随着网络技术的不断发展,企业对于网络安全的重视程度也越来越高。SD-WAN(Software-Defined Wide Area Network)作为一种新兴的网络技术,通过软件定义的方式实现网络连接,提供了更加灵活和安全的企业网络解决方案。本文将介绍如何利用CPE(Customer Premises Equipment)内置的安全能力来提供安全保证,并探讨如何在不同的网络环境中应用这些安全功能。
一、反病毒(AV)功能
病毒是一种恶意代码,可以感染或附着在应用程序或文件中,通常通过邮件或文件共享等协议传播。为了保护企业网络免受病毒侵害,可以在CPE中内置反病毒功能。反病毒功能依赖于庞大的病毒特征库,通过不断更新来提高检测和防护能力。以下是如何应用反病毒功能的步骤:
1. 部署病毒检测设备:将病毒检测设备部署在企业网络的入口处,确保所有进出网络的流量都经过检测。
2. 应用安全策略:在CPE上配置安全策略,定义允许和禁止的流量规则。
3. 更新病毒特征库:定期通过iMaster NCE或其他管理工具更新病毒特征库,确保系统能够识别最新的病毒威胁。
反病毒功能适用于Site to Internet场景,通过对内网访问Internet的业务进行安全防护,确保网络的安全性。
二、URL过滤功能
URL过滤功能可以控制用户访问的URL,允许或禁止访问特定网站,以规范上网行为。应用场景包括Site to Legacy Site、Site to SD-WAN Site和Site to Internet。以下是实施URL过滤的步骤:
1. 配置安全策略:在CPE上配置安全策略,定义允许和禁止的URL访问规则。
2. 自动化编排:通过iMaster NCE对安全区域和安全策略进行自动编排,确保策略的有效性和一致性。
3. 启用远程过滤查询:通过业务开放编程配置方式开启URL远程过滤查询功能,获取最新的过滤规则。
三、VAS高级安全防护
在集中上网场景下,可以通过旁挂部署物理防火墙(FW)设备,提供基于VAS的高级安全防护功能。VAS功能通过在CPE中创建Egress VRF的方式实现,配置Service VRF中的Egress Port和Egress VRF中的Ingress Port。以下是实施VAS高级安全防护的步骤:
1. 创建Egress VRF:在CPE中创建用于出站流量的Egress VRF。
2. 配置GRE隧道:使用GRE隧道与第三方云安全网关对接,实现安全检测和防护。
3. 策略路由:在CPE上配置策略路由,将访问公有云、Saas的流量引导至GRE隧道中。
4. NQA探测:在CPE上使用NQA探测网络可达性,确保主备隧道的可靠性。
四、第三方云安全防护
通过对接第三方云安全网关(如Zscaler、Forcepoint),将企业访问公有云、Saas的流量发送至第三方云安全网关进行安全检测。这提供了“安全即服务”的解决方案,简化了安全管理并提高了应用访问体验。以下是实施第三方云安全防护的步骤:
1. 对接第三方云安全网关:CPE与Zscaler侧的设备通过GRE隧道建立连接。
2. 策略路由:在CPE上配置策略路由,将需要安全检测的流量引导至GRE隧道。
3. NQA探测:在CPE上使用NQA探测网络可达性,确保主备隧道的可靠性。
通过上述安全功能的部署,企业可以有效地提高网络的安全性,减少潜在的威胁和风险。同时,这些功能也可以根据企业的具体需求进行灵活配置和调整,以确保最佳的安全防护效果。