思科最新SD-WAN版本强化安全与AI管控能力

【正常】

思科在其最新发布的SD-WAN软件中，全面升级了安全防护与AI管控功能。

此次推出的Cisco SD-WAN 26.1.1版本包含多项新特性，据思科企业网络与云产品营销经理Sunakshi Tickoo在更新博客中介绍，企业客户可以一次性定义安全策略并在全网统一执行，获得端到端可视性，同时无需进行大规模架构改造，即可从传统WAN平滑过渡到高性能、AI就绪的网络架构。

安全增强功能的背景

此次安全升级源于思科去年11月发布的"弹性基础设施"计划。该计划明确了思科将通过提升默认防护级别、移除不安全的遗留功能、引入新能力来缩小攻击面，并在多个核心产品线中强化威胁检测与响应能力。在SD-WAN层面，新版本可针对CLI和UI配置中的漏洞进行修复，防止控制平面遭受未授权访问和权限提升攻击。

Tickoo写道："借助这些增强的安全建议功能，用户可通过不安全配置仪表板获得统一的集中视图，识别SD-WAN架构中不安全或过时的配置，实时评估设备的信任状态，并采取引导式操作修复漏洞。"

在SD-WAN软件的发布说明中，思科将不安全或过时的命令分为以下几类：

线路传输：更新远程访问安全方法。

设备服务器配置：强化服务器端设置。

文件传输协议：向加密传输方式迁移。

SNMP：增强管理流量安全性。

密码：强化身份验证与凭证管理。

思科表示，在设备启动或升级过程中检测到的所有不安全配置，系统均会显示错误提示。"在对应的Cisco IOS XE 26.1.1版本中，所有不安全的CLI命令默认被屏蔽，以强化网络基础设施安全。如果环境中确实需要使用遗留命令，则必须在全局配置模式下启用system mode insecure命令。"

思科高级副总裁兼首席安全与信任官Anthony Grieco在该计划发布时表示："简而言之，当客户配置了会给网络引入新风险的不安全功能时，我们会让这一情况变得显而易见。初期，客户将收到增强的安全警告，建议停止使用不安全功能。后续版本中，相关功能将默认禁用或需要额外步骤才能配置。最终，不安全选项将被彻底移除。"

组织级防火墙策略统一管理

新版SD-WAN软件还新增了一项功能：Meraki SD-WAN站点可在组织层面统一定义防火墙策略，并在全网一致执行，无需逐站点单独配置。

Tickoo写道："逐网络管理防火墙策略对于分布式组织而言难以规模化。通过组织级群组策略，团队可以一次性定义可复用的策略，并在整个组织中统一执行，从而实现更集中、更灵活的策略管理，在降低运营负担的同时确保环境一致性。"

TLS解密性能提升

新版本还支持改进的传输层安全（TLS）解密能力。Tickoo写道："目前互联网流量中加密流量占绝大多数，TLS解密在威胁检测中发挥着关键作用。与此同时，检测不应以牺牲性能为代价。Catalyst 8375-G2作为思科面向大型企业分支机构的SD-WAN路由器，在100% HTTPS流量场景下可提供高达1.6 Gbps的吞吐量，帮助团队在不引入性能瓶颈的前提下实现强安全效果。"

AI流量识别与管控

随着越来越多的企业客户部署AI应用，思科表示将持续增强Catalyst SD-WAN软件，以更好地支持和管理AI流量。通过此次升级，客户可以在云、边缘和混合环境中自动识别并分类基于AI的应用流量。在获得这一可视性之后，企业可以区分业务关键型AI工作负载与非关键用途，并应用相应策略来优化性能、执行治理规范。

Tickoo写道："安全能力已内置其中，零信任策略直接应用于AI流量，并可在需要时将流量重定向至Cisco Secure Access进行深度检测。最终实现的是一个不仅能承载AI流量，还能随着使用规模增长持续优化和保护AI流量的WAN网络。"

AI助手能力升级

思科还增强了SD-WAN软件中的自然语言AI助手功能，使其能够更好地处理故障排查、监控网络性能、检索文档，并在单一工具中管理技术支持中心（TAC）的工单案例。

思科表示，此次升级旨在将AI助手更深度地整合到日常运维排障与支持案例管理流程中。

Q&A

Q1：Cisco SD-WAN 26.1.1在安全方面做了哪些改进？

A：Cisco SD-WAN 26.1.1新增了不安全配置仪表板，可集中识别SD-WAN架构中不安全或过时的配置，实时评估设备信任状态，并提供引导式修复操作。同时，所有不安全的CLI命令在新版本中默认被屏蔽，涵盖线路传输、设备服务器配置、文件传输协议、SNMP和密码管理等多个类别，从根本上缩小攻击面。

Q2：Cisco SD-WAN 26.1.1如何支持企业管理AI流量？

A：新版本支持在云、边缘和混合环境中自动识别并分类AI应用流量，帮助企业区分业务关键型AI工作负载与非关键用途，并应用相应策略优化性能和执行治理。此外，零信任策略可直接应用于AI流量，必要时还可将流量重定向至Cisco Secure Access进行深度检测。

Q3：Meraki SD-WAN的组织级防火墙策略有什么优势？

A：通过组织级群组策略，企业只需在组织层面定义一次防火墙策略，即可在所有站点统一执行，无需逐站点单独配置。这对分布式组织尤为实用，既降低了运营负担，又确保了全网策略的一致性，提升了整体安全管理效率。