为什么安全公司是最贴切做SD-WAN的？

网络厂商根本无力涉足 SD-WAN 领域，一些 SD-WAN方案 仅添加有状态数据包过滤能力，就称之拥有“安全性”。

在 SD-WAN 诞生之初，在市场中“开荒”的只是单纯的 SD-WAN 厂商，但很快就暴露出了缺点 —— “安全性”不到位。相比之下，安全厂商从一开始就强调安全的重要性。

如今，安全厂商似乎倾向于提供具有普遍安全特性的 SD-WAN 功能。Gartner 广域网边缘基础设施魔力象限报告对此进行了重大预测，报告指出：“到 2024 年，随着云服务的不断普及，分布式企业购买的新防火墙中将有 50％ 使用 SD-WAN 功能，而今天这一比例还不到 20％。”

目前，市场上已经有 Forcepoint、SonicWall 和 Barracuda 等安全厂商采用了 Fortinet 模式，为 广域网边缘架构提供了内置安全能力，以支持分布式企业这一庞大的使用场景。

集成安全的SD-WAN解决方案简介

显然，集成安全的SD-WAN解决方案包括领先的下一代防火墙安全性、SD-WAN、高级路由和 WAN 优化功能，能够提供由安全驱动的 广域网边缘。它融合了 SD-WAN 的功能和安全特性。

集成安全的SD-WAN解决方案可以完全部署在分支机构和云中或者混合环境中。对于不想完全云化的企业来说，混合实现可能是一种更可行的选择。

值得注意的是，据 Gartner 估计，Fortinet 拥有超过 21,000 个SD-WAN客户。这一庞大的用户群是对 Fortinet 产品的充分肯定，尤其是当强大而内置的安全功能成为关键要求时。

为网络增加安全性

安全公司添加新网络功能可谓是信手拈来，SD-WAN 公司添加高级安全功能（补齐 20 年以来的安全缺口）却是难上加难。我们可以大胆地假设任何 SD-WAN 厂商都不会成为安全厂商。

随着市场的发展，一些功能必须适时地进行重命名，比如有关应用身份、加密、路径监控、路由协议和 广域网链路负载均衡的特性。从根本上讲，所有这些高级路由功能都不是新功能，也不是 SD-WAN 专有功能。它们并不是一夜之间突然冒出来的，而是在 SD-WAN 市场形成之前就已经存在了。

但是，在某些场景中，您可能必须在 广域网上实施专有路由协议，当然这需要一个新设备。但是对于大部分而言，只需在网络边缘部署一个综合性防火墙便足矣。

部署在广域网边缘的防火墙

防火墙正在演变成能够提供 SD-WAN 功能的网络安全平台。网络防火墙魔力象限报告指出：“中小型企业多功能防火墙市场在 2018 年增长了 10.1％，其中 SD-WAN 的采用是一个强劲的推动力。”

仔细想想，您会发现防火墙已经充当路由器很长时间了。防火墙基本上可以提供专用 WAN、互联网和内部路由所需的所有路由协议，并且通常通过专门负责路由的基础设备来实现。但是，这些功能正在被带有防火墙的边缘设备所替代。

防火墙已经进驻网络数十年了，除了做分内的安全工作外，它们还参与路由工作，常常被用作提供路由的 WAN 边缘设备。

传统安全设计的问题

如何集成安全性与 SD-WAN？普通的设计方法主要涉及多个单点安全解决方案的集成。我们先来了解一下这样做的后果。

复杂性

单点解决方案只能解决一个问题，必须进行大量集成，因此它们通常以服务链的形式存在，并且必须环环相扣、紧密融合。

由于必须要不断地添加解决方案，管理开销和复杂性可能会随之飙增，更不用说 NOC 和 SOC 团队整合所面临的挑战了。而 SD-WAN 的最初卖点就是降低复杂性。

如果我们研究一下 SD-WAN 领域的安全性，就会发现：目前它的使用方式实际上增加了复杂性。这就像您本来只想简单地买房，却变成了一砖一瓦地砌房。

分析表明，许多 SD-WAN 只是借用其他厂商的安全技术，“堆砌”起来出售给客户。

相关成本

在网络中分散使用来自不同厂商的多点解决方案不仅成本高昂，价格也永远不固定。一些安全厂商可能会无论您使用多少，都按使用模式收费。那么，如何有效规划多点解决方案的使用？

随着成本的不断累加，安全专员可能会出于压力牺牲掉一定的单点解决方案。我们知道，这不是一种有效的风险管理策略。理想情况下，安全工作应该做到有备无患，防范未然。这意味着威胁情报是关键，许多 SD-WAN 厂商常常忽略了这一点。

无论是从技术层面还是成本角度来看，整合所有安全解决方案的功能都无比重要。这样只需一个经验丰富的安全专员来管理便可。这也是将 SD-WAN 功能和高级安全性同时整合到一个集成式综合平台中的原因。

集成安全的SD-WAN解决方案完美地做到了这一点，从而避免了更复杂的管理、许可问题，以及较高的成本或不必要的服务链。

SD-WAN 的关键不在于功能

SD-WAN 市场上有很多“功能至上论”。但现实却是，“功能并没有创造太大的价值去支持市场细分”。实际上，SD-WAN 的价值主张与功能无关，毕竟各家厂商在应用分类和路径择优发送上都做得很好。我们来了解一下 SD-WAN 的真正价值主张。

性能与可扩展性

就 SD-WAN 而言，通常最应关注的是应用流量导向，但举例来说，如果您没有性能可靠的 TLS1.3 深度检查，如何获得准确的身份证明并确保您的分支机构安全？但是，关注这一点的人并不多。

为此，我们需要定制的 SD-WAN 特定应用专用集成电路 (ASIC)，这可以为高资源密集型加密/解密和覆写可扩展性提供强大的优势。

使用 IPSec 时，系统需要进行大量加密运算，会占用大量 CPU 和 RAM 资源。而这项任务可以由专用 SD-WAN ASIC 来代劳，以便减少每个通道消耗的 CPU 和 RAM。

通常，可扩展性的上限为 1,000 或 1,500。而借助适当的 ASIC，这一数字可以增加到 100,000 以上，一些大型中心站点可能会很受用。此外，您还可以在同一设备中运行网络堆栈和安全堆栈，从而打造一款经济高效的解决方案。

威胁情报的重要性

下一代防火墙是许多 SD-WAN 厂商数据表中的标配，那么威胁检测和威胁防护服务呢？在许多 SD-WAN 解决方案中，威胁情报（结合威胁研究）仍然处于缺席状态。威胁形势不断演变，安全解决方案也应该与时俱进。

威胁防护的核心功能覆盖 4-7 层，比如 IPS、内容过滤、深度 SSL 检查和恶意软件防护。此外，我们还有一个威胁检测工具。如今，我们不能仅靠检测已知威胁就高枕无忧，还必须检测未知威胁。因此，拥有一整套预防和检测功能非常重要。有了这两种能力，我们就相当于拥有了经验丰富的安全研究和分析人员团队。了解 SD-WAN 厂商是否具有自己的威胁情报非常重要。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!