SDWAN具备双WAN心功能的指标对或者错

来源:蜘蛛抓取(WebSpider) 时间:2020-09-10 07:38 标签: 大肠杆菌的SD序列的作用

  用户现在可以使用多种WAN连接方式(DSL、有线电视网、卫星等)由于小企业希望Internet访问带宽有冗余,以提高访问速度所以一些公司生产了双WAN路由器,以把两种宽带连接方式组合在一起使用

  既然这么多家庭和企业现在都有数兆比特相当便宜的带宽可用,那么双WAN路由器市场看来已经具备了发展的条件

  在这个测试中,SonicWall公司的TZ 170被选为最受欢迎的产品因为它有良好的安全性、配置选项和附加功能(有些需要额外付费)。Hawking公司的产品會满足需要低价产品的用户的需求其产品支持无线功能。Zyxel公司的ZyWall 70以微弱差距名列SonicWall之后位居第二。

● 入网负载均衡(低端产品仅支持出網负载均衡);

● 非军事区(DMZ);

● 对内容(入网和出网)和电子邮件(至少对入网的电子邮件)进行病毒过滤;

  不同的路由器CPU速喥和RAM容量是不同的,通常同时支持的VPN连接数反映了这种差异因为所有这些系统的连接数最少都达到了数千条,所以中等规模的网络不应該感到性能受限不过,所支持的VPN会话数常常受到服务器的限制因此仍然要仔细检查网络是否需要支持很多VPN客户。

  在需要把两个相哃的高速WAN连接组合在一起(如把两个有线电视调制解调器链路组合在一起)时这些路由器所具有的入网负载均衡功能很有用。因为有线电视網的下行速率为1.5M~3MbpsDSL链路则低于512Kbps,所以混合这样两种连接对速率不会有什么明显的改善而且如果配置错误,还可能降低访问速率不过,仍然可以借助这样的混合连接实现Internet访问的带宽冗余

  使用每个双WAN系统都要注意的是:必须能够把发出去的所有SMTP信息流路由到合适的WAN鏈路上。大多数ISP拒绝所有不是从自己的网络起始的邮件所以把发出的电子邮件路由到错误的WAN链路会引起差错。使用连接到DMZ的内部电子邮件服务器或者通过Web托管服务而不是ISP发送电子邮件,可以消除这一问题

  在测试期间,SonicWall TZ 170的一些开发人员用新版固件给该产品增加了对進入信息流负载均衡的支持填补了TZ 170在功能上的主要空白。但是用户必须购买功能增强的操作系统才能使TZ 170支持双WAN连接。同样的小型塑料外壳支持TZ 170的所有排列方式因此从外观上看不出TZ 170所支持的功能。

  安装和配置花了一些时间与我们测试的其他产品不同,TZ 170在默认状态丅不启用动态主机配置协议(DHCP)服务器用户必须改变计算机地址,以与TZ 170的默认IP网络设置值相匹配然后用其简单易用的向导配置DHCP地址范圍和其他初始化设置值。但是重新启动并经过一番苦思冥想后我们发现,设置DHCP范围时DHCP服务器并未同时启用我们必须手动开启该服务器。9页长的快速启用指南印满了密密麻麻的文字有点与“快速”背道而驰。该公司的技术支持联系人也承认DHCP配置的设计方案不好,但未莋进一步解释

  因为只有所测试的增强版TZ 170支持双WAN,所以该产品上没有WAN2插头(用软件增加这项功能)采用可选以太网连接器WAN2不成问题,因为该产品上的所有5个10/100Base-T以太网端口都能为使用DMZ而进行配置SonicWall基于Web的实用管理程序在显示屏左边提供层叠式菜单,但是右边没有选项卡取而代之的是,多个命令图标弹出新的更小的窗口用于选择配置值或提供说明。这个叙述过程有点罗嗦而实际菜单看起来要简单些,洇为很容易就能深入到更详细的菜单层次在多个向导的引导下,可以完成VPN设置、公共服务器(DMZ)访问和初始设置这些繁杂的工作

  SonicWall產品好的方面是:在防火墙配置上具有极大的灵活性。而不好的方面则是: 对大多数小企业用户而言内容太多,学不过来也处理不过来,这些用户会需要转卖商的帮助TZ 170在下拉菜单中配置的服务有140项。SonicWall使用网络分区其中包括几屏描述各分区关系(例如WAN至LAN)的内容以及适鼡特定连接的路由或网络地址变换规则。你甚至可能有5个不同的用户类别代表从每个人到权力受限的管理员等各种类型的用户,而在一個规则中可能包含任一类别如果没有外界帮助,中小型企业几乎无法完成配置

  TZ 170对双WAN连接处理得很好。与我们测试的所有其他产品嘟不同当我们断开有线电视调制解调器并迫使TZ 170切换到DSL连接时,该设备仍能接着传输流式音频文件而当我们重新连接到有线电视调制解調器时,它还能切换到更快的服务上而且仍然不存在中断。

  安全性选项很多但是要仔细订购。例如你可以购买网络防病毒软件囷服务器防病毒软件,但是你不能用电子邮件防病毒过滤节点/用户数是根据网络上有效的IP地址数而不是路由器上共存的用户数来计算的,因此你需要的许可证数也许比你想像的多

  尽管购买合适的选项以及弄清楚DHCP有点烦人,但是SonicWall提供大量预定义的防火墙设置参数和选項其失效转移可保持流式音频的连续性。

数字转型不仅仅是将工作流迁移箌云端和采纳IoT而是整个网络的工具重构,令整个网络变得更快、更高效、更灵活、更具成本有效性也就是说,数字转型还意味着应用敏捷软件及应用开发重新思考访问与登录,以及创建动态自适应网络环境

软件定义广域网(SD-WAN)可将数字转型的好处延伸至分公司,因而是佷多公司企业的首选无论员工身处何方,是在数据中心还是多云部署还是网络上任何一个位置都没关系都可以即时访问分布式资源,洏且无需严格的实现要求和昂贵的传统多协议标签交换(MPLS)连接开销

但是,很多公司在采纳SD-WAN时并未周密考虑安全问题SD-WAN项目通常由网络运维團队负责实施,但太多公司过于沉浸在SD-WAN带来的好处中以致完全忘记了安全。

还有部分问题源于供应商没在其解决方案中集成进恰当的安铨措施目前约有60多家SD-WAN解决方案供应商,几乎全部都仅支持 IPSec VPN 和基本的状态性安全而这完全不足以在不断进化发展的网络攻击面前保护好公司企业。因此公司企业不得不在部署SD-WAN后再添加额外的有效安全层。供应商的过失不仅令公司企业因运行了他们的不安全解决方案而陷叺风险往复杂SD-WAN部署上硬加传统安全工具的做法也增加了不必要的复杂性和开销,导致维持SD-WAN的总成本上升

为解决这些问题,SD-WAN解决方案至尐应包含以下4个基本安全策略:

首先公司企业须选择内置了下一代防火墙(NGFW)安全的SD-WAN解决方案。作为SD-WAN部署的一个集成功能这一先进的安全技术能确保整个SD-WAN保持一致的检查、检测和防护,无论是在分公司还是在云端还是在数据中心同时,即便SD-WAN为适应网络需求而做出改动NGFW也鈳对原生工作流、数据和应用提供保护;而这是大多数遗留安全解决方案难以提供的一个功能。当然不是所有安全解决方案都一样,所鉯如果该集成NGFW安全解决方案能够经由第三方检验其安全有效性情况会更加美好。

谁都不想再多部署一道独立的安全解决方案今天的分咘式数字网络安全防护工作就已经够复杂的了,割裂的可见性和逐设备策略编排只会更加复杂化这项工作所以需确保的第二件事,就是為SD-WAN部署选择的安全策略要能无缝集成进现有安全架构中选择一个能融入现有安全框架的解决方案可以通过提供网络安全可见性、集中式管理控制和威胁情报共享与关联,给公司带来更健壮的安全状态

用宽带连接替代MPLS的问题在于公共互联网通常是不可靠的,对于需即时访問资源和数据的数字公司及用户而言这有可能引发严重问题。而且近90%的公司企业都采用了多云策略,每个云都要求有独立的连接因此,大多数部署SD-WAN的公司采用多条宽带连接各分公司到核心网络及访问各个云实例然而,每条此类连接同时也扩展了公司的潜在攻击界面

另外,为提升员工协作效率公司企业倾向于部署 Office 365 和 Salesforce 之类基于云的软件即服务(SaaS)应用。这些连接常会包含需加以保护的关键信息所以,任何SD-WAN解决方案都应采用VPN为自己覆上一层传输安全保障而且这些VPN解决方案还提供了非常高的性能和动态可扩展性。

4. 必须检查加密流量

以微秒为成功计量单位的数字商业环境中仅有安全的连接显然是不够的。随着SSL(HTTPS)流量的增长攻击者逐渐将恶意软件隐藏进加密隧道以逃避检測。不幸的是大多数SD-WAN供应商提供的基本安全措施并不包含SSL检查,或者即便有SSL检查,功能性能上也达不到要求这是企业部署SD-WAN时最常见嘚一种失误。

其中难点之一在于就算安全团队确实在SD-WAN部署中嵌入了安全,SSL检查也会拉低市场上几乎每个遗留NGFW解决方案的性能事实上,絕大多数安全供应商甚至不会公布他们的SSL检查性能指标然而,当今数字市场中激烈竞争的公司企业也不愿意牺牲性能求安全因此,SSL检查要么随意实现要么根本就没有。这也是为什么除了可扩展的VPN连接还得关注第三方测试给出的SSL检查指标的原因。我们必须选择同时符匼性能要求与安全要求的解决方案

SD-WAN迅速成为网络转型工作的基本构件,令公司企业得以在当今激烈的数字市场竞争中获得速度与效率上嘚优势但随着威胁与恶意软件愈趋复杂和普遍,我们必须补强传统MPLS连接的既有安全防护

为此,高级安全功能不仅应成为最初SD-WAN选择时的栲量内容还应尽可能彻底地集成到环境中,以便更好地检测和防止如今越来越先进的各种威胁可供选择的高级安全功能包括原生NGFW、灵活可扩展的VPN和高性能SSL检查。想要明智选择这些解决方案可以求助于评估过程中包含安全性能与功能考量的第三方测试。

  在过去几十年里企业采用楿同的方式构建广域网。

  专用网络中遍布MPLS已经是常态这种策略随着SD-WAN的出现逐渐被取代。

  市场是不断的飞速发展的越来越多的企业都在致力于获取他们的需求,并且在思考如何才能最好的满足这些需求

  任何组织选择正确的策略都会产生长远的影响。网络架構师必须明确哪些功能将帮助他们构建最强大、灵活的广域网架构以便在未来的十年或二十年中支持其业务发展。

  1.零接触部署和自動化

  零接触部署意味着企业不需要安排专业IT人士只需要解压边缘设备,插上通信链路接入电源,设备将会自动设置适当的策略并苴保证完全运行减少时间和人力部署上的费用。

  自动化差异取决于是由终端用户部署还是由中间服务提供商部署从企业角度来看洎动化可以通过一个单一的仪表板提供所有广域网的综合视图下进行。

  当分支机构安装完成时管理员可以从模板中弹出一个配置文件,并将其分配给分支机构这意味着分支机构可以应用正确的策略。

  混合WAN是通过发送两个或两个以上的连接类型的流量来连接地理仩分散的广域网的方法通常是MPLS和互联网流量。然而一些站点是双重的宽带连接比混合了MPLS链路的更加不可靠。

  底层的SD-WAN技术应该确保始终有良好的体验无论是基于何种链接。这使得流量能够无缝传送且没有任何丢失。即便该应用程序是语音或视频也能保证良好的體验。如果一行发生了丢包或者延时现象其他线路可以在亚秒时间内满足SLA的需求。

  3.私有及公共链路修复

  一些分支机构可能永远吔不会有一个MPLS连接只有3G/4G LTE或互联网连接。

  可能有一个到两个链路如果有两个链路,其中一个遇到问题WAN可以引导该问题中的流量。

  如果只有一个链路如果该链路遇到问题如抖动或丢包,SD-WAN能够修复或补救该链路以保证用户体验。

  混合SD-WAN不仅仅是传输的因素吔是应用的因素。他们可以部署在云端或内部部署

  一些SD-WAN厂商将他们的解决方案完全在本地部署,其他厂商在云端部署网关帮助优化鋶量

  流量可以从分支机构传输到云网关,然后再到云端的应用程序而不是从分支机构到数据中心回传最后再到云应用程序。这种額外的云节点有助于优化云应用程序的体验

  5.编排级业务策略

  IT管理员可以创建一个包含了服务质量、防火墙、安全规则、IP地址等茬内的模板/业务策略,而不是配置box类似于云VPN的应用方式。这是名副其实的用户界面上的复选框项目因为策略是“云VPN”。

  业务策略昰由业务环境驱动的不需要谈论关于数据包级别的语言;相反,管理员需要关注业务结构例如,应用程序的高、中、低优先级这些业務结构背后的技术会自动处理流量优先级和路由。

  6.实现多种业务独立性

  多租户的特性是确保客户进行适当分割这有助于安全的環境。从服务提供商角度来看一个单一的编排器简化了ICOM,但是它仍然允许每个客户有自己的广域网实例更重要的是,大型企业如服务提供商的不同的子公司或部门有自己不同的策略和不同的细分

  服务提供商和企业在他们的网络中已经有了很多设备;如,L3交换机和路甴要插入/集成一个新的SD-WAN到现有环境中,必须有这些设备支持的语言和协议

  尽管SD-WAN本身是专有的,但与其他第三方硬件集成却是基于標准的路由

  很多企业希望缓慢的实现SD-WAN部署,所选择的解决方案应该能够支持迁移而不是一个需要完全推倒重来的策略。这就是为什么传统协议的支持是非常重要的

  企业开始结合SD-WAN并进行一定的测试检测,有效的将会开始取代路由器和防火墙

  8.保证分支机构、数据中心和云端安全

  安全功能是在应用程序最有意义的地方:分支机构、数据中心和云端。

  功能可以为服务链构建多重安全保障如流量可以穿过防火墙和预防数据丢失工具,因为流量是从分支直接进入到互联网的

我要回帖

更多关于 大肠杆菌的SD序列的作用 的文章

 

随机推荐