vpn代理软件排行（SASE）

受到“新冠”病毒疫情的影响，世界各地的企业开始采取在家办公模式（当然，如今中国的企业已经开始复工啦，但也仍旧不可避免地需要使用远程办公方式）。从某种意义上说，正是相关远程网络技术的发展支持了人们远程工作的方式，通过 家中的宽带或VPN连接企业网络，进行文件传输及视频会议等，人们可以像在常规办公环境中一样继续有效地完成工作。

这并不意味着IT部门能够很好地支持这些关键技术，使得员工可以顺利的在家办公。这要取决于公司现有的网络体系结构的类型，支持这些成千上万名员工庞大的突发远程流量，可能会比较容易，但也可能会面临很大挑战。

网络基础设施服务提供商Apcela公司的CEO Mark Casey讲述了许多大型企业在这些方面面临的挑战。这些企业通常仍将传统的星型WAN设置在物理数据中心中。企业网络流量从分支机构和其他远程的地方（比如员工家里）回传到中央数据中心，通过安全堆栈，然后再发送到Internet或云服务。但不幸的是，这种传统的网络架构无法很好地适应因远程办公大量增加而导致的截然不同的流量模式。

在这种环境下的VPN架构是，Cisco的AnyConnect解决方案将其主要与Cisco设备搭配使用，该解决方案可与供应商的ASA防火墙产品搭配使用。无数大型企业在其本地数据中心中拥有这些硬件设备。无论是Cisco设备还是其他供应商，VPN /防火墙组合在正常情况下都是真正的主力军，但是远程办公人员的大量增加却对此造成了很大压力。

VPN容量趋于紧张

试想一名员工在家办公时的场景：该员工在家启动了VPN连接，该VPN连接创建了安全隧道，可将其直接连接入数据中心。当企业期望10％到20％的员工在任何给定时间远程工作时，这可能还能良好承载，但是现在这个数字如果接近50％或70％，就可能会导致资源争用，所有人的VPN体验会变得很差。此外，还会出现员工将大量Internet通信以及发往内部应用（例如Microsoft Office 365）的通信路由到数据中心等情况。Casey表示，在与许多大型企业组织进行互动交流时，经常会会看到这种情况。

“最近，我们与多家公司进行了交流，他们表示他们需要扩展VPN容量，但传统的网络体系结构却使他们望而却步。思科、Palo Alto Networks和其他公司提供免费的VPN客户端许可证，但企业用户仍然需要扩展VPN终端设备，而在这种情况下很难快速扩展容量。” Casey表示，“不管是‘新冠’病毒还是其他突发状况对旧有网络环境造成了这样的压力，我们都主张企业应实现多元化，并将其部分网络架构转移到云上。从长远来看，这将为他们提供更大的灵活性，以便为其员工提供安全的远程访问服务。”

SASE具有灵活性和按需容量

Casey提到了SASE（安全访问服务边缘）框架，作为重新架构企业网络的模型， SASE一词是Gartner提出的名称，它结合了SD-WAN功能和主要通过基于云的交付模型来交付许多安全服务。

Gartner将“服务边缘”定义为通过将SD-WAN功能与网络安全服务（例如安全Web网关（SWG）、云访问安全代理（CASB）和基于云的防火墙）相结合，来支持数字企业访问需求的产品。简而言之，SASE产品通过提供高度可定制的基于策略的控制来帮助简化网络管理，该控制可以根据用户身份、会话上下文以及应用对性能和安全性的需求进行定制，并且是从云中交付的。

假设某位员工正在从上海家中的VPN接入到公司网络，而数据中心位于北京。通常，所有流量都会定向到北京，但是如果他正在访问互联网内容，则最好通过安全的Web网关将流量通过本地发送到用户所在的地方。最好访问位于上海的VPN终止于本地防火墙的站点，并且那里有一个安全的Web网关，以便可以将Internet流量传到那里，而不是将其回传到北京。上海的这个站点就称为服务边缘。

公司防火墙的虚拟版本位于中心。 VPN终止于本地hub中的VPN集中器，然后对流量进行适当的路由。 进入互联网的流量通过安全的Web网关流出，而发往数据中心中的应用的流量则通过安全的专用网络传输。这实际上是回到数据中心的另一条隧道。 对于整个SASE概念而言，这是一个很好的用例，它将提升企业的某些核心安全组件并将其移至云中。

人们用云来形容AWS这样的云服务提供商所做的云服务，但是Casey为云提供了更广泛的定义：“云是软件即服务，就像Salesforce那样的。如果您是企业，那么云就像是Equinix数据中心。 云与你不那么直接相关，它就是作为服务交付的。”

服务边缘是强大的枢纽

用Apcela的话来说，服务边缘称为应用中心或AppHub。 其他公司称它们为通信中心，云中心或简称为PoP。 无论名称如何，概念都是相同的。

这些hub由交换和路由设备机架组成，这些机架通常部署在与运营商无关的托管中心中。然后，将这些数据中心与高容量、低延迟的线路互连，以创建高性能的核心网络。SD-WAN、VPN和安全堆栈通常部署在hub中。在此网络的边缘，企业可以直接连接自己的数据中心、分支机构、远程和移动用户，甚至第三方合作伙伴。领先的SASE提供商在全球范围内建立了PoP，以便企业及其员工可以连接到最近的hub，以获得他们所需的通信和安全服务，每个企业都可以选择需要使用的服务。

在考虑如何将安全性部署为虚拟服务时，Casey表示：“您不一定要将所有安全性都放在AWS这样的云服务商中，因为那样一来它就可以与AWS一起很好地合作，但不适用于GCP或Azure，并且不会对您的SaaS应用有所帮​​助。因此，拥有位于应用云（Salesforce、Office 365等）与用户及企业之间的中心环境是放置这些安全服务的理想位置。而且由于hub本质上是一种基础架构即服务，因此您不必迁移到某些专有的基于云的平台。”

SASE基础架构本质上是按需提供的，因此新客户很容易采用它，这并不复杂。我们必须在其他的某个地方找到一个位置，然后交叉连接回企业的基础架构以提供私有连接。但这一切都非常像云。它需要云的敏捷性和云的速度，并使您能够迅速采取行动。

SASE已预先构建VPN容量

SASE模型使公司可以轻松扩展其VPN平台，因为该功能都是预先构建的。服务启动后，公司将可以为数以千计的员工提供远程办公支持。

那么一般新客户采用SASE方法需要花费多少时间呢？Casey表示：“当时 Apcela的解决方案是花了几天到几周的时间，当然，这取决于客户的安全平台，因为我们在安全方面利用了虚拟化网络功能，因此整个采购和运输设备的环节就不需要了。”其他供应商可以以不同的方式进行部署。

将这种方法与在数据中心中安装新硬件以提供更大容量的传统模型进行对比可知。公司通过订购硬件，并将其运送到数据中心，然后进行安装和配置等环节，可能要花费两三个月。

SASE框架的另一个好处是流量通过私有核心网络而不是公共Internet传输。 “互联网不应该成为您的新WAN，当然，这不适用于业务和关键任务平台。对于云应用，您需要一种类似MPLS的专用网络，这是SASE平台所要做的。” Casey表示， “流量是在安全边缘从Internet上移开，放置在专用安全网络上，然后直接路由到相应的SaaS或IaaS平台数据中心。”

目前，拥有专用核心网络尤为重要，因为由于如此多的人在家在家办公，由于流量和内容模式的变化，公共Internet承受着巨大的压力。这种压力是如此严重，以至于在欧洲，相关机构要求Facebook和Netflix等公司节制其服务以消耗更少的带宽。毕竟，谁都不希望自己企业的办公流量与Netflix这些互联网服务商竞争带宽。

如果您的企业今后还需要远程工作的能力，可以考虑采取SASE服务方式。