智能广域网 (IWAN) 解决方案的安全注意事项

白皮书

智能广域网 (IWAN) 解决方案的安全注意事项

1. 简介：智能广域网

富媒体应用的激增和越来越多的设备连接到网络正在使分支机构带宽需求与日俱增。自带设备 (BYOD)、访客接入和物联网 (IoT) 趋势也导致了带宽需求增加。

成本较低的互联网连接已变得更加可靠，并且比专用链路更加经济实惠。思科®智能广域网 (IWAN) 解决方案为您提供了一个在分支机构利用成本较低的带宽的途径，并且不会影响应用性能、可用性或安全性。

1.1 IWAN 解决方案概述

图 1 展示了 IWAN 解决方案的一些主要优势，以及如何从中受益。

图 1. 智能广域网解决方案及其优势

我们的 IWAN 解决方案优势包括：

●独立于传输的连接：IWAN 提供了跨所有可用连接的基于动态多点 (DMVPN) 的覆盖。这提供了一个带有单个

路由域的网络，可以跨不同类型连接（包括多协议标签交换 (MPLS)、宽带和蜂窝网）轻松实现多宿主。您可以灵活使用所有可用的连接，并且可以在不修改网络架构的情况下添加或更换网络连接。

●智能路径控制：借助思科性能路由 (PfR)，IWAN 可以改进应用交付和广域网效率。PfR 通过查看应用类型、

性能、策略和路径状态来动态控制数据包的转发。

●应用优化：思科应用可视性与可控性 (AVC) 和思科广域应用服务 (WAAS) 可以为您提供应用性能的可视性，

并帮助您优化广域网链路上的应用性能。

●高度安全的连接：通过公共互联网发送流量时，必须确保安全性。通过利用各种 VPN、防火墙、网络分段和

安全功能，IWAN 可帮助确保解决方案提供您所需的安全性。

1.2 IWAN 设计概述

设计的主要重点是允许在以下广域网汇聚场景下实现广域网传输的主用-主用使用方式：

●混合广域网设计：此设计将互联网 VPN 用于传输，结合传统 WAN 一起为关键应用提供更多的带宽，同时为

应用平衡服务级别协议 (SLA) 保证。

●双互联网广域网设计：此设计使用两个互联网运营商，进一步降低成本，同时保持网络传输的高可靠性。

在这两个设计中，所有分支机构流量都传送到您的总部网络。在总部网络进行进一步的路由决策，将传向互联网的流量发送到互联网。利用额外的安全措施，可以直接从分支机构转发某些传向互联网的流量。此设计形式被称为直接互联网接入 (DIA)。DIA 的主要优势是可以降低总部的带宽要求，减少由于直接路由导致的网络跳数和延迟，以及利用基于互联网的内容交付网络 (CDN) 解决方案实现更好的优化。

要获得这些优势，解决方案的安全性至关重要。继续阅读以概要了解思科 IWAN 解决方案安全架构及其如何应对安全挑战。

要进一步了解 IWAN 架构，请参阅 IWAN 部署指南（参考资料）。

2. IWAN 的安全架构

传统上，所有分支机构流量都先转发到总部，然后才使用专用广域网连接分发到企业网络的其余部分和互联网。大多数安全措施都部署在总部网络。所有安全、访问控制和监控策略都在总部实施。请参见图 2。

图 2. 专用广域网和 VPN 的分支机构网络流量对比

如图 2 所示，使用 IWAN 解决方案时，安全和策略实施模式仍然保持不变。在分发给实际目的地之前，所有流量都先传送到总部。这意味着您可以使用相同的安全架构，并且可以受益于 IWAN 解决方案提供的额外传输和边缘安全。

在分支路由器连接到互联网之后，它会受到基于互联网的攻击和漏洞的影响。您需要在架构中采用更多安全技术，以保护路由器免受直接互联网连接带来的安全挑战。与直接连接公共互联网相关的主要安全问题如下：

●网络隔离

●数据保密性和完整性

●入侵和攻击防御

●内容检查和恶意软件检测

接下来将详细说明这些挑战以及 IWAN 架构如何帮助解决这些挑战。

2.1 网络隔离

将网络分隔，使它们之间没有流量传输，以帮助确保网络之间没有流量泄漏。在 IWAN 解决方案中，WAN 到 LAN 的隔离是通过使用 VRF 实现的，而网络分段是通过使用 Cisco IOS®软件基于区域的防火墙 (ZBFW) 实现的。

2.1.1 使用前端 VRF 实现的 WAN 到 LAN 分隔

将您的内部网络与互联网分隔，对于保护分支机构网络免遭未经授权的访问和意外流量泄漏至关重要。

互联网运营商 (ISP) 和企业网络使用各自的 IP 路由和 IP 编址方案。在分支路由器上混合这些方案可能会导致数据包流量意外转发到错误的网络，导致路由故障和数据泄露。此外，恶意的路由更新可能会导致网络中断。虚拟路由转发 (VRF) 使您能够定义虚拟的独立路由域。可将其看作拥有自己的路由协议和转发规则的虚拟路由器。这种分隔消除了路由攻击、企业流量意外转发到 ISP 网络以及 ISP 与企业网络之间的 IP 地址和子网冲突。

IWAN 使用被称为前端 VRF (FVRF) 的 VRF 配置。请参见图 3。在此配置中，DMVPN 和分支机构网络是全局（内部）VRF 的一部分，而广域网接口则属于独立（外部）VRF。使用通过边界网关协议 (BGP)、增强型内部网关路由协议 (EIGRP) 获知的路由，来自分支机构网络的流量仅被发送到 DMVPN 隧道网络，或者发送到全局 VRF 中指定的默认路由。广域网接口是其他 VRF 的一部分。只有 DMVPN 隧道流量和某些控制及管理流量通过此接口发送。

图 3. 使用前端 VRF 隔离外部网络

2.1.2 使用基于区域的防火墙实现的内部局域网分隔

Cisco IOS®软件基于区域的防火墙 (ZBFW) 功能使您能够在分支机构网络内定义不同的网络安全区域，并使用精细的访问策略限制区域之间的接入。

这种配置涉及根据分支机构的安全要求定义安全区域。在定义区域之后，每个网络接口都被设置为一个安全区域的成员。一个接口只能属于一个区域，但是一个区域可以有多个接口。属于同一区域的接口之间传输的流量不受限制。默认情况下，不同区域之间的流量会被阻止。需要定义策略，并将其应用于每个区域对之间，以便流量可以在这些区域之间传输。