基於工作需求,傳統上分支機構員工須透過廣域網路(WAN)存取集中存放於企業總部的商業應用。後來,企業改以成本較低的Internet-based VPN取代Frame Relay等廣為採用的WAN技術。不論使用哪一種方式,使用者都經常使用同一連結,將訊務傳輸到(或回傳到)Internet中的其他節點。
這種傳輸方式又稱為回程傳輸(backhauling)。企業毋須在每一個分支機構中重複安裝複雜且成本高昂的安全防護基礎設施(如防火牆、入侵防禦系統、閘道防毒以及URL過濾),因此非常受到歡迎。然而,許多因素大大影響了這種傳輸方式的效益。其中一項因素就是「龜速」的Internet連結。
回程傳輸常見問題
最常見的一種情況就是,有些分支機構人員為了避開繁文縟節並想盡辦法滿足「自己的獨特需求」,因此自行建立直接的Internet連結,雖然這樣確實可滿足其「特殊」連結需求並改進效能,但無可避免地使得整體企業一起蒙受極大的風險。畢竟,分支機構間執行不一致,甚或鬆散的安全防護功能與政策,將使得企業總部員工跟著遭殃。
|
▲要達到面面俱到的安全防護效果,理想的分支機構設備應包括各種安全服務,以及齊備的網路功能(如路由、WAN連結),以消除部署單獨網路設備的需求,進而簡化分支機構基礎設施。 |
還有更嚴重的問題。現今企業使用的應用都非常複雜、需要耗用更多頻寬,而且對延遲(latency)極為敏感,比方越來越廣為採用的VoIP技術、遠距教學,以及包羅萬象的多媒體應用等,都只是其中一小部份應用。而且,在現代企業中,有極大比例的訊務全都是預定傳送到Internet網路。不幸的是,隨著現代商業應用使用者人數的快速成長,所有人同時回傳Internet訊務會造成效能急遽下滑,並因頻寬與安全處理功能造成企業總部網路容量需求遽增。相對的,連線延遲將變得更為嚴重,並大幅提高中央機房基礎設施之資金與運作成本。
回程(backhauling)傳輸的另一個缺點,在於完全忽視內部網路與系統之安全防護需求。由於網路安全防護立意良善,因此諸多法令與立法機構也都直接或間接地要求企業嚴密保護其內部網路的安全。
另一方面,不斷增加的行動工作者及其連網設備,使得這種情況更為雪上加霜,蠕蟲和其他惡意軟體更有機會入侵內部網路。當然,受感染的分支機構也會對與其相連之所有節點帶來威脅,特別是企業分支機構之間的通訊相當開放而且並非絕對安全(除了有些訊務會加密之外)。
此外,即使分支機構VPN 設備包含防火牆與各種其他安全功能,這類邊界防護解決方案通常無法有效解決這些問題。一部分是因為這些產品無法提供類似LAN 頻寬速率的容量,而且無法將網路劃分為數個安全區。
現實面考量
首先必須解決的現實問題是,分支機構很少有足夠的人力來建立自己的IT支援團隊,因此所部署的解決方案必須支援遠端控管。
另一個棘手問題則來自於企業分支機構為數眾多,即使是小型企業都可能有十個以上的遠端辦事處,而大型企業可能有上百甚或上千個分支機構,許多零售商則廣泛設立許多零售據點。加上分支機構的規模,幾乎可以大概確定,除了零售業之外,所有分支機構的大小都各不相同。
上述各種原因,使得分支機構安全防護解決方案不僅須支援各種不同的辦事處規模與需求,同時還必須易於部署與操作,最重要的是,一定要符合經濟有效的最高準則。因此,多功能安全設備,特別是那些提供不同價位與相對應功能可供選擇的設備,特別適合部署於分支機構環境中。
包括要能夠達到面面俱到的安全防護效果,理想的分支機構設備應包括各種安全服務,以及齊備的網路功能(如路由、WAN連結),以消除部署單獨網路設備的需求,進而簡化分支機構基礎設施。
解決方案評估準則
理想的分支機構安全防護與網路解決方案提供絕佳效能與安全防護功能,完整的解決方案可分類為下列五大重要選擇標準,包括全面的安全防護、豐富的網路互連功能、效能與可靠性、可擴充的管理系統,以及彈性與相容性,以協助企業挑選理想的分支機構安全防護與網路解決方案。
完整的安全防護架構
企業希望分支機構能夠從傳送Internet訊務轉移為提供直接網路存取,因此分支機構也需要具備過去通常只有企業總部Internet存取閘道器具備的相同而完整安全防護服務。
這些安全服務須滿足一般要求,例如每一種防禦技術必須是最佳的防禦技術;有些防禦技術必須能夠主動抵禦攻擊或是某些技術必須提供應用層防護。
網路架構
理想的分支機構安全防護解決方案應允許企業將其單獨部署為單機式網路設備。為此,相關安全防護設備須支援各種核心網路功能。其中,支援虛擬路由器也是相當實用的特性,大型企業尤其需要這項特性。
效能與可靠性
專用型系統特別針對其必要功能與部署環境最佳化,部署這類設備有助於大幅提升效能與可靠性。如此一來,部署已預先強化且調整過的作業系統可完全滿足特定應用的需求。另一重要考量是如何高度整合各種安全防護與網路功能。尤其是那些從發展之初便定位為整合式安全防護與網路設備的產品,通常會比那些後來才增添安全防護模組的舊式網路設備更好用。
可擴充的管理方案
除了將各種必要功能整合於單一設備之外,還須具備其他特色以提高經濟效益。如果欠缺可擴充的管理功能,這類整合式設備的優點將大打折扣。幸好,易於部署是這類隨插即用設備的必備特性,同時也是重要的第一步驟。可是,所有設備都只需要安裝一次即可,因此其重要性無法與操作管理功能相提並論。
彈性與相容性
理想的分支機構安全防護與網路解決方案的最後一項特性,跟前述各項特性同樣重要。事實上,許多企業將彈性與相容性列為最基本的項目。特別是,分支機構解決方案的壽命與互通性,視其是否能夠支援多重軟、硬體功能而定,包括使用者驗證、加密演算法、實體介面,以及路由協定都是很明顯的例子。另外,還須支援模組化、升級能力,以及充足的處理容量等特性。
結語
分支機構及其內部員工都是非常重要的企業資產。因此,企業必須提供高效存取解決方案,使其能夠有效率地存取必要的網路資源,不論這些資源是位於企業總部網路中,或是分散於Internet網路中。同時,網路威脅的大肆擴張以及不斷升高的法令壓力,都在要求企業加強其分支機構的安全防護程度。當然,企業必須在不中斷現有運作的狀況下完成這些事項。
結合各種頂級安全服務以及最齊備網路功能的專用型設備,是有效滿足前述所有企業需求的理想解決方案。然而,此解決方案的功效最終須依賴它所能滿足之重要標準的程度,不僅是安全防護與網路,同時也要滿足重要的效能與可靠性、彈性與相容性,以及可擴充的管理效能。