SD-WAN 路由器和防火墙

       SD-WAN路由器不需要位于防火墙后面，但如果需要安全策略就可以了。分支机构中的WAN路由器通常直接连接到传输，而不是位于单独的防火墙设备后面。当隧道配置在WAN边缘路由器的传输物理接口上时，默认情况下，WAN边缘路由器的物理接口仅限于有限数量的协议。默认情况下，除了DTLS/TLS和IPsec数据包外，还允许DHCP、DNS、ICMP和HTTPs数据包进入接口。默认情况下，用于底层路由的SSH、NTP、STUN、NETCONF、BGP本地数据包处于关闭状态。建议禁止任何不必要的内容，并最小化您允许通过接口的机器协议。

       此外，请注意，如果防火墙位于WAN边缘路由器前，防火墙不能检查大部分流量，因为防火墙会看到用于连接WAN边缘路由器数据平面的AES-256加密IPsec数据包和用于WAN加密DTLS/TLS加密数据包边缘控制平面连接。但如果使用防火墙，需要打开防火墙上所需的端口，以适应SD-WAN路由器的IPsec和DTLS/TLS连接。如果需要应用NAT，建议一对一NAT，尤其是数据中心站点。其他类型的NAT可以在分支机构使用，但是对称的NAT可能会导致与其他站点的数据平面连接出现问题，所以部署时要小心。

       请注意，对于直接互联网流量和PCI合规用例，IOSXESD-WAN路由器支持其原始完整的安全堆栈，包括应用防火墙、IPS/IDS、恶意软件保护和URL过滤。这种安全堆栈支持消除了在远程站点部署和支持额外安全硬件的需要。vedge路由器支持其基于区域的防火墙。这两种路由器可以与Ciscoumbrella集成，作为安全的互联网网关(SIG)，实现基于云的安全。

微云网络&网络综合解决方案提供商帮助企业信息化建设、数字化转型和全球互联网。SD-WAN方案可实现全球访问加速、SaaS访问加速、海外视频加速、海外分支组网，有效提升国际间沟通效率，助力中国企业开拓国际市场…热线：400-028-9798，欢迎来电咨询。