安全的SD-WAN：状态防火墙不足

软件定义了整个分支机构络的敏捷性和较低的成本WAN(SD-WAN)最大的好处和承诺。但是，当我们将一些特殊网络的公司流量转移到公共internet链接时，安全性如何？

与运营商络相比，公共Internet上开放的宽带路由对恶意软件和不良行为的影响更大。此外，WAN虚拟化与将应用程序放置在云中的实践相结合，扩大了络范围。在不增加业务风险的情况下，需要获得一个SD-WAN技术优势的方法。这需要将安全功能放在组织总部、分支机构的位置和云中的多个层次上，从而造成复杂性和困难。理想情况下，数据和网络安全问题可以通过托管服务解决。

防火墙状态不足

虽然防火墙的功能包括基于策略的过滤和基于端口或IP地址的预防应用程序，但基本状态的防火墙可能足以连接Internet上的位置作为第一阶段的连接SaaS IP，但不能用于更广泛的Internet访问。因此，需要从第四层到第七层的控制功能，如下一代防火墙(NGFW)，入侵防御系统(IPS)，URL过滤等。

大多数是常见的SD-WAN实现了利用IPsec加密分支到分公司流量的方法，从而保护数据。因为大多数SD-WAN供应商都IPsec，所以通常认为SD-WAN是安全的。IPsec保护数据确实可以在遍历时处理，但对直接分支到云流量的入侵和恶意软件没有影响。

全面的安全解决方案不仅包括IPsec传输加密，还包括统一的威胁管理(UTM)下一代防火墙的功能(NGFW)，是成功部署SD-WAN显著增加防御层的首要条件之一。众所周知，没有单独的安全应用程序可以解决网络安全问题。在整个威胁模式中，需要一套全面的安全功能来缓解不同类型的风险。

有一个解决方案

克服潜在安全漏洞的理想方法是寻找额外的安全服务SD-WAN商。例如，PCCW Global可以充当SD-WAN并选择托管服务的一站式服务，供应商意味着单一的联系点、单一的合同和更容易的日常管理。

A托管防火墙和/或云安全解决方案结合了各种先进的安全功能，包括沙箱、应用控制、入侵检测和防御(IDS / IPS)，隔离或以其他方式偏转检测恶意软件和Web过滤，定义危险因特网站，防止用户访问它们。

请注意，由于每个分支机构都暴露在公共internet中WAN边缘，所以每个分支机构都需要具备所有这些功能。一些解决方案也可以根据需要和预算灵活选择SD-WAN在同一设备上选择防火墙设备或托管的虚拟图像。

无论你选择什么，记住防火墙不足以保护你的络都很重要。选择SD-WAN商时，请仔细检查可用的安全选项。