从Facebook和谷歌“安详门”提及:SD-WAN的“奶酪”与“陷阱”
|
险些全部SD-WAN厂商此刻都把根基防火墙成果作为尺度产物的一个特色。他们行使数据包辨认来相识流量,譬喻,通过辨认流量源头或去历来处事判定是否是可信赖或是基于云的处事。另外,,SD-WAN厂商提供的产物还包罗内容过滤、端点辨认和打点以及计策执行等成果,他们的产物可以分为以下四种范例。 1. 具有根基防火墙成果的SD-WAN装备 很多SD-WAN厂商都在其SD-WAN装备中提供了根基的防火墙成果。这些防火墙大抵相等于您在分支机构路由器中看到的状态防火墙。成果包罗基于计策的过滤和基于端口或IP地点的阻塞应用措施。关于具有根基防火墙成果的SD-WAN的产物,这里列出Cisco(Viptela),Silver Peak,Velocloud。 本年8月Cisco(Viptela)公布已经可以或许将Viptela SD-WAN软件集成到IOS XE中。思科正试图通过将防火墙,入侵防止和URL过滤集成到Viptela来增强其SD-WAN安详性。安详可扩展收集(SEN)是Viptela的SD-WAN办理方案,它包括五个要害的架构元素实现传输独立性、自动掩护任何路由的端点、提供端到端收集分段、行使齐集节制器实验计策、启用收集处事告白,SEN可提供安详的端到端收集假造化,并被企业用于构建大局限收集,并完全集成了路由,安详性,齐集计策和编排。
本年6月Silver Peak的Unity EdgeConnect推出了分段和安详处事链SD-WAN办理方案。这些新成果使漫衍式企业可以或许将用户、应用措施和WAN处事齐集分别为安详地区,并按照预界说的安详计策、礼貌要求和营业意图,自动化跨LAN和WAN的应用措施流量节制。对付拥有多厂商安详架构的企业,EdgeConnect此刻可以提供无缝拖放处事链接到下一代安详基本架构和处事。 VeloCloud的VMware NSX SD-WAN具有奇异机动的架构,通过数据中心掩护云方针流量,可用于托管安详办法、VPN终端,也可以用于插入其他处事,包罗防火墙和云端 - 基于安详性(譬喻Zscaler)。NSX SD-WAN Edge支持的VNF成果还应承在分支中插入安详处事。
2. 具有高级防火墙的SD-WAN装备 根基状态防火墙也许足以作为第1阶段毗连,用于毗连到特定的SaaS IP,但不合用于更普及的Internet会见。为此,一些厂商在其SD-WAN装备中添加了NGFW成果。 Open Systems在SD-WAN术语建设之前就开始提供与SD-WAN相干的处事,他们的办理方案提供安详即处事,他们的全托管处事在其边沿装备上提供了完备的安详栈和云打点。Open Systems声称将其第三方处事从头打包,作为托管安详SD-WAN装备的一部门。它的使命是节制收集安详处事,包罗漫衍式企业级防火墙; CASB、端点检测和相应、收集安详监控; 漫衍式收集入侵防止和WiFi安详。 Versa Networks的SD-WAN加强了对分支机构的掩护,其SD-WAN安详办理方案提供了基于软件的安详成果,包罗状态和下一代防火墙、恶意软件防护、URL和内容过滤、IPS和防病毒、DDoS和VPN/下一代VPN。Versa Networks声称其SD-Branch办理方案提供了一套完备的集成收集(路由、SD-WAN、以太网、Wi-Fi)和安详(NG防火墙、安详Web网关、AV、IPS)成果。假造客户端装备(vCPE)也可以运行第三方VNF。
3. 具有SD-WAN成果的防火墙装备 与此同时,一些安详厂商已经公布为其NGFW装备提供SD-WAN成果。按照Gartner的陈诉,这些厂商包罗Barracuda,Fortinet和Cisco Meraki。 Barracuda CloudGen防火墙为每个分支机构提供可扩展的齐集打点,当地安详确验以及高级上行链路智能和QoS的奇异组合。这样可以通过直接的VPN地道实现直接的互联网打破,从而实现每个分支机构的云陈设和应用措施。Barracuda CloudGen防火墙包括WAN压缩和一再数据删除、妨碍转移和链接均衡、动态带宽和耽误检测、跨VPN地道的多个传输的自顺应会话均衡、自顺应带宽预留等成果。
Fortinet是一家提供原生SD-WAN和集成高级威胁防护的NGFW厂商。Fortinet SD-WAN内置高级SD-WAN成果,并集成在FortiGate下一代防火墙中,通过行使URL过滤、IPS、防病毒和沙盒检测恶意软件进攻,使分支机构可以或许检测恶意软件的SSL流量。FortiGate SD-WAN回收单一的应用感知办理方案代替了单独的WAN路由器、WAN优化和安详装备,提供自动WAN路径节制和多宽带支持。它可以进步应用措施机能,低落WAN运营本钱并最大限度地低落打点伟大性。
Cisco Meraki MX是一款企业安详和SD-WAN装备,专为必要长途打点的漫衍式陈设而计划,该装备配备了SD-WAN成果,使打点员可以或许最大限度地进步收集弹性和带宽服从。该装备提供了内容过滤和威胁防护、防火墙和流量整形、NAT和端口转发、行使站点到站点VPN在Cisco Meraki装备和其他非Meraki端点之间建设安详加密地道、组计策和黑名单等安详成果。 行使支持SD-WAN的防火墙装备,安详性远远优于SD-WAN装备中包括的根基防火墙。可是,组织仍受限于装备的限定。更重要的是,固然很多这些装备在纸面上显得很好,但它们缺乏履历富厚的SD-WAN产物的成熟度。 4. 安详SD-WAN即处事 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
