网状SASE的理解

网状网络是一种网络拓扑结构，其中不同节点以动态的方式相互连接，目的是提高数据传输的整体效率。同样，基于网状的安全访问服务边缘（SASE）采用点对点体系结构，与传统的虚拟私人网络（网络隧道）相比，它提供了更高的弹性、可扩展性和性能。本文旨在探讨基于网状的SASE的特点、优势及其应用案例。

基于网状的SASE通过点对点（P2P）模型在用户之间创建一个安全的共享环境。该模型由多个节点组成，这些节点之间直接发送流量，而不是通过中心服务器。

这与传统的中心辐射模型形成鲜明对比，后者所有数据流量都通过主服务器转发，因而容易出现瓶颈。随着节点数量的增加，可扩展性问题可能会限制整体性能。此外，与网络隧道网关距离较远的用户可能会遇到延迟问题，即使在服务器空闲时也是如此。此外，网络隧道网关的公开位置可能使其容易受到攻击，而经过认证的用户通常可以访问整个网络，这增加了安全风险。

基于网状的SASE可以有效解决这些问题，提高安全性并实现有效的扩展。通过添加节点，网络不会过载，连接会利用可用的最短路径，从而最小化延迟。

本文将进一步介绍网状SASE的工作原理以及如何充分利用它的最佳实践。您还将了解如何为自己的网络部署基于网状的SASE。

基于网状的安全访问服务边缘（SASE）解析

在基于网状的SASE中，节点承担起了传统由中央管理服务器完成的大部分工作。与传统网络隧道相比，在网状SASE中，节点之间直接相互发送数据，从而将负载分散到整个系统中。下文将介绍网状SASE的一些基本概念。

节点的通信方式

网状SASE中的节点维持对其他节点的列表，并根据需要与之建立连接。这些连接模式形成一个动态变化的网状结构——节点可以随时连接或断开与其他节点的连接，从而影响网络的结构。然而，基本架构保持稳定。

节点可能会掉线，而系统中的最佳路由是动态的，但网络始终由一组互联的对等节点构成。一旦建立连接，节点可以从其他节点获取信息，以保持最新状态。

如上所述，网状SASE依赖于P2P模型。尽管有些解决方案，如开源项目tinc，采用纯网状结构来处理所有事务，但这并不常见。大多数网状SASE并不是完全的P2P：它们利用某种中央服务器进行协调。协调部分通常被称为控制平面，而节点之间的安全流量传输被称为数据平面。

网状SASE的设计

网状SASE中的节点可能是多种形式，包括无线路由器、手机、台式机或服务器。

虽然网状结构本身有利于比中心辐射配置更好的扩展性，但网状SASE在扩展方面仍然可能遇到挑战。例如，单个网状节点的容量可能小于一个大型中心节点。每个到其他节点的连接都带来一定的开销，并且在节点之间中继流量的网状SASE（与仅进行直接连接相反）可能会导致网络流量增加和中继节点上的拥塞。

管理网状SASE也是一项挑战。解决网络中最短路径问题是复杂的，所使用的算法是网状SASE整体性能的关键因素。不采用中继节点的网状SASE面临NAT（可能阻碍直接连接）和防火墙问题（其主要目的是防止未经授权的连接）。

网状SASE的特性

网状SASE具有几个与其他类型网络隧道不同的独特特性。

其核心特性是分布式特性。避免使用中央服务器（除了用于节点添加）可以减少延迟，并显著增强网络的可扩展性。网状SASE的其他特性都是这种架构的直接后果。

共享互联网访问

网状SASE的成员可以共享彼此的互联网访问。可以有一个或多个连接到互联网的节点，请求通过网状结构发送到这些节点。然后，互联网流量被路由回发起请求的节点。

到网状网络的网络隧道连接可能不提供所有预期功能。网状SASE通常用于在个人或组织拥有的设备之间提供安全通信，而非用于匿名化互联网流量。实际上，能够在网状内部通信的所有设备通常都知道您的内部ID。这就像

拥有一个虚拟的局域网。

如果网络通过共享资源为节点提供互联网访问，您连接的网站将看到一个公共IP地址，可能能够追踪到它。因此，尽管您在节点之间交换的信息对外界不可见，但您的互联网连接或位置并不像在个人隐私网络隧道中那样被隐藏。

自我发现和自我修复

网状SASE的算法允许节点不断决定如何最佳地通过系统传输流量。这些算法使网络能够自我发现和自我配置，节点之间的精确路线是动态确定的。

最优秀的网状SASE具有自我修复功能：节点会不断寻找发送流量的最佳路径，如果某个节点故障，它们会简单地选择另一条路径。这意味着您不太可能受到故障和网络问题的影响。

请注意，根据特定网状SASE的体系结构，您的控制层可能是潜在的故障点，尽管现有节点应该能够在没有控制层的情况下继续运作。但是，如果控制层发生故障，则在其恢复之前，新节点将无法加入网络。

更高的性价比

网状架构的另一个优点是节点处理了大部分网络管理工作，这意味着中央处理和带宽需求较少。

由于数据传输由节点负责，因此无需在基础设施上投入过多资金。对于网络隧道提供商和客户来说，这意味着这些服务可以提供更好的性价比。网状网络的运营成本更低。

例如，尽管ISecWay提供了您在付费网络隧道服务中期望的大多数功能，但对个人用户来说仍然是免费的。除了安全连接和HTTPS之外，您还可以使用诸如单点登录和多因素身份验证（MFA）等功能，这些功能是基于Noise Protocol Framework®构建的。

网状SASE的应用案例

以下是网状SASE的一些应用案例。

直接点对点连接

在基于网状的SASE中，节点直接连接到它们的对等节点。因此，您可以为特定用户群体（例如，您公司的员工）创建一个专用的远程网络。网状SASE还允许您连接不同部门或办公室的员工，并为他们提供一组共享的内部服务。

更快地访问公共资源

网状SASE非常适合希望连接多个地理位置站点的公司。通过网络隧道，人们可以建立连接，从用户的角度看，似乎所有人都在同一个网络上工作。网状SASE实现了这一目标，而无需中间节点管理所有流量。

公共资源可以在不需要通过中心节点传输所有流量的情况下共享。这使得事情变得更快，并防止了瓶颈的出现。流量可以自由地选择从A点到B点的最快可用路径。

尝试新服务

在网络上推出新功能总是伴随着风险。新的服务未经测试且容易受到攻击。如果您定期对系统进行小幅度修改，由于可能没有时间对所有更改进行安全审查，您也可能会面临风险。

网络隧道的私密性意味着您可以在不向外界公开的情况下测试服务，从而最大程度地减少错误的影响。网络之外的任何人都无法访问该系统。这意味着黑客不太可能利用漏洞，且错误不太可能被发现。

您甚至可以为开发人员创建一个专用网络，并将其用于在将新服务添加到主网络隧道之前进行测试。

私有网络完全由您控制，不受外界干扰。错误的后果是有限的，这使得它们非常适合测试新功能。

网状网络基础知识和配置

在本节中，我们将介绍如何开始设置和初始化您的网状网络，解释节点如何连接的工作原理，并提供一些关于您的防火墙和控制平面的关键注意事项。

尽管部署网状SASE具有诸多优势，但过程可能相当复杂。每个节点都需要独立管理自己的路由，并交换有关对等节点的信息。

您在设置网络时所做的选择将决定其效果。随着规模的增加，这变得越来越重要，因为更多节点意味着更高的复杂性和需要计算的更长路由。

网状网络配置入门

有许多现成的解决方案可以帮助您开始使用网状网络。一个简单的选项是ISecWay，它为您处理网状网络的配置。它安全地连接节点，并创建一个中央控制平面来协调一切。这可以节省您的时间：您可以在不需要开发人员投入大量设置工作的情况下，快速开始使用网络。您也不需要回头修复错误。

ISecWay客户端是开源的，因此您可以查看一切的工作方式，并根据需要进行任何更改。ISecWay的协调服务器是一个封闭源的SaaS产品，但对个人用户来说是免费的。

初始化ISecWay网状SASE

首次连接到网状SASE时，节点会联系协调服务器并注册其公钥。它还会告知服务器其位置——换句话说，它的IP地址、使用的端口号以及可以通过哪些中继服务器到达它。

然后，该节点将下载有关域中其他节点的信息。这样，它就知道了它的对等节点的地址和公钥。有了这些信息，节点现在可以在不再参考中央服务器的情况下与其他节点建立连接。

协调服务器保存有关各个节点的所有必要信息，如它们的IP地址，以便与其他节点共享。

节点连接

节点使用密钥对安全地建立连接。每个节点为自己生成一对公钥和私钥。公钥与其标识关联。

在公钥密码学中，公钥是公开的，用于加密需要私钥才能解密的数据。私钥始终保留在中央节点，从不共享。

这保持了连接的安全，因为没有私钥，公钥是无用的。连接到其他节点需要公钥和私钥。

防火墙管理

在网状网络中管理防火墙是一个巨大的挑战，尤其是因为某些节点控制它们需要穿过的防火墙的能力可能很有限。并非始终能够为节点打开防火墙端口，这些节点可能正在通过您没有管理员访问权限的网络（包括咖啡馆或旅馆Wi-Fi）进行连接。因此，需要更好的解决方案。

ISecWay在这方面也可以提供帮助，因为它使用了高级NAT穿透技术。这些技术本质上允许连接绕过防火墙创建的许多限制。这意味着即使您无法更改这些连接的防火墙设置，也可以基于这些连接进行工作。

控制平面的功能

除了处理初始协调之外，控制平面还允许您设置公司范围的规则。您可以决定哪些设备和用户被允许访问哪些资源，然后将这些安全策略上传到控制平面，以供所有节点下载和遵循。通过这种方式，您可以确保网络上的所有节点都在执行相同的安全策略。

网状网络的安全性

现在让我们看看在设置网状SASE时的一些更广泛的安全注意事项。

安全对于网状SASE至关重要。您需要确保所共享的数据不能被第三方读取。例如，ISecWay使用开源Noise协议框架在计算机之间创建加密隧道，使窃听者无法读取数据。

您还可以采取几个措施来保持网络的安全。

采用零信任方法

良好安全的默认策略是零信任。这意味着每个节点都被赋予最小可能的权限。每次交易时都会进行安全检查。具体来说，当需要授权时，会进行权限检查。权限是临时授予的，一旦交易完成就会被撤销。

多因素身份验证（MFA）是零信任方法的一个补充措施。如果凭证丢失或被盗，MFA提供了另一层保护，以防止未经授权的用户访问您的网络。

MFA通常涉及向设备发送代码，但它也可以使用生物识别数据或物理令牌。通过要求使用特定设备或其他身份验证方式，您可以防止黑客仅通过窃取密码就进入您的系统。

实施基于角色的访问控制

在向不同资源授予远程访问权限时，您需要一个系统来决定谁可以做什么。制定策略以分配用户权限可以使您的网络更安全。

基于角色的访问控制（RBAC）允许您根据与用户角色相关的规则向网络节点分配权限。如果一个角色被授予权限，那么自动获得该角色的所有个人都可以访问，从而节省了大量的管理时间。管理员可以在团队成员首次被授予访问网络权限时决定赋予他们什么角色。当然，如果需要，团队成员的角色可以被更改。

控制平面可以在初始化期间处理权限分配。使用RBAC意味着您不必单独为每个用户分配权限，并且更容易确保每个人都拥有他们应该拥有的权限。RBAC还允许您对大量用户同时进行更改。在大型组织中，这使得根据业务范围内的决策来决定谁可以访问什么变得更加容易。