思科sdwan解决方案

思科认为，"简单、安全、可扩展" 的 SD-WAN 方案，更多的选择使企业能够根据自己的情况实现网络和安全的最佳平衡，使其充满信心，更快地采用云技术。

广域网的软件定义(SD-WAN)是传统企业级广域网方案的重要技术更新和迭代方向。传统广域网平台主要用于将分支机构直接连接到数据中心，而无法灵活地处理与多个云平台的同时连接，也不能自动选择最高效且最具成本效益的路由。

对于企业来说，新方案的优势不仅在于云技术的方便开发和管理，还在于软件定义广域网的边界，以应对复杂环境带来的风险。

优秀的网络产品能力一直是思科(Cisco)核心竞争力。连续多年入选 Gartner "接入基础设施的有线和无线局域网" 魔法象限中的领导者是最好的证明。网络和安全并重是思科近年来的发展方向，但产品和解决方案仍然相对独立。然而，这一次，思科将大量的安全能力与产品层面的软件定义广域网技术进行了深度整合，并将安全作为其网络解决方案的重要特征。

本文将重点介绍思科 的安全性SD-WAN 方案的重要优势。

新的广域网边界需要更多的安全能力

思科在全国拥有10万多家广域网边界设备企业客户，110万多台路由器在客户环境中运行。为了进一步完成对 SD-WAN 2017年8月，思科宣布以 为技术布局6.1 软件定义广域网公司 1亿美元现金及相关股权激励Viptela 收购，并以历史上最快的速度完成Viptela 综合技术整合。

Viptela 的优点是路由和网络分段能力先进，可扩展性好。同时，多云支持的管理、安排和覆盖技术使 SD-WAN 的部署和管理更简单。和思科 Meraki 路由(含无线)系列产品结合使用，可使思科 SD-WAN 方案广泛满足客户的部署要求。

对 Viptela 的成功收购不仅仅是思科 SD-WAN 方案为其顺利进入带来了关键的能力支持Gartner 2018 年 "WAN魔法象限的边界基础设施" 报告的领导者象限思科向以软件为中心、订阅为主导的网络模式战略转型的关键一步。

Gartner 2018 年 WAN 边界基础设施魔法象限

Gartner 在报告中表示，在企业数字化转型和许多重要业务线管理需求的推动下，传统的网络 网络将经历巨大的变化。广域网边界基础设施的更新、定义广域网软件/应用程序和传统路由的重要方向。市场转型必将涌入更多领域的供应商。安全也将作为嵌入新广域网边界基础设施的重要功能。

思科 SD-WAN 方案，也体现了和 Gartner 论断一致，重视安全。

思考会自己家 SD-WAN 方案的特点是"简单、安全、可扩展"。其中，"简单" 通过单一界面部署方案，管理网络和安全功能；"可扩展性" 支持云服务/应用；"安全" 更丰富，包括威胁情报(TI)团队 Talos 数据支持，下一代防火墙，入侵检测和保护，URLs 过滤，Umberlla(DNS保护)，去年 10个月以 23.5 以1亿美元收购 Duo Security(多因素身份认证)。

以这些为核心安全能力作为核心安全能力WAN 设备集成，嵌入整个 SD-WAN 方案为多个威胁场景提供多组合、可选、全方位的安全防护。

嵌入式安全能力是思科 SD-WAN 方案的重要优势。

SD-WAN 场景下的安全隐患

国家思科高级副总裁，企业网络事业部总经理 Scott Harrell 曾经说过，新云边界的出现正在颠覆客户的网络和安全架构。如今，每个广域网设备都必须支持软件定义，具有很强的安全性。

思科认为，云的引入和广域网技术软件定义的应用不可避免地导致了更多的风险。从保护的角度来看，大致可以分为以下三个场景：

1、云边界

云边界，即网络、云与安全系统的交叉点。在这种威胁场景下，企业面临着许多问题。

企业分支机构对云应用/服务中的关键资源访问有大量的需求。如果所有流量，即访问和返回流量，应首先转发给企业数据中心进行安全检查、分析和过滤，然后释放安全流量，这意味着使用大量昂贵的 网 线。这不仅会增加数据中心安全架构的规模和复杂性，而且效率低下，随着流量的增加，安全成本也会迅速增加。同时，这也意味着设备和人员在连接云服务时，由于安全障碍，无法享受应有的方便体验。这与企业拥抱云的初衷不一致。

然而，如果不通过数据中心的安全设备，组织将面临员工访问恶意网站、恶意返回流量造成的数据泄漏、恶意软件感染等安全风险。安全是未来的投资。如果只是绕过直接连接，即使暂时没有安全事件，这些担忧也会让企业不能放心使用他们选择的云服务。

2、网络接入分支机构

专注于客户体验的企业倾向于向客户开放其分支机构 WiFi，访问公共业务、数据和服务。同时，由于企业组织结构在区域分布中的复杂性，分支机构的员工及其设备也需要正确识别，并通过不同的网络分段策略实现有效的权限控制。如何有效、安全地进行身份认证和管理，考虑经验，及时防止分支机构和互联网的未经授权访问，是企业必须面临的困难。

3、广域网内隐私数据的合规性

2018 年，数据安全的合规性是一个重要的热点，尤其是 GDPR 开始正式实施后。拥有庞大分支机构的企业需要注意广域网内的敏感信息，以及在存储和传输过程中是否满足不同行业的不同合规要求。无论这些数据位于分支结构还是云应用程序中，都需要努力控制敏感数据的访问权限和安全传输。最大限度地确保客户、企业声誉和商业利益不会因未经授权的访问或中间人攻击而造成多重损失。

从威胁的角度来看，三个场景实际上对应着四种安全威胁：

一是来自互联网或云应用的恶意流量；

二是从企业广域网内部对互联网钓鱼网站和恶意C2服务器通信；

三是试图通过分支结构以多种形式接入广域网时，必要的身份认证和控制；

四是保证广域网内部流量中敏感数据的合规性。

思科在其 SD-WAN 方案嵌入了多种安全能力组合，为客户降低上述场景的安全风险。结合 Talos 团队的重要支持，以及与网络功能统一界面的简易管理，实现安全能力的有效、及时和简单。

思科 SD-WAN 方案的五大安全优势

对云应用的青睐使企业传统广域网的攻击面正确连接和放大。无论威胁来自云、互联网还是企业广域网。如今，各国对信息安全的合规要求日益突出。随着企业广域网客户的能力和先进性 SD-WAN 方案紧耦合对安全能力的需求也会紧随其后。

考虑到应用体验和安全性，思科软件定义广域网解决方案的突出特点。思科在其 通过在分支机构路由器边缘提供全面保护SD-WAN 嵌入式安全能力为其整个方案带来了以下五个突出优势。

优势1集中自动化安全管理

思科 基于对各种流量协议、传输方式和云服务提供商的广泛支持SD-WAN 方案可以快速部署和启动，更容易管理，这是软件定义广域网技术本身与传统广域网相比的重要优势。这一优势也延续到该方案的安全部分。

思科的 SD-WAN 是网络和安全 "一揽子" 方案，WAN 设备集成了下一代防火墙、入侵防护、URL 过滤、DNS 保护、身份管理等安全功能。配合威胁情报的底层支持，使安全能力更加自动化。以 为由Viptela 技术整合，传统广域网客户只需升级软件，通过单一许可购买即可享受网络和安全功能，并通过集中管理 vManage 控制器在单一界面实现网络和安全的大规模战略配置。

保证敏感信息的合规性

例如，用户和员工的个人信息、企业的交易和财务数据、关键应用程序的开发源代码和测试用例等敏感信息将在广域网内的分支机构之间流通，更不用说新引入的云应用程序了。在思科基于意图的网络中，只有 vManage 中类似 "仅在 IPsec 敏感数据在方案上传输" 设置一次，可自动应用于整个网络。同时，以 为由WAN 路由器内嵌的防火墙，以及可根据安全策略明确划分流量的 vSmart 控制器确保只有所需的应用程序才能访问这些关键数据。

访问控制优势30信任

无论访客从分支结构 wifi 访问企业的公共应用、数据和服务，或企业员工及其设备的广域网，不仅需要根据安全策略支持网络分段，所有业务数据流都通过 IPsec 方案 隧道的安全传输还需要严格控制其身份和权限。当然，这并不局限于传统广域网的分支结构边界，尤其是新引入的云边界。

思科在其 SD-WAN 方案集成了去年 10 月刚收购的 Duo Security。Duo Security 是一家致力于云交付统一访问安全和多因素身份认证的公司。通过验证身份和设备运行状态，Duo Security 可帮助思科广域网客户实现任何设备、任何云应用的安全接入。并简化思科 SD-WAN 方案中的云安全策略扩大了端点设备的可见性。

当然，身份认证和访问控制的门槛只能帮助排除未经授权的访问。访客或员工 Web 如果恶意流量回传，应通过更系统的高级安全能力进行防控。

优点4兼顾应用体验的安全性Web/云应用访问

在解决云边界带来的安全问题时，必须在安全性、成本和应用体验之间选择传统广域网的解决思路。然而，思科在 SD-WAN 其核心安全框架和 已在方案中实现WAN 设备的良好集成，最大限度地避免恶意攻击和数据泄漏的风险，而不影响云应用和互联网访问体验的质量。

一是思科下一代防火墙，入侵检测和保护。这两个是 Gartner 认可的思科拳头安全产品同时进入 2018 年 Gartner 魔法象限报告的领导者象限(如下图所示)。安全牛之前有专门的文章介绍思科的下一代防火墙。

Talos 团队从威胁的角度提供近乎实时的重要数据支持、战略安排、极短的时间窗口、有效的威胁检测和响应(CTR)，而自动化处理(阻断)是这两种产品的核心优势。

结合 URLs 过滤，思科 Umbrella 从 DNS 和 IP思科在 层面提供入侵检测能力WAN 设备中嵌入的安全能力组合，如钓鱼网站和恶意 C&C 服务器的连接，DDoS 攻击等，可以进行有效的检测和防御。即使这些攻击是利用云应用程序连接和打开API 作为媒介。

更重要的是，这种嵌入式安全能力使广域网客户在 中几乎直接连接，而不是故意转发流量的数据中心WAN 边界路由安全检测，既考虑了体验，又大大节省了用户的安全成本。

优点5多种方案可选

企业对云应用的青睐不仅更加灵活，而且成本也是企业的重要考虑因素。安全也是如此，需要适度的保护。思科在计划的营销层面企业可以根据自己的需要，通过多种组合的形式进行正确SD-WAN选择 和安全能力。

思科在 SD-WAN 附在方案中DNA Essentials 许可，包括整合 Viptela 强大的技术 SD-WAN 能力，以及上述去除 Umbrella 和 Duo Security 所有安全能力SD-WAN 能力稍显弱势的 Meraki 版本提供了两个版本：企业级和高级安全级。

不难看出，思科正试图通过 Viptela 和 Meraki 主动扩展 SD-WAN 产品组合，进一步巩固用户 SD-WAN 应用中的可选服务。

   ；无论是思科还是 Gartner 行业观察判断， 安全能力SD-WAN 解决方案的整体能力无疑是至关重要的。这直接反映了思科多年来在安全方面积累的重要价值。新网络技术的应用使安全能够更早、更深入地干预，并为未来的业务发展提供强有力的支持。从思科到 Viptela、Duo Security 以及 SD-WAN 从方案中倾注的安全实力可以看出，思科正试图为客户搭建一座通往新业务领域的桥梁。这座桥不仅要促进客户更快地释放云计算的强大潜力，还要以显著降低安全风险为重要前提。网络与安全更紧密结合的未来已经到来。