現(xiàn)在企業(yè)廣域網(wǎng)(WAN)正逐漸使用寬帶互聯(lián)網(wǎng)作為常規(guī)連接方式，IT組織必須保證采用互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性。本文將介紹適用于保證企業(yè)分支網(wǎng)絡(luò)安全性的互聯(lián)網(wǎng)安全措施。

越來越多的組織使用互聯(lián)網(wǎng)作為新的企業(yè)WAN。Nemertes研究集團發(fā)現(xiàn)，各種行業(yè)和規(guī)模的企業(yè)都越來越關(guān)注這個領(lǐng)域。在一些情況中，這意味著互聯(lián)網(wǎng)連接和WAN連接同時存在——甚至出現(xiàn)了一種“分割線路”，即將MPLS鏈接的一部分作為WAN訪問，另一部分則通過運營商的云（而非WAN和數(shù)據(jù)中心）連接互聯(lián)網(wǎng)。

在另一些情況中，互聯(lián)網(wǎng)訪問可能是唯一的網(wǎng)絡(luò)鏈路。一些分公司只有互聯(lián)網(wǎng)鏈路，他們將互聯(lián)網(wǎng)鏈路作為連接VPN與WAN的唯一方式；另一些分則使用它實現(xiàn)VPN鏈路和互聯(lián)網(wǎng)訪問，從而不需要通過數(shù)據(jù)中心回送流量；還有一些則只將該鏈路用于寬帶互聯(lián)網(wǎng)訪問，他們的用戶通過互聯(lián)網(wǎng)訪問公司資源，訪問方式與其他互聯(lián)網(wǎng)用戶完全一樣。

假設(shè)互聯(lián)網(wǎng)鏈路不僅僅用于創(chuàng)建VPN連接，那么IT就必須規(guī)劃分公司的安全措施，避免它遭受來自互聯(lián)網(wǎng)的攻擊。有三種方法可以實現(xiàn)分公司的互聯(lián)網(wǎng)安全性：使用專用設(shè)備、使用云服務(wù)和使用混合方法。最基本的原則是，只有在安全解決方案通過測試和允許部署時，IT才能夠使用這個連接訪問互聯(lián)網(wǎng)VPN。

通過設(shè)備保證由互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性

設(shè)備模型的主要優(yōu)點是IT已經(jīng)掌握實施方法和所有技能，這是很大的優(yōu)勢。其重要性在于掌握了一種解決問題的有效方法。但它的主要缺點是，IT可能不準(zhǔn)備使用路由器集成的安全特性，而是必須在每一個位置部署一臺設(shè)備。這樣既增加投入和運營成本，也增加了分公司基礎(chǔ)架構(gòu)的復(fù)雜性，從而增加了由于錯誤配置和設(shè)備故障造成中斷的風(fēng)險。

建議：如果沒有策略驅(qū)動和高級自動化的集中管理方法，那么IT不應(yīng)該部署基于設(shè)備的解決方案。如果必須逐一管理各個設(shè)備，那么基于設(shè)備的策略就很難擴展到大規(guī)模站點上。要尋找一種能夠解決大范圍安全威脅的解決方案，確定您是否能夠?qū)踩耘c路由、管理或其他功能整合在一起。

通過云來保證由互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性

云方法將安全掃描操作轉(zhuǎn)移到其他人的網(wǎng)絡(luò)設(shè)備上，通常是你的連接提供商，但是也可能是第三方公司。例如，在分割線路中，它就是MPLS。

它的優(yōu)點是，由于分公司不需要部署設(shè)備，所以這種策略能夠保證分支網(wǎng)絡(luò)靈活簡單。啟動時間短（有時候這些服務(wù)可以按需啟動）、移植簡單和不需要資金投入，都讓解決方案更靈活。

它的缺點是，大多數(shù)IT部門還不熟悉這種安全模型，他們需要掌握特定的專業(yè)知識，才能真正符合組織的安全要求。此外，IT會對安全性的控制更少，實現(xiàn)的可見性也更少。最后，這種方法經(jīng)常不可實現(xiàn)：只有一些運營商和少數(shù)第三方服務(wù)提供商提供了“云防火墻”和基于云的分支網(wǎng)絡(luò)保護服務(wù)。

建議：IT應(yīng)該考慮云安全性，如果組織的安全策略和風(fēng)險管理政策允許，要尋找和測試符合需求的供應(yīng)商。它的優(yōu)勢之一是按使用付費；有時候甚至可以“購買前先試用”。而且，它很容易啟用和關(guān)閉，所以可以試用多個提供商的服務(wù)。

使用混合解決方案保證由互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)安全性

混合方法組合了設(shè)備和云解決方案的特點。它使用本地設(shè)備提供本地服務(wù)，但是由云提供商負(fù)責(zé)管理和更新，甚至還增加額外一層功能。例如，設(shè)備可以通過云服務(wù)對第一次遇到的URL進行安全評估。

它的優(yōu)點是，云管理能夠減少運營開支，而本地設(shè)備能夠提升處理性能，而且也更容易滿足本地安全要求。

它的缺點是，這種模型依賴于云服務(wù)，服務(wù)中斷可能會暫時嚴(yán)重影響或破壞他們的設(shè)備。它需要在每個站點配備設(shè)備，這增加了每個分支網(wǎng)絡(luò)的設(shè)備數(shù)量。有一些提供商會完全操作成本——把設(shè)備費用包括在服務(wù)價格中（并非所有提供商都這樣），有時候IT必須購買一些設(shè)備。

建議：如果您的組織允許使用云安全解決方案，那么IT應(yīng)該選擇混合解決方案，作為提高性能的方法（特別是大的分支網(wǎng)絡(luò)）。

大多數(shù)擁有大量分公司的公司都會變成混合使用WAN與互聯(lián)網(wǎng)連接的分支網(wǎng)絡(luò)。IT需要評估直接訪問互聯(lián)網(wǎng)的安全方法——設(shè)備、云和混合方法。