SD-WAN的4种安全架构类型

　　1.具有基本防火墙的SD-WAN设备

　　许多SD-WAN供应商在其SD-WAN设备中基本的防火墙功能。这些防火墙大致相当于您在分支机构路由器中可能看到的有状态防火墙。功能将包括基于策略的筛选和基于端口或IP地址的阻止应用程序。

　　基本的状态防火墙足以作为第1阶段的连接，用于将Internet上的位置连接到特定的SaaS IP，但不能用于更广泛的Internet访问。为此，您将需要诸如下一代防火墙(NGFW)，入侵防御系统(IPS)，URL过滤等功能。因此，SD-WAN设备供应商与第三方安全商合作，强调了使用服务插入和服务链将流量从SD-WAN引导到安全资源的能力。
 

　　2.具有高级防火墙的SD-WAN设备

　　一些供应商在其SD-WAN设备中包括NGFW功能。一些供应商正在选择并重新包装其设备中的特定第三方NGFW。

　　其他供应商可以在其设备中运行第三方虚拟络功能(VNF)。SD分支解决方案了完整的集成络和安全功能。虚拟客户驻地设备也可以运行第三方VNF。
 

　　3.带有SD-WAN的防火墙设备

　　使用支持SD-WAN的防火墙设备，安全性远优于SD-WAN设备中包含的基本防火墙。但是，组织仍然受到设备约束的限制。更重要的是，尽管其中许多设备在纸张上看起来不错，但它们却缺乏成熟的SD-WAN产品的成熟度。

　　SD-WAN应该能够在几秒钟内切换到辅助连接，理想情况下只需几秒钟即可切换到辅助连接，该速度足以维持会话状态。这是SD-WAN与基本IP路由之间的根本区别，可能需要40秒才能融合到备用IP连接上。但是，某些SD-WAN功能的安全供应商可能需要多达300秒的时间才能在连接之间进行切换。
 

　　4.安全的SD-WAN即服务

　　一些供应商通过转移SD-WAN以及某些情况下的安全功能来淘汰设备。

　　其他服务是安全SD-WAN即服务方法的一部分。通过SD-WAN服务基本的防火墙功能，但是在没有利用合作伙伴的情况下无法L4到L7控件。
 

　　在这两种情况下，供应商都可以继续使用旧式防火墙，但是对于希望实现该方法的全部好处的组织，他们必须愿意将其络和安全体系结构过渡到新的供应商。