安全的SD-WAN：状态防火墙不足

       整个分支机构络的敏捷性和较低的成本是软件定义WAN(SD-WAN)的大好处和承诺。但是，当我们将部分专用络的公司流量移至公共Internet链接时，安全性会如何?

　　与运营商络相比，公共Internet上开放的宽带路由对恶意软件和不良行为的影响更大。此外，WAN虚拟化与将应用程序放置在云中的做法相结合，扩展了络范围。需要一种在不增加业务风险的情况下获得SD-WAN技术优势的方法。这需要将安全功能放在组织总部，分支机构位置和云中的多个级别上，从而造成复杂性和困难。理想情况下，好通过托管服务解决数据和络安全方面的问题。

　　状态防火墙不足

　　尽管防火墙功能包括基于策略的过滤和基于端口或IP地址的阻止应用程序，但是基本的状态防火墙可能足以作为第1阶段连接来将Internet上的位置连接到特定的SaaS IP，但不能用于更广泛的Internet访问。为此，需要第4层到第7层控制功能，例如下一代防火墙(NGFW)，入侵防御系统(IPS)，URL过滤等。

　　大多数常见的SD-WAN实现都了一种使用IPsec加密分支到分支公司流量的方法，从而保护了数据。由于大多数SD-WAN供应商都IPsec，因此通常认为SD-WAN是安全的。IPsec确实可以在遍历络时处理保护数据，但对直接分支到云流量的入侵和恶意软件没有任何影响。

　　全面的安全解决方案不仅包括IPsec传输加密，还包括具有统一威胁管理(UTM)功能的下一代防火墙(NGFW)，是成功部署SD-WAN并显着增加防御层的首要条件之一。我们都知道，没有单独的安全应用程序可以解决络安全难题。需要一套全面的安全功能来缓解整个威胁格局中的不同类型的风险。

　　有一个解决方案

　　克服潜在安全漏洞的理想方法是寻找可以额外安全性即服务的SD-WAN商。例如，PCCW Global可以充当SD-WAN和选择托管服务的一站式服务，一个供应商意味着单一的联系点，单一的合同和更轻松的日常管理。

　　甲托管防火墙和/或云安全解决方案结合了各种先进的安全功能，包括沙盒，应用控制，入侵检测和防御(IDS / IPS)，隔离或以其他方式偏转检测到恶意软件，和Web过滤，它定义了危险因特站点并阻止用户访问他们。

　　请注意，由于每个分支机构都构成了暴露于公共Internet的WAN边缘，因此每个分支机构都需要具备所有这些功能。某些解决方案还可以根据需要和预算灵活地选择在SD-WAN和防火墙设备或托管在同一设备上的虚拟映像之间进行选择。

　　无论您选择什么，重要的是要记住状态防火墙不足以保护您的络。选择SD-WAN商时，请仔细查看可用的安全选项。