技术简介:SD-WAN边缘安全

简介

随着云和SaaS的持续增长，企业正在寻找提供最佳互联网接入的解决方案，而不管端点位于何处。思杰SD-WAN擅长在Edge上通过WAN或Internet流量引导内网流量。它应用业务规则来识别使用4,500多个预定义条目的数据库的应用程序。

然而，为了提供直接的Internet访问，企业也需要对远程办公室进行安全保护。直接访问Internet会使远程网络以及整个公司网络暴露在威胁之下。必须对进出流量进行过滤、检查和扫描，以防范漏洞。

Citrix SD-WAN有一个本机机载ICSA认证防火墙．它与领先的第三方集成安全网络网关(SWG)供应商通过云代理。思杰SD-WAN还在swg上作为虚拟网络功能．安全合作伙伴包括:

• 伊博人
• 检查
• 帕洛阿尔托
• Forcepoint
• Zscaler

现在思杰已将本机板载下一代防火墙边缘安全功能添加到SD-WAN保护选项库中。Citrix SD-WAN版本11.2高级版的发布结合了完整的堆栈安全功能，以及其应用程序性能增强功能，包括:

• 入侵预防
• 网络过滤
• 恶意软件防护

因此，企业现在可以完全使用Citrix从其网络边缘安全地增强应用程序性能。他们还可以放心地使用思杰SD-WAN设备来整合他们的分支机构网络，该设备可以在检查流量和保护流量的同时提供对Internet服务的指导。企业还可以使用思杰云托管的Orchestrator服务，通过单个玻璃平面管理和监控边缘安全。

开始

仅需少数几个需求，思杰SD-WAN客户就可以快速启动并运行高级版-边缘安全:

• Citrix协调器
• 11.2 +软件
• 1100 AE电器
• AE (Advanced Edition) license
• 防火墙安全配置文件
• 防火墙策略动作

网络配置-软件版本11.2.0.88和1100设备

基本设置-设备版AE

防火墙安全配置文件

防火墙配置文件动作

入侵预防

入侵防御系统(IPS)通过识别、记录和阻止已知攻击来降低网络威胁的风险。攻击模式会定期更新并添加到公共数据库中。思杰SD-WAN边缘保护-入侵防御包括超过34,000个签名检测和启发式签名用于端口扫描。

Citrix SD-WAN Edge安全入侵防御功能由Suricata开源网络威胁检测引擎。Suricata由开放信息安全基金会(OISF)拥有和支持。它使用广泛的规则和强大的签名语言来检查通过防火墙的网络流量。

规则查找攻击，例如

• 端口扫描，机器人或不良行为者测试易被渗透的开放端口。
• 任何来自已知的“坏”公共IP地址的流量。
• 拒绝服务攻击，攻击者试图通过过度发送某些协议序列或大量的流来溢出网络带宽和接收缓冲区。

Citrix SD-WAN入侵防御包括根据严重程度分为四个优先级类别之一的预定义规则:

• 至关重要的
• 高
• 媒介
• 低

规则是可定制的，包括用于指定要在逻辑语句中识别的模式的字段。一旦匹配，可以采取以下操作:

• 推荐-执行为签名定义的推荐操作。
• 启用日志-允许并记录匹配规则中任何签名的流量。
• allow list—签名的源网络和目标网络被修改以排除allow list变量定义的网络。
• 禁用—禁用签名。允许流量继续到达目的地而不进行日志记录。
• 启用阻断-丢弃匹配规则中任意签名的流量。
• —如果规则动作为“推荐”，签名的推荐动作为“启用日志”，则丢弃命中该规则中任意一个签名的流量。

您可以通过报告入侵预防事件来保持可见性。

有关更多信息，请参阅Citrix SD-WAN Edge Security -入侵防御

网络过滤

网络过滤降低了毫无戒心的用户点击已知“不安全”域名后面的网站链接，并感染恶意软件、病毒、勒索软件或其他威胁的端点的风险。它还有助于保护用户不访问违反遵从性规则或企业可接受使用策略的站点。

Citrix SD-WAN利用Webroot的BrightCloud基于机器学习的Web分类和Web信誉引擎来过滤域名。它包括超过320亿个url和7.5亿个域名。当用户访问一个站点时，URL被发送进行分类。维护一个临时的本地缓存，以便在下次请求URL时加快查找。

启用Web过滤，并在安全配置文件中配置首选项。

现有类别可以选择“阻止”访问网站或“标记”(日志)访问。或者，特定的网站可以通过域名或IP地址“绕过”。

您可以通过报告Web Filtering事件来保持可见性。

有关更多信息，请参阅思杰SD-WAN边缘安全- Web过滤

反恶意软件

反恶意软件保护用户免受勒索软件和病毒。它防范通过HTTP下载或从SMTP发送的电子邮件打开的文件。由Bitdefender，它会通过电子邮件或HTTP下载为用户组装和扫描文件。然后，反恶意软件可以阻止文件传递，记录其存在，并或就识别的风险发送通知。

Citrix SD-WAN Anti-Malware采用四个步骤来评估文件。它可以扫描41种文件类型扩展和10种MIME类型的电子邮件内容。如果该文件未能通过以下任何测试，则被认为是恶意软件，下载将被阻止:

1. 在威胁情报数据库中，根据文件指纹信息查询文件元数据信息。
2. 在执行云查找时，使用Bitdefender的特征库在服务器上运行本地扫描。
3. 执行启发式扫描以查找可执行文件中的可疑模式。
4. 最后，评估模拟器中的代码并查找恶意活动。

通过选择特定文件类型的扩展名，可以启用或禁用反恶意软件。

此外，您还可以选择从扫描中排除某些MIME类型。

您可以通过报告反恶意软件事件来保持可见性。

有关更多信息，请参阅思杰SD-WAN边缘安全-反恶意软件

分化

随着Edge Security(附于11.2高级版)的出现，思杰现在是少数几个在本地设备中提供入侵检测、Web过滤和反恶意软件的SD-WAN供应商之一。凭借Edge Security，思杰SD-WAN为企业提供了重大价值，包括:

• 最大化用户体验和最小化网络带宽-企业不再需要通过自身的Wan进行网络流量回程，以满足合规要求，防范互联网风险。现在，他们可以将流引导到最近的业务SaaS站点，同时保护端点。
• 确保企业周边安全-虽然直接接入互联网可以提高应用程序的性能，但它会使分支机构和公司网络面临风险。Edge Security通过防范远程办公室互联网访问点上的漏洞来减轻这种风险。
• 分公司合并-企业可以简化他们必须在远程办公实用壁橱中管理和托管的设备。以下所有设备功能都可以用思杰SD-WAN 1100 AE设备替换:
  • 独立路由器
  • SWG设备和防火墙
  • DHCP和DNS服务器
  • 广域网优化设备
• 单点接触-客户可就网络转发或网络安全问题与思杰联系。如果出现复杂的问题，单一的联络点可以避免相互指责。企业可以与思杰服务合作，为运营提供支持。
• 简化监控管理借助思杰云托管的Orchestrator服务，企业管理员可以使用一个易于使用的仪表板来安装、配置和监控其思杰SD-WAN边缘安全实现。

总结

企业可以提供良好的互联网服务用户体验，同时在Edge出口点保护其内部网思杰SD-WAN Edge安全．与11.2高级版Citrix提供入侵防御、Web过滤和反恶意软件在SD-WAN 1100 AE设备．分支机构保护用户端点，而管理员通过Citrix Cloud托管的Orchestrator服务集中管理和监控其网络。