了解远程网络连接
全球安全访问支持两种连接选项:在最终用户设备上安装客户端,以及配置远程网络,例如使用物理路由器的分支位置。 远程网络连接让最终用户和来宾无需安装“全局安全访问”客户端,即可从远程网络进行连接。
本文介绍远程网络连接的主要概念,以及有用的常见场景。
什么是远程网络?
远程网络是需要 Internet 连接的远程位置或网络。 例如,许多企业都会设立一个中央总部,并在不同地理区域设立分支机构。 这些分支机构需要访问企业数据和服务。 它们需要安全的方式与数据中心、总部和远程办公员工进行交流。 对于许多类型的企业而言,远程网络的安全性至关重要。
远程网络(如分支机构)通常通过专用广域网 (WAN) 或虚拟专用网络 (VPN) 连接企业网络。 在分支机构位置的员工使用客户本地设备 (CPE) 连接网络。
远程网络安全目前面临的挑战
带宽需求持续增加 – 需要访问 Internet 的设备数量呈指数级增加。 传统网络难以进行缩放。 随着像 Microsoft 365 这样的软件即服务 (SaaS) 应用程序的出现,对于低延迟、无抖动通信的需求越来越大,而这两点需求是广域网 (WAN) 和多协议标签交换 (MPLS) 等传统技术所无法满足的。
IT 团队运营成本高昂 – 防火墙通常安装在本地物理设备上,需要 IT 团队进行设置和维护。 而在每一处分支机构都维护一支 IT 团队要花费大量成本。
不断演变的威胁 – 恶意行动者想尽各种办法来攻击位于网络边缘的设备。 分支机构甚至家庭办公室中的边缘设备通常是最易受到攻击的攻击点。
全局安全访问远程网络连接的工作原理是什么?
远程网络若要连接全局安全访问,需要在本地设备和全局安全访问终结点之间设置一条内部协议安全 (IPSec) 隧道。 指定的流量经由 IPSec 隧道路由到最近的全局安全访问终结点。 可以在 Microsoft Entra 管理中心应用安全策略。
全局安全访问远程网络连接在远程网络和全局安全访问服务之间提供了一套安全解决方案。 它不在两个远程网络之间提供安全连接。 若要详细了解安全远程网络与远程网络的连接,请参阅 Azure 虚拟 WAN 文档。
为什么远程网络连接对你很重要?
如今,团队分散在不同地点,远程办公盛行,让维护企业网络的安全性变得越来越难。 安全服务边缘 (SSE) 能够提供安全的环境,让客户可以从世界任何一个角落访问其企业资源,而无需将流量回传到总部。
远程网络连接常见场景
我不想在几千台本地设备上安装客户端。
通常,在设备上安装客户端会强制实施 SSE。 客户端会创建一条通往最近的 SSE 终结点的隧道,并通过这条隧道路由所有 Internet 流量。 SSE 解决方案会检查流量并强制实施安全策略。 如果用户不是移动办公,而是在实体分支机构位置,则该分支机构位置的远程网络连接可省去在每台设备上安装客户端的繁琐。 可以通过在分支机构办公室和全局安全访问终结点之间创建一条 IPSec 隧道来连接整个分支机构位置。
我无法在组织拥有的所有设备上都安装客户端。
有时,并不能在所有设备上都安装客户端。 全局安全访问目前提供 Windows 版客户端。 可如果本地使用的是 Linux、大型机、打印机和其他类型的设备向 Internet 发送流量,该怎么办? 这种情况下,仍然需要监视并确保流量的安全。 连接远程网络时,可以为来自该位置的所有流量制定策略,无论是来自哪里的设备。
我的网络上,有的来宾没有安装客户端。
网络上的来宾设备可能并未安装客户端。 为了确保此类设备遵守网络安全策略,需要通过全局安全访问终结点来路由此类设备的流量。 远程网络连接可以解决此问题。 不需要在来宾设备上安装客户端。 默认情况下,从远程网络发出的所有流量都要经过安全评估。
每个租户将分配多少带宽
分配的总带宽取决于购买的许可证数。 每个 Microsoft Entra ID P1 许可证、Microsoft Entra Internet Access 许可证或 Microsoft Entra Suite 许可证都会为你的总带宽贡献一份力量。 可将远程网络的带宽分配给 IPsec 隧道,增量为 250 Mbps、500 Mbps、750 Mbps 或 1000 Mbps。 这种灵活性使你可以根据具体需求将带宽分配给不同的远程网络位置。 为了获得最佳性能,Microsoft建议为每个位置至少配置两个 IPsec 隧道以实现高可用性。 下表根据购买的许可证数详细说明了总带宽。
远程网络带宽分配
| 许可证数 | 总带宽(Mbps) |
|---|---|
| 50 – 99 | 500 Mbps |
| 100 – 499 | 1,000 Mbps |
| 500 – 999 | 2,000 Mbps |
| 1,000 – 1,499 | 3,500 Mbps |
| 1,500 – 1,999 | 4,000 Mbps |
| 2,000 – 2,499 | 4,500 Mbps |
| 2,500 – 2,999 | 5,000 Mbps |
| 3,000 – 3,499 | 5,500 Mbps |
| 3,500 – 3,999 | 6,000 Mbps |
| 4,000 – 4,499 | 6,500 Mbps |
| 4,500 – 4,999 | 7,000 Mbps |
| 5,000 – 5,499 | 10,000 Mbps |
| 5,500 – 5,999 | 10,500 Mbps |
| 6,000 – 6,499 | 11,000 Mbps |
| 6,500 – 6,999 | 11,500 Mbps |
| 7,000 – 7,499 | 12,000 Mbps |
| 7,500 – 7,999 | 12,500 Mbps |
| 8,000 – 8,499 | 13,000 Mbps |
| 8,500 – 8,999 | 13,500 Mbps |
| 9,000 – 9,499 | 14,000 Mbps |
| 9,500 – 9,999 | 14,500 Mbps |
| 1万+ | 35,000 Mbps + |
表格注释
- 使用远程网络连接功能的最小许可证数为 50。
- 许可证数等于购买的许可证总数(Entra ID P1 + Entra Internet Access /Entra Suite)。 购买 10,000 个许可证后,每购买 500 个许可证(例如 11,000 个许可证 = 36,000 Mbps)将获得额外的 500 Mbps。
- 超过10,000个许可证的组织通常在企业规模上运行,需要更为强健的基础设施。 跳转到 35,000 Mbps 可确保有足够的容量来满足此类部署的需求,支持更高的流量量,并根据需要灵活地扩展带宽分配。
- 如果需要更多带宽,则其他带宽将可供购买。
每个租户分配的带宽示例:
租户 1:
- 1,000 个 Entra ID P1 许可证
- 已分配:1,000 个许可证、3,500 Mbps
租户 2:
- 3,000 个 Entra ID P1 许可证
- 3,000 个 Internet 访问许可证
- 已分配:6,000 个许可证、11,000 Mbps
租户 3:
- 8,000 个 Entra ID P1 许可证
- 6,000 个 Entra 套件许可证
- 已分配:14,000 个许可证、39,000 Mbps
远程网络的带宽分布示例
租户 1:
总带宽:3,500 Mbps
分配:
- 站点 A:2 个 IPsec 隧道:2 x 250 Mbps = 500 Mbps
- 站点 B:2 个 IPsec 隧道:2 x 250 Mbps = 500 Mbps
- 站点 C:2 个 IPsec 隧道:2 x 500 Mbps = 1,000 Mbps
- 站点 D:2 个 IPsec 隧道:2 x 750 Mbps = 1,500 Mbps
剩余带宽:无
租户 2:
总带宽:11,000 Mbps
分配:
- 站点 A:2 个 IPsec 隧道:2 x 250 Mbps = 500 Mbps
- 站点 B:2 个 IPsec 隧道:2 x 500 Mbps = 1,000 Mbps
- 站点 C:2 个 IPsec 隧道:2 x 750 Mbps = 1,500 Mbps
- 站点 D:2 个 IPsec 隧道:2 x 1,000 Mbps = 2,000 Mbps
- 站点 E:2 个 IPsec 隧道:2 x 1,000 Mbps = 2,000 Mbps
剩余带宽:4,000 Mbps
租户 3:
总带宽:39,000 Mbps
分配:
- 站点 A:2 个 IPsec 隧道:2 x 250 Mbps = 500 Mbps
- 站点 B:2 个 IPsec 隧道:2 x 500 Mbps = 1,000 Mbps
- 站点 C:2 个 IPsec 隧道:2 x 750 Mbps = 1,500 Mbps
- 站点 D:2 个 IPsec 隧道:2 x 750 Mbps = 1,500 Mbps
- 站点 E:2 个 IPsec 隧道:2 x 1,000 Mbps = 2,000 Mbps
- 站点 F:2 个 IPsec 隧道:2 x 1,000 Mbps = 2,000 Mbps
- 站点 G:2 个 IPsec 隧道:2 x 1,000 Mbps = 2,000 Mbps
剩余带宽:28,500 Mbps