一、前言

传统网络架构和现代网络架构区别

• 传统网络架构

一个数据中心--服务器都在数据中心，想要访问公司业务系统的流量都汇入了数据中心，访问公司内部业务系统通过公司内网或vpn接入。

• 现代网络架构

① 互联网服务区去中心化，多个分支机构均有属于自己的业务机房，每个机房之间互相连通。

② 业务系统大量上云（云上业务系统安全问题）

③ 远程办公、移动办公的接入需求。

举个栗子

具有一定网络安全意识的张三创建了一个公司，其中有部分业务系统如门户网站和购物商城需要公众用户访问，而有部分业务如财务系统、办公OA这些只需要内部员工访问。于是张三就建设了一个数据中心，将所有业务系统所需的服务器放置在了这个并通过VLAN和NAT的技术实现了这些需求，并且他还购买了防火墙、IPS/IDS、流量探针等设备为数据中心打造了一道坚固的壁垒。为了方便出差、居家人员远程办公，张三还部署了VPN网关让远程办公人员通过VPN连接内网。

这样的网络架构就像一个堡垒，从互联网到数据中心的流量都会经过这些安全设备（类似于堡垒的城墙）的检测，如下图。

图1 传统网络架构的防护体系

后来张三的公司做大做强，陆续在不同的地域成立了几个分公司，分公司也建立了自己的机房部署业务系统，有自己的内网和互联网出口，并和总部公司有数据交互。这个时候要想更全面的保障网络安全问题，按照传统模式就需要在这些分公司的机房又把VPN、防火墙等这些设备各上一套。

又后来，随着网络技术的不断发展，云计算时代的到来，张三又将一些业务系统上了公有云，省心又省力。但是云上的业务系统安全又如何保障呢？当然有的云服务商也可以提供一定的安全防护，但是得加钱而且防护也是有限的。

随着技术的不断发展网络边界逐渐变的模糊，这就导致了以下问题：互联网暴露面（攻击面）增加；安全设备采购成本和运维成本增加。

1. SASE基本概念

SASE（Secure Access Service Edge，安全访问服务边缘）是由Gartner公司的研究人员在2019年首次提出的一种新型企业网络安全架构。该架构旨在基于分布式的云原生平台向用户提供融合的网络和安全服务，它的核心理念就是将网络与安全功能整合在一起，通过云交付的方式来保障企业网络访问的安全与稳定。

SASE是一种架构而不是指一个产品，它的核心组成部分是该架构下的通用组件，网络部分通常为SD-WAN（软件定义广域网）或WAN 即服务 (WANaaS)，而安全部分主要包括 ZTNA（零信任网络访问）、 SWG（安全 Web 网关）、 FWaaS（防火墙即服务）、 CASB（云访问安全代理）。在理想状态下，引入sase网络安全架构的企业可以最大限度的减少网络安全投入成本，并提高安全资源调配的灵活性。

2. 概念背景

SASE网络安全架构的提出是因为传统的安全防护体系已经无法满足数字化企业的安全需求，那么很多企业的网络安全部门领导就会提出疑问：我分管信息安全这么多年，花了这么多钱，买了这么多安全设备，数据中心机房已经成了坚固的堡垒，怎么就不能满足安全需求了呢？那这些安全设备也有话说了，以前我防的都是哪里来的流量，现在防的哪里来的，防完远程接入的，接着防移动终端接入的、分支机构接入的、访问云上业务系统的，命都不要啦！

而传统的网络安全防护体系都是建立在边界的防护上， 如防火墙、IDS/IPS、VPN等，对内网重视的企业也会通过 VLAN、访问控制列表（ACL）等技术来限制内网东西向流量，防止未经授权的横向移动。

但是，随着混合办公模式的流行、业务系统逐步上云等，让网络边界逐渐变的模糊；另一方面，网络攻击的手段也在不断升级，因内部员工而导致的数据泄露事件也时有发生，因此单纯基于边界的防护体系已经很难保障数字化企业的网络安全需求。

图2 现代网络架构安全威胁示意

互联网业务安全威胁：首当其冲的就是暴露在互联网的网站、app、小程序等业务系统，虽然企业在边界部署了防火墙、IPS等防御手段，但是面对高级APT攻击、0day漏洞等威胁，基于边界防护的防御体系难免有所疏漏；况且很多企业都是一部分业务系统在自建IDC机房，一部分上云，这就意味着需要多套安全防护设备来保障不同区域的网络安全。

内网业务系统安全威胁：在边界防护设备保护下的内网所面对的安全威胁就更加严峻了，一旦边界被突破，攻击者在大多数情况下就直接开始内网漫游了。其一，内网很多软件、业务系统等漏洞很多都是没打补丁的，我遇到过很多企业为了内部业务系统的稳定运行，对于这些漏洞都是采取规避或者置之不理的处置方式。

其二，很多企业的都会有远程办公的需求，大多数都采用的是通过VPN的方式接入内部网络，但是目前来看这种方式并不安全， 尽管有些企业已经采用多因子认证，但仍有相当一部分企业依赖简单的单因子认证，这使得VPN的安全性存在隐患 ，并且VPN网关开放在互联网的端口也会是攻击者集中火力的对象。

我们可以将内网的每一台主机想象成某座城里大大小小的生意摊，而穿过城门进入城内的与这些生意摊进行交易的人就是“数据包”，同一家来的“数据包”共同组成了“流量”，那么企图在这些生意摊上盗窃、搞破坏的坏人就是“恶意流量”。在传统的边界防御体系中，进入城内的方式一般有如下几种：

1、物理专线，这是某重要人物的专用通道，是从他们家门口直接修到城内，每天都需要有人来维护保证专线的正常通行。好处就是独立性极高，除了这家人谁也别想在这条路上走进城去，坏人就很难利用；缺点就是成本高，一般人用不起。

2、VPN隧道，这就像是有特殊标志的马车或轿子，在出发前就有相关部门发的通行证，到城门守卫核验通过后就可以进入城内和授权的摊贩进行交易。在进城之前任何人看不到这个马车和轿子里是什么人。

3、在城内有的生意摊需要和城外进行一些交易往来，这个时候城门处守卫（防火墙）就会城外放一个公共摊位“互联网IP”，给不同的小摊一个城外进行传输的端口，就像是从一个生意摊上搭建一个绳索通过这个端口让城外的人进来， 通过这个绳索，城外的人可以进入特定的摊位与内网资源进行交互，这就像NAT将内网资源映射到互联网开放的端口。

这个时候，所有进出的流量都是通过城门守卫来进行盘查以确保没有坏人混进来。但是坏人是可以通过技术手段窃取通行证“VPN登录凭证”，甚至说是搞定了发通行证的部门“VPN网关”；亦或是通过绳索利用“0day”、“免杀”等手段绕过守卫检查进入到某个生意摊前，将这个生意摊据为己有从而再去盗窃、破坏相邻的生意摊。

面对这些威胁，企业如何有针对性的去构建一套更加完善的网络防护体系呢？

首先，对于互联网业务系统来说最简单有效的方式就是收敛互联网暴露面，将这些只需要对特定对象开放的业务系统下沉到内网并做严格的访问权限控制，这将大幅度降低企业所面对的来自于互联网攻击的威胁。

收敛互联网暴露面就需要将互联网资产下沉到内网，但这样做就导致了远程办公和移动办公的人员就无法顺畅的访问这些已经下沉到内网的业务系统了。自然而然，这些办公人员就需要安装VPN客户端来通过VPN来实现互联网访问内网资源了，但是前面就聊过这种方式也并不安全。

对于内网业务系统而言，除了对资产进行及时的安全加固外，其主要威胁就是来自东西向的流量了。当内网的流量也无法保证安全时，就需要对每次访问内网资源的流量进行实时的监测和精细化的管控。

在这样的背景下， 零信任网络访问架构（ZTNA）应用而生，它的原则就是“永不信任、始终验证”。任何用户或设备在其身份和授权得到验证之前都不被信任，不能访问资源，而是通过持续的验证和监控来确保网络资源的安全访问。

二、零信任网络访问（ZTNA）

在与客户交流SASE网络安全架构时，必然是要解释一下零信任网络访问，客户经常会问到的第一个问题就是零信任和VPN有什么区别？第二个问题就是零信任到底比VPN安全在哪里？

ZTNA VS VPN-功能

• VPN概念：VPN也就是虚拟专用网络（Virtual Private Network），通过在公共网络建立虚拟的专用网络“隧道”。这样做的目的通常是为了1、在数据传输的过程中加密，保证数据的安全性和机密性；2、实现内部网络资源的访问。

通常会把VPN隧道解释成类似于专线的虚拟通道，个人理解VPN隧道更像是一列行驶在互联网通道上的装甲列车，通过封装和加密等技术使其从逻辑上达到与互联网隔离，而专线则是与互联网通道完全隔离的独立通道。

• 原理：简单来说，VPN技术通过对客户端和VPN网关之间的网络流量进行加密和封装，确保数据在互联网上以更加安全和隐秘的方式传输，从而在逻辑上形成一个与互联网隔离的“隧道”。可以把它类比为数据被装在一辆辆接连不断的马车中，这些马车持续不断地传送数据，形成了一条加密的“隧道”。在数据到达VPN网关之前，数据不会被解密或解封，因此即使中间经过了多个路由器或其他网络设备，第三方也无法窥探数据内容。

图3 VPN原理示意

相较于传统的物理专线，VPN的加密隧道是可以随时关闭并且没有额外的物理线路去维护，显然使用起来更加的灵活而且成本更低。但是本质上VPN隧道还是依赖于互联网通道，因此安全性和稳定性自然是不如物理专线的，并且数据在不断的封装和解封装，因此对传输速率也有一定的影响。

• ZTNA概念： ZTNA（ 零信任网络架构 ）的核心理念是"永不信任，始终验证"， 与传统基于边界的安全模型不同，ZTNA 假定网络内部和外部均不可信，必须对所有的用户、设备和资源请求进行严格验证，以最小权限原则授予访问权限。用户或设备只能访问所需的资源，且权限受到严格限制， 并且会实时监控所有活动，检测异常行为。
• 原理：也就是说，ZTNA不光是为城内每个“生意摊”都设置关卡，甚至是摊上的每个物品、每个抽屉都要设置关卡。比方说甲摊是卖菜的，大白菜在80端口，黄瓜在443端口；乙摊是饭店，而张三的身份是只能买大白菜，那他从出门到菜摊前的行为都会被监测管控。

1. 城内交易市场 = 整个网络
   在传统网络中，只要进入了市场（即进入网络边界），大部分摊位和商品对任何人都是开放的。而在 ZTNA 中，市场不再是一个整体的信任区域，每个摊位甚至每件商品都有独立的验证机制。
2. 摊位 = 服务或系统
   比如甲摊是卖菜的服务器，乙摊是饭店管理的业务系统。每个摊位都必须严格控制谁可以访问，以及可以访问哪些内容。
3. 商品 = 具体资源（如端口、数据、功能）

• • 大白菜（80端口）和黄瓜（443端口）是不同的资源，访问它们需要不同的权限。
  • 即使用户张三被允许访问甲摊，也并不意味着他能拿到黄瓜，甚至连看见黄瓜的权利都没有。

4. 用户张三的权限 = 最小权限访问

• • 张三是一个经过验证的用户（或者流量），但其权限仅限于买大白菜，且可能只允许在特定时间段或特定设备上完成。
  • 即使张三是恶意流量，他最多也只能拿到被授权的大白菜，而无法横向扩展访问其他摊位或资源。

5. 监控与动态调整 = 实时评估和行为分析

• • 张三在市场中的所有行为（如走路的路径、停留的摊位）都被记录和分析。一旦他的行为偏离了预期（如突然试图访问黄瓜或其他摊位），系统可能会立即限制他的行动，甚至将他驱逐出市场。

6. 恶意流量 = 攻击者

• • 即使攻击者成功伪装成了张三，他的行动范围也受到严格限制，无法获得市场中更多的资源。

在传统模型中，只要张三进入了市场，他理论上可以随便逛所有摊位，看所有商品（即横向移动风险）。而在 ZTNA 模型中，张三的权限是被严格限制的：他不能随便换摊，甚至在甲摊上只能看大白菜，不能看黄瓜。

在部署方式上，VPN（虚拟专用网络）和 ZTNA（零信任网络架构）的区别也很显著，主要体现在网络架构、设备要求、配置复杂性和适用场景等方面。以下是二者在部署方式上的核心差异：

三、总结

随着企业业务系统的分布式部署、云计算的普及以及混合办公模式的兴起，传统的边界防护安全模型逐渐暴露出其局限性。以零信任网络架构（ZTNA）为核心的 SASE 模型通过云原生的方式整合网络和安全功能，为企业提供了一种面向未来的网络安全解决方案。

通过采用 SASE 架构，企业不仅能够显著降低安全设备的采购和运维成本，还可以灵活应对现代化网络环境中的复杂威胁。SASE 架构通过收敛互联网暴露面、强化远程办公支持、统一云与本地防护、实施实时威胁监测等手段，为企业提供了更高的安全性和效率。

未来，随着网络技术的进一步发展，企业需要不断更新和优化安全策略，以适应数字化转型带来的新挑战。SASE 的架构理念无疑为企业指明了构建下一代网络安全体系的方向。

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）