什么是分支网络？

什么是分支网络？

分支网络连接组织的各个地点，让其能够安全地交换信息。许多公司在特定地区或全球各地都设有卫星办事处。为了让这些卫星办事处连接到相同的企业网络并访问所需资源，它们之间必须有网络连接。这种需求通过分支网络来满足，不仅可将这些办事处相互连接，还能连接到中央总部，而不仅仅是互联网。

例如，想象一家企业的总部位于旧金山，并在纽约和洛杉矶设有办事处。分支网络将这些办事处连接到一个中央内部企业网络。拥有多个地点的银行、连锁餐厅、拥有不同校园的学校和其他分布式组织也可以进行同样的部署。

通常，分支网络使用：

• 路由器、交换机和防火墙将本地分支机构安全地连接到网络。
• 通过多协议标签交换 (MPLS) 路由、虚拟专用网络 (VPN) 或软件定义广域网 (SD-WAN)，在分支机构地点之间路由网络流量
• 使用安全 Web 网关 (SWG) 和防火墙来保护网络

然而，一些组织正在修改这种架构，以减少对硬件和专用网络路由的依赖，并提供更大的灵活性，来支持远程办公和云计算。分支网络可能会使用：

• 网络即服务 (NaaS)，用于在分支机构、数据中心和云之间建立连接
• 安全访问服务边缘 (SASE)，无论在哪里，都能实现安全的分布式网络和访问控制
• 防火墙即服务 (FWaaS)，用于阻止威胁
• 使用商用互联网，而非租用线路或专用连接

当然，现代化分支机构网络架构仍需一些物理设备，例如路由器和交换机，才能连接到互联网和企业网络。

什么是分支机构？

分支机构是组织开展工作的分布式地点之一。在分支机构网络环境中，分支机构可能包括数据中心、商店、餐馆、园区、银行和任何其他连接地点。

从网络的角度来看，分支机构是必须具备连接能力的地点。员工、承包商和其他用户使用托管或非托管设备来连接到网络。

分支网络面临哪些挑战？

组织必须确保其分支网络既安全又具备快速的性能，以支持生产力并保护数据。

分支机构连接挑战

• 应用程序性能：由于分支机构互相之间可能相距很远（就英里数和网络跃点而言），确保流量在分支机构和数据中心之间，或者分支机构与云之间通过有效的路径可能极具挑战性。这可能会导致应用程序性能降级或因请求超时而崩溃。
• 网络瓶颈：如果太多流量必须通过网络上的阻塞点（例如，一个分支机构突然扩大人员或使用量），这可能会导致用户和应用程序的性能下降。
• 管理复杂性：分支机构网络在物理上可能与本地 IT 团队相距甚远，因此他们必须远程管理多个不同的网络，而无法直接访问本地设备。

分支网络安全挑战

分支机构网络安全不仅涉及保护网络内部的数据，还涉及在网络和位置之间传输的数据。访问控制也是保护分支网络的核心组成部分，但在托管和非托管设备同时连接的情况下，可能难以执行。分支网络安全的一些主要挑战包括：

• 扩大的攻击面：分支网络的分散性质以及连接的器件和设备范围造成了广泛的漏洞和潜在攻击，而且这种增长还在不断增加。自带设备 (BYOD) 策略也会给网络带来未知的威胁和漏洞。
• 可见性：跟踪跨越不同网络的恶意或意外网络流量复杂且耗时。
• 分布式拒绝服务 (DDoS) 攻击：攻击者可用垃圾流量淹没网络资源，使网络离线，或减慢合法用户的服务速度。对于传统分支网络，缓解这些攻击通常是一个高度手动的过程。
• 监管合规：由于前所众多原因（复杂性、缺乏可见性、庞大的攻击面），在分支网络中强制要求符合 PCI-DSS 或 GDPR 等数据安全和隐私标准是一项重大挑战。
• 执行安全策略：将各用户分布在多个不同位置，从而确保所有用户和设备符合官方安全策略是一项挑战。

分支网络如何演变以应对这些挑战？

分支机构的位置对许多企业来说仍然很重要，但如今，大量员工通过远程方式连接到公司的应用程序和资源。采用软件即服务 (SaaS) 应用和云计算，这意味着流量需要离开组织的网络边界。

硬编码网络连接不够灵活，无法支持这些发展。此外，前述挑战让旧式方法不再适合很多组织。

因此，分支机构网络正通过采用更灵活、基于云的模型来实现现代化，例如安全访问服务边缘 (SASE)。这种模型包括原生内置的安全功能，而非额外添加。

Cloudflare 如何为分支网络提供支持？

Cloudflare 提供一个带有统一仪表板的简单平台来管理网络。Cloudflare 基于云的 WAN 服务可提供灵活的分支机构连接，而 Cloudflare 的智能路由功能则将实时网络状况考虑在内，从而在路由时能够绕过网络拥塞和中断。通过 Cloudflare，零信任安全策略会自动应用于所有位置、用户和设备。进一步了解 Cloudflare 的 SASE 平台。