1       基本介绍

SD-WAN作为广域网互联的方案，在目前市场中需求日益增大。通过在原有网络的基础上使用OVERLAY技术，将原始流量进行封装加密，保证隧道链路传输过程的安全稳定性。虽然SD-WAN已有针对流量的封装加密方式，来保证用户侧流量的安全性。但是随着现在安全威胁种类和数量的快速递增，仅通过早期方案是远远不够的。因此目前以SASE为中心的安全方案应用而生，通过SD-WAN的组网和入云能力，为用户提供全方位的安全防护能力服务。

如图所示，客户通过CPE和vCPE网关接入到SD-WAN的POP节点，从而建立OVERLAY网络的隧道。其中，安全云节点部署在POP节点间，以安全边界节点的能力为各个分支的CPE和vCPE提供接入能力

2       部署方案

2.1      关键节点

2.1.1  POP节点

骨干网的边界节点，作为CPE对接的汇聚网关。POP和POP之间通过CN2和163双平面网络的支持能力，为SD-WAN骨干网提供高链路带宽和高稳定性保护。

2.1.2  安全云节点

SASE安全服务的分布式能力节点，在不同资源池内部署虚拟化安全产品，形成云内的安全防护能力。通过POP进行流量转发至安全云节点，从而提供云上安全能力的服务。

2.2      部署方式

2.2.1  安全云节点部署

在云内搭建一套安全云节点资源池，并部署虚拟化安全产品，例如：下一代防火墙、日志审计系统。

安全云节点通过虚拟化部署方式，可以在后期进行横向扩展，搭建弹性扩展基础能力。

2.2.2  POP和安全云节点对接

POP内转发的流量为隧道流量，因此和安全云节点对接时，会对隧道流量进行封装还原的操作，使流量还原为客户侧走SD-WAN隧道的流量。

3       方案优势

3.1      方案原则

安全能力云化：减轻本地硬件性能压力

灵活横向扩展：按需增加安全服务能力

硬件成本轻量化：客户无需担心硬件成本资产管理问题

3.2      方案能力

3.2.1  应用管控

安全防护的基础是对用户网络业务环境的全面感知，是基于新一代多核网络安全架构和64位并行处理的StoneOS安全内核的安全产品，通过网络流量深度检测和解析技术，能够对应用、用户、内容、国家地理等进行多维度的精准识别，为用户提供了前所未有的丰富而灵活的安全管控功能。支持网络可视化，并提供基于用户和应用协议的安全访问控制、URL过滤、应用带宽管理、智能链路负载均衡等多种安全服务。

3.2.2  威胁检测与安全防护

网络层防护功能：针对当前常见主流网络攻击行为的防护能力，包括各种Flood攻击，如SYN Flood攻击、ICMP Flood、UDP Flood、DNS Query Flood；各种扫描或欺骗攻击，如IP地址欺骗、ARP欺骗、IP地址扫描、端口扫描等；畸形报文攻击，如Ping of Death，Teardrop、IP分片、IP选项、TCP选项、Land、ICMP大包、攻击，反射式攻击：Smurf、Fraggle。

应用层攻击防护功能：基于深度应用识别，积极防范复杂应用攻击；支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER，MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护；定期更新攻击特征库，安全专家积极响应新的攻击和漏洞。

边界流量过滤功能：基于已知的IP地址黑白名单对流量进行过滤，并对命中黑名单的恶意流量采取阻断措施进行处理，从而阻断已知恶意IP地址的流量。黑白名单支持云端同步、自定义以及第三方联动下发。

Web防护功能： 支持WEB攻击防护功能，有效识别并防御各种Web威胁，如SQL注入、XSS跨站脚本、CC等恶意网络攻击；支持外链检查功能、目录访问等WEB防护功能，有效抵御针对WEB服务器的各种安全威胁。

统一智能防护功能：提升威胁防护、风险管控能力。通过威胁检测技术，结合机器学习、大数据、关联分析等前沿技术，基于行为分析，准确发现变种恶意软件等未知威胁，从而弥补了传统检测技术的弊端。

4       SD-WAN SASE能力

SD-WAN SASE以安全云服务去为客户侧网络提供安全能力，安全能力依托于云的属性，可以提供多种安全服务方案，并且可以快速实现安全能力的横向扩展。因为安全能力以SASE云上的形式提供，客户无需建立本地硬件安全能力和运维成本，即通过CPE实现了SASE服务的接入能力。