Magic Wan和Magic防火墙：安全的网络连接作为服务

回到2020年10月，我们介绍了CloudFlare一个，我们对公司网络和安全的未来的愿景。从那时起，我们一直在重点关注提供更多这个平台的碎片，今天我们很高兴地宣布其最大的两个基础方面：Magic Wan和Magic防火墙。 Magic WAN为整个企业网络提供安全，性能的连通性和路由，降低成本和操作复杂性。 Magic防火墙与Magic Wan顺利集成，使您能够在边缘执行网络防火墙策略，从您网络中的任何实体跨越流量。

企业网络历史上采用了一些型号之一，该模型旨在实现办公室和数据中心之间的安全信息流，可以访问互联网锁定并在办公室周期管理。随着云迁移到办公室的云和员工的应用程序，这些设计停止了工作，以及VPN盒等带辅助解决方案不会解决企业网络架构的核心问题。

在连接方面，全网状MPLS（多协议标签交换）网络昂贵且耗时，以便维持，呈指数难以扩展，并且通常具有可见性的主要间隙。其他架构需要通过中央位置回程流量，然后将其发送回源，这引入了不可接受的延迟损失，并且需要购买昂贵的集线器硬件以获得最大容量而不是实际利用率。大多数顾客谈到的是在世界上最糟糕的是：多年或几十年来的不可能管理的架构的结合。安全架构师也与这些型号斗争 - 他们必须从不同的供应商叠加一堆安全硬件盒，并随着他们的网络增长而折腾成本，性能和安全性。

使用Magic Wan，您可以安全地连接任何交通源 - 数据中心，办公室，设备，云属性 - 到CloudFlare的网络，并配置路由策略，以获取所需的位，所有内容都在一个SaaS解决方案中。 Magic Wan支持各种On--ramps，包括符合Anycast GRE隧道，CloudFlare网络互连，Argo隧道，经纱和各种网络上的坡道合作伙伴。没有MPLS费用或交通费用，没有更多的业绩惩罚来自交通漫步声，而且没有更多的噩梦管理遗留解决方案的纠结：相反，使用CloudFlare的全球任意分垒网络作为您的延伸，并获得更好的性能和可见性内置的性能和可见性。

一旦您的流量连接到CloudFlare，您如何控制网络中的哪些实体允许相互交互，或互联网？这是魔法防火墙进来的地方。魔术防火墙允许您在整个网络上集中管理策略，所有内容都是服务的。 Magic防火墙为您提供细粒度控制，在您的网络中或网络内部允许使用数据。甚至更好，您可以将流量从单个仪表板上流过您的网络刻录到完全。

Magic Wan为CloudFlare One中包含的广泛功能提供了基础，这些功能都是从地下建造的软件，以便平稳地整合。 Magic防火墙可用于魔术中的盒子开箱即用，客户可以轻松激活额外的零信任安全性和性能功能，例如我们的安全Web网关，具有远程浏览器隔离，入侵检测系统，智能路由等。

“我们的网络团队由Magic Wan兴奋。 CloudFlare建立了一个全局网络的AS-Service平台，可以帮助网络团队更有效地管理复杂的边缘和多云环境。无论总HQ，数据中心，分支机构还是最终用户位置 - 是WAN技术的游戏更换器，操作单个全局WAN - 桑德彼得森，基础设施负责人，Flightradar24

这是什么样的具体看起来像什么？让＆＃39; s探索某种方式可以使用Magic Wan和Magic防火墙来解决企业网络和安全性的问题，以及一个示例客户，Acme Corp.

如今，Acme Corp在世界各地设有办事处，每个人都与MPLS相互连接到区域数据中心。每个数据中心都托管公司应用程序和一堆硬件盒以使其安全，也租用了至少一个其他数据中心的线路连接。 ACME还将一些应用程序迁移到云端，他们计划从其数据中心与云提供商建立直接连接，以提高安全性和可靠性。

由于ACME已经成长，他们的网络团队之一＆＃39;最一致的痛点正在管理和维护他们的MPLS连接。它＆＃39;昂贵和部署需要长时间的交货时间，限制了Acme扩展到新地点的速度（特别是国际）或通过收购增加的支持办公室。 Acme的员工连接到云提供商和SaaS应用程序的潜在潜伏期，因为流量发夹通过ACME数据中心进行安全策略，用于在发送到目的地之前通过一堆硬件盒强制执行。办公室之间的流量，例如IP电话和视频会议，没有应用于它的任何安全策略，在ACME的安全姿势中呈现差距。

就像他们＆＃39;重新工作过渡到云进行计算和存储，ACME希望远离这些私人链接，而是安全地利用互联网，安全地利用互联网，以进行连接。他们考虑通过互联网建立完全网站网站的IPSec VPN隧道，但复杂性应对他们的网络团队以及其异构路由器部署。 Magic Wan已准备好在今天，他们在那里达到他们，简化网络管理，并提供即时性能的福利，以及启用ACME＆＃39;逐渐过渡远离MPLS。

在此示例下与Magic WAN部署，ACME将每个办公室和VPC连接到CloudFlare与AnyCast GRE隧道。使用此架构，ACME仅需要为每个站点/互联网连接设置单个隧道，以便自动接收到CloudFlare＆＃39;整个全球网络（世界各地100个国家的200+城市）的连接 - 就像集线器一样和辐条架构，除了集线器到处都是。 ACME还选择通过CloudFlare网络互连从他们的数据中心建立专用的私人连接，通过CloudFlare的高度互联网络，实现更安全和可靠的交通交付和与其他网络/云提供商的巨大连接。

一旦建立了这些隧道，ACME就可以在其专用网络（RFC 1918空间）内配置允许的流量路由，而CloudFlare获取需要去的流量，提供弹性和流量优化。使用易于安装过程仅需几个小时，Acme Corp可以从MPLS开始迁移。随着新的CloudFlare引入了像QoS和Argo的一个能力，ACME的网络性能和可靠性将继续改进。

当ACME CORP＆＃39;由于Covid-19大流行，ACME争吵，员工突然过渡到去年在远程工作的时候争吵，以查找短期修复程序以维持员工访问内部资源。他们的遗产vpns didn＆＃39; t持有，持有从家庭工作的ACME员工努力提供连接，可靠性和性能问题，因为电器被推动超出他们所设计的限制。

谢天谢地，有一个更好的解决方案！ Acme Corp可以使用CloudFlare for Teams和Magic Wan，为员工提供安全的方式，以便员工从他们的设备中访问私人网络后面的资源，无论何处都有工作。 ACME员工在他们的设备上安装Warp客户端以将流量发送到CloudFlare＆＃39; S网络，在那里它可以通过GRE隧道连接到CloudFlare的数据中心或VPC中的私人资源（如上图所示） ，Argo隧道，CloudFlare网络互连，或IPsec（即将推出）。该架构解决了ACME与其遗留VPN的验证的性能和容量问题 - 而不是通过单个扼流点设备发送所有流量，它被路由到最近的CloudFlare位置，策略在沿着其目的地的优化路径发送策略。

来自Acme Corp＆＃39; S员工设备，数据中心和办公室的流量也将能够通过魔法防火墙进行策略，以实现强大的，颗粒政策控制＆＃39; S跨越所有＆＃34;在坡道上。＆＃34 ;员工是否从他们的手机和笔记本电脑连接或从ACME办公室工作，可以在同一个地方应用相同的政策。这简化了配置并提高了ACME＆＃39; ST和安全团队的可见性，他将能够登录CloudFlare仪表板，以在一个地方查看和控制政策 - 与管理跨不同VPN，防火墙的员工访问相比，游戏更改器和云服务。

此解决方案允许ACME从VPN，防火墙和安全的Web网关设备转过来，提高性能，从员工工作的任何地方都可以通过流量进行简单的政策管理。

从历史上看，ACME依赖于物理办公室和数据中心的一堆硬件设备，以强制执行网络安全性并获得网络上发生的事情的可见性：专门的防火墙检查入站或出站流量，入侵检测系统和暹粒。由于其组织正在迁移到云端并重新思考遥控工作的未来，ACME安全团队正在寻找可持续解决方案，即使在传统城堡和护城河架构中曾经有可能。

以前，我们走过ACME如何配置Magic WAN，将流量从办公室，数据中心，云属性和设备发送到CloudFlare网络。这次流量流过CloudFlare，它很容易添加访问控制和过滤功能，以增强或替换预售的安全硬件，所有玻璃窗格通过单个窗格交付和管理。

使用魔法防火墙，客户可以在边缘运行的单个防火墙 - AS-A-A-A-A-Serve，替换他们安装在分支机构或数据中心的笨重框。 Magic防火墙允许它们轻松管理配置，还可以简化合规审计。

要控制访问，客户可以将策略放在适当位置，以确定允许哪个流量去哪里。例如，Acme希望流量从Internet流到端口80和443上的数据中心内的Web服务器，但希望锁定SSH访问分支机构内的某些专用网络。

如果ACME希望进一步锁定其网络，他们可以采用零信任访问模型，可以使用Access和Gateway来控制，谁可以通过CloudFlare网络的所有流量达到什么。随着CloudFlare发布新的过滤和控制功能，如我们即将到来的IDS / IPS和DLP解决方案，ACME可以使其进一步提高安全性，只需点击几下即可进一步提高安全性。

ACME的长期目标是将所有安全性和性能函数转换为云，作为服务消耗。 Magic Wan为此迁移提供了平滑的路径，使他们逐步加深他们的安全姿势，因为他们退休了旧硬件。

随着最近的偏远工人的枢轴增加了云层的收养量增加了互联网，萨斯和IAAS交通压力传统网络架构等MPLS的数量。 WAN架构提供全球规模，集成企业网络安全功能，直接，安全的与远程用户的安全连接是寻求提高运营敏捷性的组织的关键，并降低总体拥有成本。 - Ghassan Abdo，IDC Research VP，WW Telecom，Virtualization＆amp; CDN.

像我们的许多产品一样，CloudFlare一个人开始作为我们在成长和保护自己的网络时所经历的问题的一个解决方案。 Magic Wan和Magic防火墙允许我们在过去十年内延长我们仔细的建筑决策的好处：

全球规模＆amp;靠近眼球：无论您的办公室，数据中心和用户都在哪里，我们都在关闭。由于我们的CDN业务，我们努力建立与眼球网络的巨大连接，这为偏远工人提供了从家庭返回网络的偏远工人支付股息。这也意味着我们可以在边缘停止威胁，靠近他们的来源，而不是在预售电梯电器上运行压倒性的恶意交通的风险。

硬件和运营商无关：使用您今天的任何硬件来连接我们，并获得我们不同的运营商连接所提供的弹性的好处。

从头划线建造共同努力：我们从头开始开发了我们的软件，轻松整合。我们不断思考我们的产品如何集成，以便更好地使其更好地创造和发展。

Magic Wan提供有限的Beta，魔法防火墙通常可用于所有魔术过境客户，并用魔术湾中的盒子。 如果您有兴趣测试魔术WAN或者想要了解有关CloudFlare如何帮助您的组织更换遗产的MPLS架构，请为远程工作人员的安全访问，并加深您的安全姿势，同时降低总体拥有成本，请联系。 CloudFlare一个产品新闻安全周防火墙网络