什么是网络可见性？

传统解决方案可为移动和远程办公提供连接，但几乎无法实现可见性并控制本地部署。将流量路由回公司总部进行审核不是一个实际的解决方案。这样做会阻碍性能，并限制云和移动带来的好处。对于企业而言，基于云的SD-WAN通过在全球范围内，本地和云中实现安全，受监控并由策略强制执行的WAN连接来解决此问题，而又不牺牲性能。

但是究竟是什么使基于云的SD-WAN与众不同？

在回答这个问题之前，让我们了解一下网络可见性，并探索云和移动带来的挑战。

网络可见性是网络内部和整个网络的流量收集和分析。从精细的角度讲，企业可能会努力实现数据包，用户和应用程序级别的可见性。换句话说，网络可见性是企业通常旨在从网络和安全监视工具中获得的目标。

网络可见性为企业带来了很多好处。通过深入的网络可见性，可以通过更严格的策略实施，快速检测恶意行为以及减少影子IT来提高安全性。此外，网络可见性可以改善网络分析和应用程序性能分析。换句话说，这可以实现更好的报告，更明智的决策并改善容量规划。

‍

云和移动带来的网络可见性挑战

企业在网络可见性方面面临的最大挑战之一是解决由云和移动造成的盲点。

企业很容易陷入错误的安全感，因为它们可以查看所有经过MPLS链路的流量。现在的问题是，企业WAN包含MPLS，基于互联网的，移动用户和云服务。在这种情况下，传统的监视工具根本无法提供整个WAN的可见性。

传统上，通过SIEM（安全信息和事件管理）解决方案和网络管理系统，可以在WAN中实现网络可见性，这些解决方案和网络管理系统聚集了来自多个安全和网络监视工具（例如安全设备，防火墙和端点传感器）的数据包流数据。尽管可以在将流量限制在WAN时使这些工具有效地工作，但是当云和移动设备发挥作用时，它们将开始崩溃。

例如，端点传感器通常不能在移动设备上运行。同样，捕获往返于云数据中心的流量的应用程序级可见性也成为一项主要挑战。这是因为每个云平台通常带有自己的一组安全策略和协议，在网络内创建孤岛和盲点。传统的监视工具（例如SNMP（简单网络管理协议）和许多基于代理的解决方案）根本无法在云中运行，这一事实使情况变得更糟。此外，由于它们会掩盖来自网络传感器的数据，因此网络地址转换（NAT）和加密会降低传感器的实用性，并会扼杀数据包检查工作。

传统的网络可见性和数据包检查方法的另一个缺点是，它与特定于物理或虚拟站点的设备绑定在一起，例如下一代防火墙（NGFW），安全Web网关（SWG）和统一威胁管理（UTM）设备。WAN中的每个位置都需要其自己的一组设备，这些设备必须被采购，供应和维护。替代方法是将所有流量回传到WAN上的中央位置以进行检查，这会导致延迟并影响性能。

结果，基于设备的网络可见性和安全性方法扩展性很差。

企业拥有的设备越多，网络就越复杂。设备本身也具有容量限制，这些限制限制了在不升级硬件的情况下可以检查和分析多少流量。

此外，不仅必须配置和部署设备，还必须维护。随着企业的发展，这可能成为具有不同配置，固件修订和策略的应用程序的拼凑而成。结果是有限的网络可见性和站点之间策略偏差造成的潜在安全漏洞。