一、天翼云SD-WAN SASE架构介绍

1、技术架构

整体方案采用“末梢+边缘”两级架构：

（1）末梢：根据不同类型提供不同安全能力 ；

• 高级：采用支持安全能力的CPE设备；提供相对接入认证、高性能四层安全能力及部分与接入相关的低性能七层安全服务能力 ；
• 低级：根据运营平台策略进行流量控制 ；

（2）边缘

• 云化安全组件：支持多租户、功能完备、弹性随选、七层安全防护 ；
• IDC防火墙：高处理性能硬件 ；

2、控制平台

基于广域云网管控平台，集成安全服务能力，进行统一控制。

3、运营能力

以安全服务为核心，呈现统一安全服务能力，可通过平台提供固定周期的安全防护报告等服务。

4、安全能力

叠加云内安全服务，融合行业领先云化的安全原子能力，并对包括自研在内的多供应商产品进行统一纳管，构建集群防护能力 。

二、SASE安全专区

1、介绍

• 部属位置：部属于天翼云广域云网的SASE安全区，逻辑旁挂在TGW；POP交换机将流量引导TGW后，通过子接口将私网流量引入到SASE安全对应的安全合作伙伴设备中。
• 设备形态：底层采用服务器的形式，将安全合作伙伴虚拟化安全产品部署在服务器中，后期可以通过虚拟化集群的方式，形成安全能力的扩容 设备性能：服务器底层网络能力对标POP交换机的网络转发能力，具备1：1收敛比的转发性能 。

2、功能要求

提供广域云网内的安全叠加能力：所有广域云网接入流量由TGW交换机进行流量汇聚，再由TGW将满足安全叠加服务的流量引入至SASE安全区进行处理 租户隔离及能力随选：每个安全网元都支持多种规格供用户粒度按需搭配。用户选择安全套餐后，平台完成安全网元内流量的自动编排。