广域网安全建设的思路和部署

广域网安全建设的特点分析

在企业的广域网建设过程中，分布在不同位置的远程企业分支作为广域网络的重要组成部分，是客户完成与企业大多数业务往来的主要场所。从政府、金融银行、大企业、零售业等行业来看，其分支机构都在想方设法提升分支机构的办事效率，增强分支机构的多业务支持能力，以便在降低成本的同时满足客户对更多元化服务的需要。而安全的广域网分支建设，又是各项业务能否正常开展的关键环节，和企业园区网络的建设不同，企业广域网远程分支的安全建设有其自身的特点。

(i) 认证鉴权方面的需求多样性

和企业总部局域网园区接入环境相比，各广域分支在认证鉴权方面有其特有的要求。在局域网园区接入环境下，员工的办公地点相对固定，局域网为其网络接入方式，这意味着可以实现统一的认证授权管理方式。而广域网分支办事处因为工作性质的关系，员工可能缺乏固定的网络接入点，部分员工还存在远程办公的需求。因此在认证方式上必然存在多种形式，除了基础的802.1X或portal认证方式之外，还可能存在L2TP+IPSec 以及SSL VPN等远程接入方式，或者是需要考虑如何在MPLS的环境下实现接入认证等。

各类不确定的认证方式必然带来管理上的复杂性，使得企业在实施这些认证方式时，很难建设完整的覆盖各种人员的认证鉴权系统。由于缺乏身份认证，出于对资源冒用的担心，企业会实施严格的限制策略进行总部资源访问控制，或者只是有限开放几种应用给广域网分支，从而无法实现多业务分支的构想。

(ii) 接入客户端的安全状况不可控性

广域网分支办事处员工本身因为工作性质的关系，可以自由开放的使用诸如USB和移动硬盘等形式的存储介质，而这也将成为网络安全风险的一个关键来源。同时，分支机构终端通过广域网线路进行统一的补丁分发和修复，大数量的并发操作，会给广域网带宽带来重大负荷。在这种情况下，如何实现对接入客户端的安全可控？如何在广域网下进行统一的终端接入控制管理？如何实现集中式的统一管理？在各接入客户端的随意个性化使用的同时，如何保证客户端本身的安全状态？

(iii) 多业务分支建设和广域网链路服务质量之间的矛盾

在广域网分支的业务扩充过程中，更多的业务被引入到分支机构，这意味着可能需要消耗更多的广域网链路带宽。对于诸如语音视频会议等对时延敏感的业务，则需要提供更高的QoS服务质量来进行保证。这将导致：一方面，企业需要不断的扩容广域网链路的带宽，以使分支承载更多的业务部署；另一方面，扩容必然导致网络建设维护成本的提高，且不能保证完全达到预期的效果。往往是带宽上去了，但有时候部分关键业务仍然没有得到足够的带宽，反而是其他一些优先级相对较低的业务侵占了本来就很有限的链路带宽。如何解决这个矛盾？

(iv) 更侧重"点状"的安全防护，缺乏系统的关联耦合和统一的安全管理

与园区网络和数据中心的安全策略部署的规范有序相比，广域网分支在安全建设的重点上显得不够清晰。由于广域网分支本身只是业务的使用部门，不提供对周边部门的支撑服务，也很少涉及到大量服务器的安全防护。这使得现阶段很多广域网分支本身的安全防护比较简单：企业通常的考虑是在分支出口部署防火墙实现基本的访问控制和安全隔离，或者要求员工PC终端安装杀毒软件，或者是针对一些企业的关键应用通过IP五元组等方式进行带宽的限制。这些安全防护策略更多的是体现在"点状"的安全防护上，只是解决了安全防护的有无问题，但是系统之间缺乏有效的关联耦合；同时网络中可能存在多类型安全设备，日志格式的差异和配置方法的不同，将导致无法实现对多设备安全日志的统一关联分析和总体把握，日常管理维护效率不高。