您企业的SD-WAN需要应用层防火墙吗?

随着SD-WAN企业有必要在推出后的一段时间内SD-WAN在解决方案中建立安全服务和防火墙，使其解决方案更具吸引力和安全性。

许多WAN允许分段，但粒度不够。为了解决这个问题，有些程序会允许你细分到端点。本质上，这个粒度就是你在防火墙上VLAN粒度。

SD-WAN供应商将安全元素和防火墙集成到其解决方案中，并声称可以创建单一的安全覆盖WAN和LAN的策略。

一般情况下，应用程序分类为五元组(源与目标地址、源与目标端口号及三层协议类型)或六元组(五元组加DSCP或ToS值)。这些都不在应用程序层中识别服务和用户所需的粒度。事实上，SD-WAN供应商往往很难完成此操作所需的详细级别。

WAN防火墙检查跨服务私有骨干传输的所有流量，并允许移动用户和办公用户应用相同的安全策略。此外，虚拟化的还络功能(NFV)功能，允许在SD-WAN部署符合解决方案NFV的防火墙。

攻击者是如何到达你的WAN?

对于许多SD-WAN对于供应商来说，安全集成意味着检查传输和传输的互联流量，以确保安全。但是，检查是绑定的互联网的HTTP流量不能解决从危险网站到网站流量的问题，这需要它自己的保护和检查。

大多数客户使用下一代防火墙，安全Web关、防火墙等互联网安全设备分割络。ACL和VLAN大多数客户不必担心将一个资源与另一个资源分割WAN分段本身。

WAN分段可以防止一个办公室的攻击在整个企业中传播。因为大部分安全威胁来自企业，对于需要良好安全的组织来说，WAN分段变得不可或缺。SD-WAN基于控制器的络并简化WAN分段。

SD-WAN解决方案允许用户在节点之间定义策略。在定义每个策略时，用户将包括地址搜索、网络配置、应用程序特征等。这个基于策略的系统通常是通过的IPsec在每个策略中定义的办公室中创建多点隧道。

在每一段中，流量仅限于该段相关的目的地和来源。公司通常根据用例使用WAN分为5-7个应用组。例如，这些应用程序可以包括访客Wi-Fi，关键任务应用程序、文件传输、实时应用程序等。