SD-WAN最初可能只是一种网络技术,但它的未来取决于安全性。将分支安全特性集成到SD-WAN中,允许更精简、更简单的远程办公部署。为此,安全厂商引入了SD-WAN功能,而SD-WAN厂商则添加了安全功能。
1.带有基本防火墙的SD-WAN设备
许多SD-WAN供应商在他们的SD-WAN设备中提供基本的防火墙功能。这些防火墙大致相当于您可能在分支办公室路由器中看到的有状态防火墙。功能将包括基于策略的过滤和基于端口或IP地址的阻塞应用程序。例如思科(Cisco)、银峰(Silver Peak)和维洛云(Velocloud)。
对于SaaS而言,基本的有状态防火墙可能足以将位置连接到Internet,但对于提供更广泛的Internet访问却不够。为此,你需要第4层到第7层的控制能力,如-下一代防火墙(NGFW),入侵防御系统(IPS), URL过滤和更多。
2.具有先进防火墙的SD-WAN设备
一些SD-WAN供应商在其设备中包括了高级安全功能。组织获得一个要部署的物理设备,但是他们仍然需要管理单独的安全和网络域。正是这种碎片模糊了它的可见性和控制力。还有一个关于设备形式的问题。
设备的生命周期中包含了大量的OPEX成本,包括测试、部署、维护和管理设备。设备的有限资源常常会迫使意外的硬件升级,比如流量级别的跃升,或者启用计算密集型特性(如IPS或SSL拦截)时。设备也仅限于保护它们所保护的站点。它们对保护移动用户没有任何作用,除非VPN返回到站点,这通常会带来性能问题。
3.防火墙设备与SD-WAN
与此同时,一些安全厂商已经为他们的NGFW设备发布了SD-WAN功能。根据高德纳公司(Gartner)最近的一份报告,其中包括梭鱼鱼(Barracuda)、Fortinet和思科?
使用启用了SD-WAN的防火墙设备,安全性比包含在SD-WAN设备中的基本防火墙要好得多。然而,组织仍然受到设备的限制。更重要的是,虽然这些设备中有很多在纸面上看起来不错,他们缺乏成熟的SD-WAN产品。
SD-WAN应该能够在几秒内切换到辅助连接,理想情况下,切换到亚秒,这足以快速维护会话状态。这是SD-WAN和基本IP路由之间的一个根本区别,后者可能需要40秒才能汇聚到另一个IP连接上。然而,一些提供SD-WAN功能的安全厂商,如Cisco Meraki,在连接之间切换可能需要多达300秒的时间。
收集性能指标也是SD-WAN边缘设备非常重要。它允许他们选择给定应用的最佳路径,是从链路聚合的根本区别之一。但是,一些安全解决方案,例如Fortinet SD-WAN 5.6,缺乏路径度量。[注:Fortinet目前正在升级其SD-WAN,预计将在其下一个版本中解决这一问题和其他SD-WAN问题。]
4.安全SD-WAN作为服务
相反,一些厂商正在消除了换挡SD-WAN设备,在某些情况下,安全保障能力。卡托网络是这种方法的最好的例子,提供了一个完全集成的安全和SD-WAN服务。(卡托云也运行在自己的骨干,消除互联网骨干网的问题。)
其他的SD-WAN服务正在提供安全的SD-WAN部件。例如,Aryaka通过其SD-WAN服务提供了基本的防火墙功能,但未能提供L4到L7控件,如NGFW、IPS、URL过滤和防病毒。Bigleaf Networks也是如此。