伴隨著經(jīng)濟(jì)全球化與數(shù)字化變革的后浪，企業(yè)規(guī)模逐漸從垂直增加變?yōu)楸馄綌U(kuò)展。在此背景下，SD-WAN（軟件定義廣域網(wǎng)）技術(shù)既滿足了企業(yè)遠(yuǎn)程辦公連接、業(yè)務(wù)上云和集中化管理的應(yīng)用訴求，又具有快速部署、管理邊界 、建設(shè)投入小等優(yōu)勢，因此得到了迅速的發(fā)展。不過隨著SD-WAN技術(shù)的廣泛應(yīng)用，企業(yè)的網(wǎng)絡(luò)邊界也從本地終端、局域網(wǎng)絡(luò)擴(kuò)展到廣域網(wǎng)范圍的遠(yuǎn)程設(shè)備和云平臺中，這給企業(yè)創(chuàng)造了新的攻擊面，為勒索軟件、APT、病毒蠕蟲和其他惡意軟件提供了更多可乘之機(jī)。

　　企業(yè)建設(shè)網(wǎng)絡(luò)的最終目的，是為了保障其數(shù)字化業(yè)務(wù)的開展，而互聯(lián)只是達(dá)成這一目標(biāo)的基礎(chǔ)?；谄髽I(yè)對新一代網(wǎng)絡(luò)體系更深層次的安全需求，催生出安全與SD-WAN全面覆蓋和深度融合的“安全SD-WAN”創(chuàng)新方案。相比大多數(shù)傳統(tǒng)SD-WAN產(chǎn)品僅能通過VPN連接和加密技術(shù)來保障2-3層數(shù)據(jù)傳輸安全，安全SD-WAN實(shí)現(xiàn)了體系化、原生化的安全能力構(gòu)建，可以對4-7層網(wǎng)絡(luò)進(jìn)行安全檢測和分析，從而基于應(yīng)用層數(shù)據(jù)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行優(yōu)化，及時(shí)發(fā)現(xiàn)深層隱藏的病毒、木馬、惡意腳本等安全威脅，有效保障企業(yè)數(shù)字化業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。

　　為了幫助我國企業(yè)更好地了解安全SD-WAN技術(shù)創(chuàng)新價(jià)值，研究推廣安全SD-WAN方案應(yīng)用經(jīng)驗(yàn)，安全牛通過訪談?wù){(diào)研十余家甲方企業(yè)的網(wǎng)絡(luò)系統(tǒng)建設(shè)者，并從技術(shù)先進(jìn)性、產(chǎn)品創(chuàng)新力和應(yīng)用成熟度等維度，征集邀請到天融信、新華三、山石網(wǎng)科、締安科技4家國內(nèi)安全SD-WAN技術(shù)創(chuàng)新代表性廠商，聯(lián)合發(fā)起《安全SD-WAN應(yīng)用指南》報(bào)告（以下簡稱“《報(bào)告》”）研究項(xiàng)目。2022年8月18日，《報(bào)告》正式發(fā)布。

　　報(bào)告關(guān)鍵發(fā)現(xiàn)

　　企業(yè)在開展廣域網(wǎng)建設(shè)時(shí)，需要結(jié)合企業(yè)IT戰(zhàn)略、安全策略、合規(guī)要求進(jìn)行綜合規(guī)劃，網(wǎng)絡(luò)性能、建設(shè)成本、安全性、方案成熟度、合規(guī)性、運(yùn)維難度等是企業(yè)在SD-WAN選型時(shí)的主要考量因素；

　　簡單地將安全產(chǎn)品疊加到SD-WAN網(wǎng)絡(luò)中，不僅會增加更多運(yùn)維成本，還可能因?yàn)殡y以實(shí)施統(tǒng)一的安全策略而產(chǎn)生安全漏洞，如何將安全能力與SD-WAN深度融合，并能夠?qū)崿F(xiàn)一體化管理，將會影響SD-WAN未來的市場發(fā)展；

　　安全SD-WAN采用原生化安全賦能設(shè)計(jì)理念，可以實(shí)現(xiàn)網(wǎng)絡(luò)與安全一體化建設(shè)和管理，目前已經(jīng)得到了70%以上受訪企業(yè)用戶的關(guān)注；

　　可托管的安全SD-WAN服務(wù)在實(shí)現(xiàn)廣域網(wǎng)快速連接、彈性擴(kuò)展、簡易運(yùn)維、降低企業(yè)建設(shè)成本等方面存在一定優(yōu)勢，服務(wù)化產(chǎn)品模式可以更好地推動安全SD-WAN技術(shù)的落地應(yīng)用。

　　目前主流安全廠商推出的安全SD-WAN產(chǎn)品均可以有效融入到新一代SASE安全架構(gòu)中，能夠?yàn)镾ASE安全體系建設(shè)提供廣泛的網(wǎng)絡(luò)聯(lián)接及安全服務(wù)。

　　安全SD-WAN產(chǎn)品架構(gòu)

　　安全SD-WAN產(chǎn)品架構(gòu)主要包括網(wǎng)絡(luò)層、控制層以及業(yè)務(wù)層三個部分：

　　網(wǎng)絡(luò)層主要指“安全SD-WAN”的基礎(chǔ)架構(gòu)設(shè)施，包括用于連接每個節(jié)點(diǎn)的CPE（即上圖中的“安全CPE”或者連接云的“安全vCPE”，以下簡稱“CPE”），CPE通過一條或多條WAN鏈路與總部、數(shù)據(jù)中心或者云連接，CPE之間通過Overlay隧道技術(shù)互聯(lián)；

　　控制層是整個“安全SD-WAN”解決方案的指揮中心，其核心是由網(wǎng)絡(luò)控制器構(gòu)成?？刂破骶哂芯幣?、管理、控制的功能，可以對企業(yè)WAN進(jìn)行了網(wǎng)絡(luò)模型抽象和定義，并通過建模對用戶屏蔽了WAN部署和實(shí)現(xiàn)的技術(shù)細(xì)節(jié)。最終，用戶可以通過網(wǎng)絡(luò)控制器的北向業(yè)務(wù)編排界面，用接近企業(yè)應(yīng)用或業(yè)務(wù)的接口語言，驅(qū)動網(wǎng)絡(luò)控制器實(shí)現(xiàn)簡易而又靈活的網(wǎng)絡(luò)配置和業(yè)務(wù)發(fā)放；

　　業(yè)務(wù)層主要通過業(yè)務(wù)配置界面實(shí)現(xiàn)安全SD-WAN的業(yè)務(wù)呈現(xiàn)和發(fā)放。在業(yè)務(wù)層，可以實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)涠x、VPN策略定義、ACL控制定義、多業(yè)務(wù)安全相關(guān)的策略定義，以及基于應(yīng)用的流量調(diào)度策略定義等操作。

　　安全SD-WAN能力體系

　　安全防護(hù)能力建設(shè)是一項(xiàng)系統(tǒng)性工程，既要考慮不同安全維度又要顧及多個層面的安全能力，對“安全SD-WAN”來講，其安全能力既繼承了傳統(tǒng)SD-WAN組網(wǎng)的基本認(rèn)證、加密、VPN等安全技術(shù)，保證網(wǎng)絡(luò)層的傳輸安全和基本的數(shù)據(jù)保密，又增加了對4-7層數(shù)據(jù)的可見性。同時(shí)為了實(shí)現(xiàn)安全數(shù)據(jù)需要集中分析的需求，還需要結(jié)合安全服務(wù)，形成系統(tǒng)安全、基礎(chǔ)安全、應(yīng)用安全和安全服務(wù)4四個層面的安全體系模型。

　　安全SD-WAN能力體系

　　系統(tǒng)安全能力是指保障系統(tǒng)可靠運(yùn)轉(zhuǎn)的安全能力，包括控制器、邊緣接入設(shè)備、管理系統(tǒng)等自身組件安全、身份認(rèn)證及流量傳輸安全等，組件自身要具備健全的系統(tǒng)架構(gòu)和完善的安全加固策略，并通過組件互信、數(shù)據(jù)加密、身份管理、安全審計(jì)等多種措施保證自身的安全性。

　　基礎(chǔ)安全能力是指保證安全SD-WAN穩(wěn)定運(yùn)行的安全能力，包括身份認(rèn)證、安全傳輸、安全策略管理、安全日志收集、安全事件告警等。

　　業(yè)務(wù)安全能力是指基于應(yīng)用的深度識別以滿足更深層的業(yè)務(wù)安全需求，比如對數(shù)據(jù)的檢測不僅限于報(bào)文的五元組，還可以基于更多的維度，包括身份信息、應(yīng)用程序指紋或者行為分析等。

　　安全服務(wù)能力將各種安全功能服務(wù)化，以減輕企業(yè)安全建設(shè)和運(yùn)營的成本和復(fù)雜度，這也是安全SD-WAN解決方案中重要的能力演進(jìn)方向。

　　安全SD-WAN應(yīng)用價(jià)值

　　針對企業(yè)廣域網(wǎng)建設(shè)，用戶關(guān)心的問題主要集中在性能、成本、安全性、建設(shè)周期、運(yùn)維難度這幾個方面。相比MPLS、專線接入、傳統(tǒng)SD-WAN等廣域網(wǎng)建設(shè)方案，安全SD-WAN方案的應(yīng)用價(jià)值可體現(xiàn)在以下方面：

　　優(yōu)化現(xiàn)有網(wǎng)絡(luò)構(gòu)架，對現(xiàn)有WAN快速組網(wǎng)模式進(jìn)行快速整合，并降低企業(yè)的建設(shè)成本；

　　動態(tài)路徑選擇，基于不同鏈路質(zhì)量對流量進(jìn)行靈活調(diào)度，并可根據(jù)不同的應(yīng)用對時(shí)延、丟包、實(shí)時(shí)性的依賴程度優(yōu)化廣域網(wǎng)訪問質(zhì)量；

　　實(shí)現(xiàn)體系化的安全防護(hù)策略協(xié)同，大大減少安全漏洞和風(fēng)險(xiǎn)，同時(shí)降低安全運(yùn)維成本，減輕網(wǎng)絡(luò)運(yùn)營管理團(tuán)隊(duì)的工作負(fù)擔(dān)；

　　實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)和安全防護(hù)數(shù)據(jù)的一體化收集和分析，實(shí)現(xiàn)基于全局的事件發(fā)現(xiàn)、響應(yīng)、溯源，滿足用戶基于應(yīng)用更深層的協(xié)議識別和安全防護(hù)需要。

　　產(chǎn)業(yè)專家觀點(diǎn)

　　天融信產(chǎn)品經(jīng)理 何明卓：

　　天融信基于企業(yè)數(shù)字化轉(zhuǎn)型應(yīng)用需求，推出“安全SD-WAN”產(chǎn)品，具備完整的下一代防火墻能力，在大量的實(shí)踐與探索當(dāng)中，打造“SD-WAN+”的網(wǎng)絡(luò)和安全融合架構(gòu)，并形成行業(yè)化、場景化的安全廣域網(wǎng)互聯(lián)解決方案。天融信“SD-WAN+”安全廣域網(wǎng)互聯(lián)架構(gòu)分兩部分：一部分是網(wǎng)絡(luò)服務(wù)，包括具備全場景接入能力的SD-WAN網(wǎng)關(guān)設(shè)備、智能選路模塊、業(yè)務(wù)優(yōu)化加速模塊等，另一部分是協(xié)同安全服務(wù)，包括零信任網(wǎng)絡(luò)、行為管控、數(shù)據(jù)防泄漏、高級安全檢測、日志審計(jì)、態(tài)勢感知、應(yīng)急響應(yīng)服務(wù)等。通過結(jié)合SASE理念并融入零信任、云計(jì)算等多領(lǐng)域網(wǎng)絡(luò)安全能力，可以幫助客戶實(shí)現(xiàn)云、網(wǎng)、安IT能力的原生共建，為客戶業(yè)務(wù)安全訪問提供靈活、便捷、可靠、易用的安全接入和安全服務(wù)保障。

　　新華三高級產(chǎn)品經(jīng)理 缐崴：

　　SD-WAN技術(shù)讓企業(yè)組織扁平化變得簡單的同時(shí)，也使得企業(yè)網(wǎng)絡(luò)邊界得以延伸，從最初的總部邊界，拓展到廣域網(wǎng)范圍內(nèi)的局域網(wǎng)、終端和云平臺，這種變化為SD-WAN的安全應(yīng)用提出了新的要求。在新華三“安全SD-WAN”體系中，通過一體化安全設(shè)備，結(jié)合自研的統(tǒng)一平臺Comware操作系統(tǒng)，來提供整個架構(gòu)的底層支撐。在此基礎(chǔ)上，可根據(jù)SD-WAN網(wǎng)絡(luò)業(yè)務(wù)特性要求，新華三推出不同性能梯度的CPE設(shè)備，來滿足企業(yè)安全SD-WAN應(yīng)用的不同要求。在管理感知層，新華三“安全SD-WAN”管理平臺秉承軟件定義的精髓，將控制面與轉(zhuǎn)發(fā)面解耦，實(shí)現(xiàn)精細(xì)化網(wǎng)絡(luò)資源的靈活調(diào)度，并可以提供精細(xì)化的應(yīng)用識別粒度。同時(shí)支持服務(wù)化安全能力對接和云化安全防護(hù)對接，能夠滿足不同的場景業(yè)務(wù)拓展和運(yùn)營需求。

　　山石網(wǎng)科產(chǎn)品行銷經(jīng)理 王亞軍：

　　將SD-WAN與安全能力集成到一體化的解決方案中，能夠?qū)崿F(xiàn)安全能力的原生賦能，進(jìn)而為客戶提供更智能、更便捷、更安全的網(wǎng)絡(luò)應(yīng)用。山石網(wǎng)科為應(yīng)對企業(yè)廣域網(wǎng)絡(luò)所面臨的各種挑戰(zhàn)，推出了山石安全SD-WAN解決方案，由山石網(wǎng)科安全管理平臺HSM作為SD-WAN控制器，以山石網(wǎng)科全系列防火墻、SDW系列安全網(wǎng)關(guān)、山石網(wǎng)科虛擬化防火墻（山石云·界）作為 CPE/vCPE，覆蓋總部數(shù)據(jù)中心、企業(yè)分支、中型網(wǎng)點(diǎn)、小型門店、云網(wǎng)互聯(lián)等多種分支場景。方案具備？部署簡單、運(yùn)維高效、業(yè)務(wù)保障、安全合規(guī)這四方面的核心價(jià)值，可以為用戶提供全生命周期式的安全SD-WAN應(yīng)用服務(wù)。

　　締安科技高級產(chǎn)品經(jīng)理 袁初成：

　　締安科技近年來一直將安全能力和SD-WAN技術(shù)應(yīng)用整合作為重要的目標(biāo)。因?yàn)镾D-WAN的主要應(yīng)用場景是在廣域網(wǎng)上，而廣域網(wǎng)又是面臨安全威脅最多的應(yīng)用場景之一。締安科技在SD-WAN產(chǎn)品整合與開發(fā)的過程中，融入了多種創(chuàng)新安全理念和技術(shù)，把SD-WAN分成基礎(chǔ)設(shè)施層、傳輸層、應(yīng)用層3層技術(shù)來看待，并分別進(jìn)行安全能力的迭代優(yōu)化。其中，傳輸層的設(shè)備和網(wǎng)絡(luò)管理系統(tǒng)是SD-WAN的核心內(nèi)容，在這一層，我們通過自建或者跟運(yùn)營商共建overlay方案，融合創(chuàng)新安全能力和技術(shù)，比如人工智能算法、強(qiáng)化安全學(xué)習(xí)算法等，將實(shí)現(xiàn)整體化的安全SD-WAN技術(shù)服務(wù)，相比之前傳統(tǒng)VPN組網(wǎng)模式，在應(yīng)用穩(wěn)定性和可靠性方面會有明顯的提高。

　　報(bào)告主筆分析師 陳發(fā)明：

　　未來，安全SD-WAN將在與AI、5G、物聯(lián)網(wǎng)、云計(jì)算等新技術(shù)的融合應(yīng)用中不斷創(chuàng)新演進(jìn)發(fā)展，并呈現(xiàn)以下發(fā)展趨勢：

　　向高性能方向發(fā)展。在數(shù)據(jù)傳輸、高速加解密、應(yīng)用識別及深度安全策略的開啟等都需要方案具備更高的性能；

　　需要更靈活和智能的安全編排能力，包括接入組網(wǎng)、安全運(yùn)維等方面；

　　安全SD-WAN托管服務(wù)興起。托管服務(wù)在廣域網(wǎng)快速連接、彈性擴(kuò)展、簡易運(yùn)維、降低企業(yè)建設(shè)成本等方面存在顯著優(yōu)勢；

　　安全SD-WAN“將會與SASE架構(gòu)融合，當(dāng)安全需求越來越多的向多業(yè)務(wù)安全、零信任安全、SaaS化安全方向發(fā)展后，安全SD-WAN組網(wǎng)能力和多業(yè)務(wù)安全能力將與SASE架構(gòu)深度融合，成為未來SASE整體服務(wù)中的一部分。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<