虽然很多运营商有单独的WAN优化作为服务和安全服务，但他们目前还未能提供一个综合的解决方案。并且，运营商仍然不愿意让客户在其网络内修改配置，这意味着当转移到这些服务时，IT专业人士失去了一定程度的响应速度和控制。

    但是，集成的WAN安全云服务正在蓬勃发展中。Nemertes研究公司预测，这种云服务将在24个月到36个月内被广泛使用。与此同时，IT专业人士应该考虑使用分支机构的WAN优化和安全服务来确保其架构能够经得起时间的考验。