Cloudflare Magic WAN & Magic Firewall：安全網(wǎng)絡(luò)連接即服務(wù)

早在 2020 年 10 月，我們就推出了Cloudflare One，這是我們對(duì)未來(lái)企業(yè)網(wǎng)絡(luò)和安全的愿景。自那時(shí)以來(lái)，我們一直專注于交付這個(gè)平臺(tái)的更多組成部分，今天我們欣然宣布該平臺(tái)上兩個(gè)最基本的組件：Magic WAN 和 Magic Firewal。Magic WAN 為您的整個(gè)企業(yè)網(wǎng)絡(luò)提供安全、高性能的連接和路由，降低成本和操作復(fù)雜性。Magic Firewall 與 Magic WAN 無(wú)縫集成，使您能在邊緣執(zhí)行網(wǎng)絡(luò)防火墻策略，覆蓋來(lái)自貴組織網(wǎng)絡(luò)內(nèi)部任何實(shí)體的流量。

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)無(wú)法解決今天的問(wèn)題

企業(yè)網(wǎng)絡(luò)一向以來(lái)采用了少數(shù)幾種模型之一，這些模型設(shè)計(jì)為確保辦公室與數(shù)據(jù)中心之間的安全信息流，鎖定對(duì)互聯(lián)網(wǎng)的訪問(wèn)并在辦公室邊界進(jìn)行管理。隨著應(yīng)用程序上云和員工移出辦公室，這些設(shè)計(jì)不再起作用，而類(lèi)似 VPN 盒子這樣的臨時(shí)解決方案不能解決企業(yè)網(wǎng)絡(luò)架構(gòu)的核心問(wèn)題。

在連接性方面，全網(wǎng)狀 MPLS（多協(xié)議標(biāo)簽交換）網(wǎng)絡(luò)成本高昂且部署費(fèi)時(shí)，維護(hù)不易又極難擴(kuò)展，而且往往在可見(jiàn)性方面有巨大缺口。其他架構(gòu)需要將流量回傳到中央位置后再發(fā)送到源，導(dǎo)致不可接受的延遲，并必須購(gòu)置成本高昂的中樞硬件來(lái)獲得最大容量，而非按實(shí)際使用量配置。我們所接觸的大多數(shù)客戶都在與兩個(gè)世界最糟糕的情況作斗爭(zhēng)：多年甚至數(shù)十年來(lái)拼湊起來(lái)的各種架構(gòu)的組合，根本無(wú)法管理。安全架構(gòu)師也在與這些模型作斗爭(zhēng)——隨著網(wǎng)絡(luò)增大，他們不得不應(yīng)對(duì)來(lái)自不同供應(yīng)商的一大堆安全硬件盒子，并在成本、性能和安全之間進(jìn)行權(quán)衡。

將您的網(wǎng)絡(luò)邊界移到邊緣并通過(guò)服務(wù)確保其安全

通過(guò) Magic WAN，您可安全地將任何流量來(lái)源——數(shù)據(jù)中心、辦公室、設(shè)備和云資產(chǎn)——連接到 Cloudflare 的網(wǎng)絡(luò)，并配置路由策略來(lái)將數(shù)據(jù)傳輸?shù)剿鼈兯枞サ牡胤?，全部在一個(gè) SaaS 解決方案中完成。不再需要投資購(gòu)置 MPLS 并等待部署，不再蒙受流量“長(zhǎng)號(hào)”效應(yīng)帶來(lái)的性能損失，不再需要經(jīng)歷管理一堆過(guò)時(shí)解決方案的噩夢(mèng)：取而代之，使用 Cloudflare 的 Anycast 網(wǎng)絡(luò)來(lái)延伸您的網(wǎng)絡(luò)，獲得更佳的性能和內(nèi)建的可見(jiàn)性。

一旦您的流量連入 Cloudflare，如何控制您的網(wǎng)絡(luò)中的哪些實(shí)體可彼此交互或與互聯(lián)網(wǎng)交互呢？這就是 Magic Firewall 發(fā)揮作用的時(shí)候了。Magic Firewall 允許您集中管理您整個(gè)網(wǎng)絡(luò)中的策略，全部以服務(wù)的形式在邊緣運(yùn)行。Magic Firewall 讓您精細(xì)地控制哪些數(shù)據(jù)可以進(jìn)出您的網(wǎng)絡(luò)，或在您的網(wǎng)絡(luò)內(nèi)傳輸。更妙的是，您能通過(guò)單一儀表板掌握流量具體如何流經(jīng)您的網(wǎng)絡(luò)。

Magic WAN 為 Cloudflare One所包含的一整套功能組件提供了基礎(chǔ)，這些功能組件都是在軟件中從零構(gòu)建的，可無(wú)縫擴(kuò)展和集成。Magic Firewall 在 Magic WAN 可供直接使用，客戶能輕松啟用額外的零信任安全和性能特性，例如我們包含遠(yuǎn)程瀏覽器隔離的安全 Web 網(wǎng)關(guān)（SWG）、IDS、Smart Routing 等。

云采用日漸興盛，加上人們最近向遠(yuǎn)程工作轉(zhuǎn)移，導(dǎo)致互聯(lián)網(wǎng)、SaaS 和 IaaS 流量增多，給 MPLS 等傳統(tǒng)網(wǎng)絡(luò)架構(gòu)造成巨大壓力。對(duì)于希望提高運(yùn)營(yíng)敏捷性和降低總體擁有成本的組織而言，提供全球規(guī)模的WAN 架構(gòu)、集成的企業(yè)網(wǎng)絡(luò)安全功能以及與遠(yuǎn)程用戶的直接安全連接，這一切至關(guān)重要。

— Ghassan Abdo，IDC Research 全球電信、虛擬化和 CDN 副總裁

具體是怎樣的呢？讓我們通過(guò)示例客戶 Acme Corp 探索如何使用 Magic WAN 和 Magic Firewall 來(lái)解決企業(yè)網(wǎng)絡(luò)和安全方面的問(wèn)題。

取代分支機(jī)構(gòu)與數(shù)據(jù)中心之間的 MPLS

今天，Acme Corp 在世界各地設(shè)有辦公室，各自通過(guò) MPLS 連接到區(qū)域數(shù)據(jù)中心及與彼此連接。每個(gè)數(shù)據(jù)中心都運(yùn)行著企業(yè)應(yīng)用程序，通過(guò)一堆硬件盒子來(lái)保障其安全，也租用專線連接到至少另一個(gè)數(shù)據(jù)中心。Acme 也在將部分應(yīng)用程序遷移到云，并計(jì)劃建立從數(shù)據(jù)中心到云提供商的直接連接，以便提高安全性和可靠性。

隨著 Acme 發(fā)展，其網(wǎng)絡(luò)團(tuán)隊(duì)最一致的痛點(diǎn)之一是管理和維護(hù)其 MPLS 連接性。MPLS 成本高昂且部署費(fèi)時(shí)，限制了 Acme 擴(kuò)張到新地點(diǎn)（尤其是國(guó)際上）或?qū)νㄟ^(guò)收購(gòu)而增加的辦公室提供支持的速度。Acme 辦公室中連接到云提供商和 SaaS 應(yīng)用程序的員工面臨令人沮喪的延遲，因?yàn)榱髁勘仨毾葦D過(guò) Acme 數(shù)據(jù)中心由一堆硬件盒子執(zhí)行的安全策略，然后才能發(fā)送到目的地。辦公室之間的流量，例如 IP 電話和視頻會(huì)議，沒(méi)有應(yīng)用任何安全策略，代表了 Acme 安全態(tài)勢(shì)中的一個(gè)缺口。

就在 Acme 努力遷移到云計(jì)算和云儲(chǔ)存之際，該公司希望擺脫這些專用鏈接，改為以安全的方式利用互聯(lián)網(wǎng)來(lái)建立連接。他們考慮在互聯(lián)網(wǎng)上建立全網(wǎng)狀站到站 IPSec VPN 隧道，但其復(fù)雜性使其網(wǎng)絡(luò)團(tuán)隊(duì)和異構(gòu)路由器部署均捉襟見(jiàn)肘。Magic WAN 已經(jīng)準(zhǔn)備好滿足他們今天的需求，簡(jiǎn)化網(wǎng)絡(luò)管理并立即帶來(lái)性能裨益，并使 Acme 能逐步擺脫 MPLS。

在這個(gè) Magic WAN 示例部署中，Acme 通過(guò) Anycast GRE 隧道將每個(gè)辦公室和 VPC 連接到 Cloudflare。通過(guò)這個(gè)架構(gòu)，Acme 只需要為每個(gè)站點(diǎn)/互聯(lián)網(wǎng)連接建立單一隧道，就能自動(dòng)獲得對(duì) Cloudflare 整個(gè)全球網(wǎng)絡(luò)（遍布全球 100 多個(gè)國(guó)家的 200 多個(gè)城市）的連接——就像輪輻式架構(gòu)，只是這個(gè)中心點(diǎn)無(wú)處不在。Acme 也選擇使用 Cloudflare Network Interconnect 從其數(shù)據(jù)中心建立專用連接，通過(guò) Cloudflare 高度互聯(lián)的網(wǎng)絡(luò)實(shí)現(xiàn)甚至更加安全和可靠的流量交付和對(duì)其他網(wǎng)絡(luò)/云提供商的更佳連接性。

一旦建立了這些隧道，Acme 就能為其私有網(wǎng)絡(luò)（RFC 1918 空間）中的流量配置允許的路線，Cloudflare 將流量引導(dǎo)至需要前往的地方，提供彈性和流量?jī)?yōu)化。只用完成數(shù)小時(shí)的簡(jiǎn)單設(shè)置過(guò)程，Acme Corp 就能開(kāi)始從 MPLS 遷移出來(lái)。隨著 QoS 和 Argo for Networks 等 Cloudflare One 新功能的引入，Acme 的網(wǎng)絡(luò)性能和可靠性將繼續(xù)提高。

保護(hù)遠(yuǎn)程員工對(duì)私有網(wǎng)絡(luò)的訪問(wèn)

去年 Acme Corp 員工因新冠疫情而突然轉(zhuǎn)移到遠(yuǎn)程工作時(shí)，Acme 的 IT 部門(mén)匆忙尋找短期應(yīng)對(duì)措施來(lái)維持員工對(duì)內(nèi)部資源的訪問(wèn)。他們的傳統(tǒng) VPN 不堪使用——由于設(shè)備負(fù)荷超過(guò)設(shè)計(jì)極限，居家工作的 Acme 員工遭遇到了連接性、可靠性和性能問(wèn)題。

值得慶幸的是，有一個(gè)更好的解決方案！使用 Cloudflare for Teams 和 Magic WAN，無(wú)論員工在何處工作，Acme Corp 都能為他們?cè)L問(wèn)私有網(wǎng)絡(luò)內(nèi)部的資源提供一種安全的方式。Acme 員工在其設(shè)備上安裝 WARP 客戶端，以便將流量發(fā)送到 Cloudflare 網(wǎng)絡(luò)，在此經(jīng)過(guò)驗(yàn)證后路由到通過(guò) GRE 隧道（如上例所示）、Argo Tunnel、Cloudflare Network Interconnect 或 IPSec（即將推出）連接到 Cloudflare 的數(shù)據(jù)中心或 VPC 上的私有資源。此架構(gòu)解決了 Acme 使用其傳統(tǒng) VPN 時(shí)遭遇的性能和容量問(wèn)題——它并非通過(guò)單一阻塞點(diǎn)發(fā)送所有流量，而是將流量路由到距離最近的 Cloudflare 節(jié)點(diǎn)，在邊緣應(yīng)用策略后通過(guò)一條優(yōu)化路徑發(fā)送到目的地。

來(lái)自 Acme Corp 員工設(shè)備、數(shù)據(jù)中心和辦公室的流量也將能由 Magic Firewall 應(yīng)用策略，對(duì)所有“入口”執(zhí)行強(qiáng)大、精細(xì)的策略控制。因此，無(wú)論員工從其手機(jī)或筆記本電腦接入，還是在 Acme 辦公室工作，都可在相同的地方應(yīng)用相同的策略。這簡(jiǎn)化了配置，并為 Acme IT 和安全團(tuán)隊(duì)改善了可見(jiàn)性，他們可以登錄到 Cloudflare 儀表板并從一個(gè)地方查看和控制策略——與管理各種 VPN、防火墻和云服務(wù)上的員工訪問(wèn)相比，這是顛覆性的變化。

這個(gè)解決方案允許 Acme 從其 VPN、防火墻和安全 web 網(wǎng)關(guān)設(shè)備轉(zhuǎn)移出來(lái)，改善性能，并輕松地管理來(lái)自員工任何工作地點(diǎn)的流量。

將網(wǎng)絡(luò)和安全功能遷移到邊緣

一向以來(lái)，Acme 依賴于實(shí)體辦公室和數(shù)據(jù)中心內(nèi)的硬件設(shè)備堆棧來(lái)保障網(wǎng)絡(luò)安全，并掌握網(wǎng)絡(luò)上的動(dòng)態(tài)：專門(mén)的防火墻檢查進(jìn)出流量，入侵檢測(cè)系統(tǒng)和 SIEM。隨著其組織遷移到云并重新思考遠(yuǎn)程工作的未來(lái)，Acme 安全團(tuán)隊(duì)在尋找可持續(xù)的解決方案，以便提高安全性，甚至超越其傳統(tǒng)城堡加護(hù)城河”架構(gòu)中的可能性。

在前面，我們已經(jīng)介紹了 Acme 如何配置 Magic WAN 來(lái)從辦公室、數(shù)據(jù)中心、云資產(chǎn)和設(shè)備向 Cloudflare 的網(wǎng)絡(luò)發(fā)送流量。一旦這些流量通過(guò) Cloudflare，就能輕松地添加訪問(wèn)控制和過(guò)濾功能，以便增強(qiáng)或替代本地安全硬件，這一切都可以通過(guò)單一控制面板交付和管理。

通過(guò) Magic Firewall，客戶獲得在邊緣運(yùn)行的單一防火墻即服務(wù)，替代在分支機(jī)構(gòu)或數(shù)據(jù)中心安裝的笨重硬件。Magic Firewall 不但允許他們輕松管理配置，也能簡(jiǎn)化合規(guī)審計(jì)。

要控制訪問(wèn)，客戶可部署策略，確定具體哪些流量可前往何處。例如，Acme 希望流量通過(guò)端口 80 和 443 從互聯(lián)網(wǎng)流向數(shù)據(jù)中心內(nèi)的 web 服務(wù)器，但希望鎖定 SSH 訪問(wèn)僅限于分支機(jī)構(gòu)內(nèi)的特定私有網(wǎng)絡(luò)。

如果 Acme 希望進(jìn)一步鎖定網(wǎng)絡(luò)，他們可采用一種零信任訪問(wèn)模型，使用 Access and Gateway 來(lái)在通過(guò) Cloudflare 的全部流量中控制誰(shuí)能及如何訪問(wèn)什么內(nèi)容。隨著 Cloudflare 推出新的過(guò)濾和控制功能，例如我們即將發(fā)布的 IDS/IPS 和 DLP 解決方案，只需點(diǎn)擊幾下鼠標(biāo)，Acme 就能啟用它們并進(jìn)一步增強(qiáng)安全性。

Acme 的長(zhǎng)期目標(biāo)是將全部安全和性能功能轉(zhuǎn)移到云，作為服務(wù)使用。Magic WAN 為這一遷移鋪平了道路，允許他們?cè)谔蕴瓊鹘y(tǒng)硬件的同時(shí)逐步深化其安全態(tài)勢(shì)。

數(shù)字化轉(zhuǎn)型向傳統(tǒng)網(wǎng)絡(luò)架構(gòu)發(fā)起了挑戰(zhàn)，導(dǎo)致笨拙的“螺栓固定式”安全實(shí)踐全然不適用于當(dāng)今的全球企業(yè)。隨著越來(lái)越多智能移向邊緣，企業(yè)必須利用現(xiàn)代 WAN 技術(shù)來(lái)提供廣泛的、以云交付的內(nèi)置安全服務(wù)。如今，企業(yè)真正需要的是具有強(qiáng)大安全性的快速邊緣全局連接。

— Christopher Rodriguez，IDC Research 網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理

Cloudflare 網(wǎng)絡(luò)成為貴組織網(wǎng)絡(luò)的擴(kuò)展

和我們的許多產(chǎn)品一樣，Cloudflare One 最初是針對(duì)我們?cè)跀U(kuò)大和保護(hù)自身網(wǎng)絡(luò)時(shí)所遭遇問(wèn)題的一套解決方案。Magic WAN 和 Magic Firewall 讓我們能夠?qū)⑦^(guò)去 10 年謹(jǐn)慎架構(gòu)決策的益處帶給客戶：

全球規(guī)模，接近用戶： 不管您的辦公室、數(shù)據(jù)中心和用戶在哪里，我們都近在咫尺。通過(guò)我們的 CDN 服務(wù)，我們努力建立了到最終用戶的良好連接性，對(duì)于居家工作并需要與貴公司網(wǎng)絡(luò)建立良好連接的員工而言，這也帶來(lái)了好處。這也意味著，我們能在接近來(lái)源的邊緣阻止威脅，而不用承擔(dān)惡意流量令容量有限的本地設(shè)備不堪重負(fù)的風(fēng)險(xiǎn)。

與硬件和運(yùn)營(yíng)商無(wú)關(guān)：使用您現(xiàn)有的任何硬件與我們連接，從我們的多樣化運(yùn)營(yíng)商連接性所提供的韌性中獲益。

從頭構(gòu)建，協(xié)同工作：我們的產(chǎn)品是在軟件中從零開(kāi)發(fā)的，以便能輕松集成。在我們的產(chǎn)品構(gòu)建和發(fā)展過(guò)程中，我們不斷思考它們能如何集成來(lái)互相促進(jìn)。