sdwan安全问题

SD-WAN安全性主要基于IP安全(IPsec)、隧道、下一代防火墙和应用程序流量的微分段。网络管理员通过软件集中管理和编排这些安全元素，这些软件可使网络具有细粒度的可见性。

广域网虚拟化和在云中放置应用程序的实践相结合，扩展了网络的范围。这就要求安全功能必须位于组织的总部、分支位置和云上。

需要对安全网络功能进行虚拟化，以跟上不断变化的安全威胁，并控制更新和升级安全元素的成本。SD-WAN安全对虚拟机的使用意味着软件更新可以安装在现有硬件上，而不必每次更新都安装新硬件，从而节省时间和金钱。

基于IPsec的vpn几乎对所有SD广域网都是通用的。由于SD-WAN除了使用MPLS连接外还使用公共internet，因此至少需要VPN或IPsec隧道来确保发送方和接收方之间的通信不受干扰。

由以下人员完成：

验证正在发送的发送方、接收方和数据包使用发送和接收数据的主机已经共享的加密密钥，或使用公钥和私钥加密使用封装安全负载(ESP)协议确保数据包未被篡改通过查看IP报头的身份验证报头(AH)确认数据包的来源是可信的

与传统广域网相比，SD-WAN的一个主要优点是对SD-WAN提供的网络的可见性。网络管理员能够集中管理和编排网络，监视流量是否不一致。通过此功能，网络管理员可以确保应用程序充分执行，排除网络问题，并确保安全元素和策略正确运行。

但是，可见性的程度取决于SD-WAN供应商。一些供应商会降低到用户/设备级别，而其他供应商只会降低到应用程序级别。SD-WAN从用户、设备或应用程序收集的信息可以洞察通信量是来自可信源还是不可信源。

应用程序级别的网络流量可见性为网络管理员提供了有关应用程序正在使用带宽、正在使用的资源量以及性能的详细信息。网络管理员使用可见性为用户可以访问的应用程序或IP地址建立安全策略。此外，SD-WAN中的几乎所有其他安全功能都依赖于网络可见性的大小，因为软件只能与它能够检测到的流量进行交互。下一代防火墙不依赖于网络可见性，因为它们正在分析通过它们的所有流量。

设备级的可见性不仅仅是显示有关创建流量的应用程序的数据，而是在使用应用程序的设备上，以及使用设备的人上(如果有标识符将用户连接到设备)。设备级可见性提供了可应用于网络的安全策略的更大粒度。它可以对用户进行分组，并确定他们对网络的访问级别以及他们在网络上做什么。

下一代防火墙(NGFW)是SD-WAN安全的关键要素。NGFW部署在分支机构和总部，是传统硬件防火墙的虚拟化和改进版本。NGFW运行多个虚拟网络功能(VNFs)，如应用程序感知、入侵检测和预防、URL和web内容过滤、恶意软件检测和防病毒保护。ngfw和它们运行的vnf除了可以在本地运行外，还可以在云中运行。

他对Cisco端到端分段的描述显示了SD-WAN中数据通过网络连接在WAN边缘之间的路径。vSmart组件是Cisco处理路由的SD-WAN控制器。

在SD-WAN中，可以根据其特性和网络管理员为SD-WAN建立的网络策略来分割来自不同应用程序的流量。分段是在SD-WAN的虚拟化网络覆盖内创建虚拟网络。分段允许来自不同应用程序或应用程序组的流量彼此隔离，从而消除攻击向量，并允许安全策略和服务质量更细粒度地应用。不同的策略可以应用于各个部分。

微分段能够将流量分段到工作负载。通过将非常特定类型的流量彼此分离，来自不太安全位置的流量无法与敏感信息交互。