安全牛：2022年安全SD-WAN应用指南（44页）.pdf

《安全牛：2022年安全SD-WAN应用指南（44页）.pdf》由会员分享，可在线阅读，更多相关《安全牛：2022年安全SD-WAN应用指南（44页）.pdf（44页珍藏版）》请在三个皮匠报告上搜索。

1、安全 SD-WAN 应用指南安全 SD-WAN 应用指南报告（以下简称为“报告”）为安全牛与天融信、新华三、山石网科、缔安科技四家安全厂商联合研究成果，并由安全牛独家发布，版权为安全牛拥有，其性质是安全牛面向客户所提供的行业参考性资料，其数据和结论仅代表安全牛与安全厂商的观点。报告购买后仅限于内部使用，未经安全牛审核、确认及书面授权，购买报告的客户不得以任何方式，在任何媒体上（包括互联网）公开引用本报告的观点和数据，不得以任何方式将报告的内容提供给其他单位或个人。否则引起的一切法律后果由该客户自行承担，同时安全牛亦认为其行为侵犯了安全牛的著作权，安全牛有权依法追究其法律责任。报告中未注明来源的

2、所有图片、表格及文字内容的版权归安全牛所有。有侵权行为的个人、法人或其它组织，必须立即停止侵权并对其因侵权造成的一切后果承担全部责任和相应赔偿。否则安全牛将依据中华人民共和国著作权法、计算机软件保护条例等相关法律、法规追究其经济和法律责任。本声明未涉及的问题参见国家有关法律法规，当本声明与国家法律法规冲突时，以国家法律法规为准。本报告中部分图表在标注有数据来源的情况下，版权归属原数据公司。安全牛取得数据的途径来源于厂商调研、用户调研、第三方购买、国家机构、公开资料。如不同意安全牛引用，请作者来电或来函联系，我们协调给予处理(或删除)。本报告有偿提供给限定客户，应限于客户内部使用，仅供客户在开展

3、相关工作过程中参考。如客户引用报告内容进行对外使用，所产生的误解和诉讼由客户自行负责，安全牛不承担责任。版权声明版权声明免责声明免责声明安全 SD-WAN 应用指南1“安全 SD-WAN”概述.61.1SD-WAN 技术发展.61.2“安全 SD-WAN”理念.82“安全 SD-WAN”研究.112.1“安全 SD-WAN”的逻辑架构.112.2 安全能力体系.132.3“安全 SD-WAN”与 SASE.153“安全 SD-WAN”技术应用.173.1 应用价值.173.2 实现模式.194“安全 SD-WAN”案例研究.234.1 某央企“安全 SD-WAN”应用.234.2 某大型联锁超

4、市“安全 SD-WAN”应用.264.3 某大型房产连锁集团“安全 SD-WAN”应用.294.4 某金融企业“安全 SD-WAN”应用.325“安全 SD-WAN”发展趋势.34目.录安全 SD-WAN 应用指南6 代表性厂商介绍.356.1 天融信.356.2 新华三.376.3 山石网科.396.4 缔安科技.41安全 SD-WAN 应用指南伴随着经济全球化与数字化变革的后浪，企业规模逐渐从垂直增加变为扁平扩展，越来越多的分支机构组成一张巨大的网遍布全球，总部与分支之间也需要跨越宽广的物理区域来实现信息交互与沟通。SD-WAN（软件定义广域网）技术满足了企业与数据中心、远程分支、业务上云

5、和集中化管理的诉求，又因其快速部署、易管理、低成本建设的优势，得到了迅速的发展。随着 SD-WAN 技术让企业网络边界得以延伸，安全边界也从本地化的终端、局域网络扩展到广域网范围的终端和云中。SD-WAN 为企业网络管理带来便利的同时，不经意间也创造了新的攻击面，为勒索软件、APT、病毒蠕虫和其他恶意软件提供了可乘之机。企业建设网络的最终目的，是为了保障其业务的开展，而互联只是达成这一目的的基础。尽管目前市场上的大部分 SD-WAN 解决方案，通过 VPN 连接和加密技术保证了基础的 2-3 层网络安全，但仍缺乏对 4-7层数据的可见性，如何基于应用层数据对网络进行优化、如何及时发现深层隐藏的

6、病毒、木马、恶意脚本等安全威胁，如何保护企业重要的数字资产不被泄露等等都是企业更为关注的问题。基于企业对网络的深层次安全需求，催生出了安全与 SD-WAN 全面覆盖和深度结合的“安全 SD-WAN”产品方案。安全牛通过深入调研企业用户应用 SD-WAN 的安全需求、分析“安全 SD-WAN”方案的价值与挑战，联合国内“安全 SD-WAN”代表性厂商共同编写“安全 SD-WAN”应用指南研究报告。本报告主要内容包括：“安全 SD-WAN”产品介绍、“安全 SD-WAN”技术架构、“安全 SD-WAN”应用案例、“安全 SD-WAN”应用建议及发展趋势。引言引言安全 SD-WAN 应用指南.SD-

7、WAN 解决了企业组网问题后，深入应用的安全防护成为网络建设中越来越重要的因素。简单地将安全产品叠加到 SD-WAN 网络中，不仅会增加更多成本，还可能因为运维复杂或者难以实施统一的安全策略而产生安全漏洞，企业真正需要的是将安全能力与 SD-WAN 深度融合，并能够实现一体化管理。“安全 SD-WAN”因为其原生化安全能力，可以实现网络与安全一体化建设和管理，得到了企业用户的广泛关注。可托管的“安全 SD-WAN”服务在广域网快速连接、弹性扩展、简易运维、降低企业建设成本等方面存在优势，服务化产品模式可以更好地推动“安全 SD-WAN”技术的落地应用。“安全 SD-WAN”产品可以有效融入到新

8、一代 SASE 架构中，能够为 SASE 服务架构提供更广泛的网络及安全服务。报告关键发现报告关键发现概述安全 SD-WAN61“安全 SD-WAN”概述1.1SD-WAN 技术发展SD-WAN 是软件定义广域网（Software.Defined.Wide.in.Area.Network）的缩写，名称来自 2014 年 9 月份国外的一份科技论文，作为 SDN 与 WAN 融合的技术，因其在广域网组网方面的一系列优势，迅速引起了行业的广泛关注，SD-WAN 架构如图 1 所示：图 1.SDWAN.网络架构（图片来源：互联网）SD-WAN 实现了将 SDN（Software.defined.Ne

9、tworking）技术应用于广域网，继承了 SDN 转发与控制分离的理念，通过控制器负责网络设备的管理、网络业务的编排和业务流量的调度，以实现低成本组网、集中化管理和业务优化。SD-WAN 基于现有的 Internet、ADSL 和 MPLS 专线等物理链路构建 overlay 的通道，该通道实现了总部与各分支网络、公有云、私有云的连接，从而在各节点之间自由传输企业应用数据。各分支节点通过 CPE（Customer.Premise.Equipment）连接 SD-WAN 网络，公有云则通常通过 vCPE（虚拟 CPE）进行连接。相比于 MPLS 等传统广域网组网技术，SD-WAN 在以下四个方

10、面具有应用优势：.一、支持多种广域网接口和混和链路接入，比如：MPLS、xSDL、光纤宽带、4G.LTE、5G等接口或链路类型。二、支持动态链路调整，按需在不同链路上进行流量调度。可根据业务与企业应用策略，实现将数据传输实时调度至最佳路径。概述安全 SD-WAN7三、快速部署，大大缩短组网周期。快速部署即常说的“零配置开局”、“零接触部署”（.Zero.Touch.Provisioning，ZTP），这是 CPE 设备上电后自动获取配置，并快速连入 SD-WAN 组网的一项功能特点。比如U 盘开局、邮件开局、DHCP 服务器开局等等。四、简化运维压力及成本。SD-WAN 具有 SDN 的基因，

11、所以在网络的管理上拥有先天优势，通常可以实现基于图形化操作和可视化管理。管理员可以直观的看到SD-WAN的运行情况，并及时对出现的问题进行处置。这降低了维护难度，也减少了故障的处理时间。根据测算，同比例带宽情况下，SD-WAN 相较 MPLS，每年至少可节省 30%的成本投资。市场方面，SD-WAN 在国外发展较早，比国内早 2-3 年，且仍处于迅猛发展阶段。据有关机构统计，全球SD-WAN 基础设施市场在 2019 年至 2024 年的预测期内，复合年增长率为 19.7。北美仍然是 SD-WAN 基础设施的最大区域市场，2019 年占全球市场近 54.8的份额。现在全球 65%的网络提供商已

12、经提供 SD-WAN，估计在未来 5-10 年内 95%的网络提供商都将提供该服务。国内SD-WAN应用起步稍晚，但在政策引导和市场需求等多重因素的影响下，自2017年以来发展迅速，“中国制造 2025”、“政务公开”、新零售、共享经济、智慧物流、移动支付、物联网接入、业务上云等需求提供了大量 SD-WAN 组网应用场景。根据 Gartner 预测，中国企业部署 SD-WAN 的比例将从 2019 年的 30%提升至 2023 年的 90%。安全牛问卷调研结果显示，过半数的被访企业对 SD-WAN 组网有更多的关注，超过 WAN 托管、运营商专线和自建 VPN 关注度之和（图 2）。从全球视角

13、来看，传统端到端传输服务如 MPLS 或 Internet 接入等，成交量与增长都不明显，云连接增长率也大大小于 SD-WAN，而 SD-WAN 则展现出持续发展的强劲势头。图 2.安全牛调研：企业关注的广域组网技术概述安全 SD-WAN81.2“安全 SD-WAN”理念随着 SD-WAN 应用需求发展，其安全需求一直在增强，主要来自三个方面：1、安全合规SD-WAN 安全合规涉及数据存储、数据传输、基础设施、数据保密等多个方面，.构建 SD-WAN 解决方案需要集成相应的安全能力；同时随着全球化发展，数据跨境传输对数据安全、身份安全、可靠传输等产生了更高的技术要求和安全要求。2、扩展的网络边

14、界数字化与全球化使得企业分支站点面临在更广地域、更多样化的运营商接入网络条件下实现快速互联，同时随着未来几年内，企业业务上云步伐的加快，企业的传统分支、总部和数据中心需要更加开放和灵活地连接到 Internet、公有云以及 SaaS 应用。不断扩展的网络“边界”让数据暴露面大大增加，任何一个节点被攻陷都会严重威胁全网安全。3、应用安全防护需求增加尽管 SD-WAN 通过 VPN 和加密技术保证了基础的 2-3 层网络安全，但仍缺乏对 4-7 层网络的可见性，如何基于应用对网络进行优化、如何及时发现深层隐藏的病毒、木马、恶意脚本等安全威胁，如何在广域网链路上保护企业特定应用的资产安全等等都是企业

15、越来越重点关注的问题。在传统 SD-WAN 解决方案中，CPE 设备大多采用功能简单的白盒设备或者路由器完成组网，其安全能力基本是基于 4 层以下访问控制（ACL）的能力，无法满足对深入应用层安全防护的需求。而在 CPE 设备之后叠加防火墙或者 IPS 设备，实现出入流量的过滤（图 3），这在一定程度上可以满足应用层安全防护需求，但弊端也是显而易见的。增添的安全设备增加了新的故障点，同时增加了管理运维难度，实际上对于多分支的企业组织来说，根本无法实现为所有节点配备相应的安全人员，再者，基于网络建设成本考虑每个节点都增加安全设备也是不现实的。图 3.路由器做 CPE 组网中增加安全能力概述安全

16、SD-WAN9为了应对 SD-WAN 总部、分支设备、网络及应用中的一系列安全挑战，.“安全 SD-WAN”产品和相关解决方案应运而生。即，将 SD-WAN 组网技术与安全技术融合，提供覆盖总部、分支、数据中心、云等多场景广域网安全组网方案，将 SD-WAN 组网能力、多业务安全能力、应用识别及优化、全网安全运维管理等功能通过一个界面进行管理，执行统一的配置和管理逻辑。在调研过程中发现，天融信、新华三、山石网科以及缔安科技等国内代表性 SD-WAN 安全厂商（服务商）目前均推出了可落地的“安全 SD-WAN”解决方案和产品，将 SD-WAN 与安全能力集成到一体化的解决方案中，实现了安全能力的

17、原生赋能，进而为客户提供更智能、更便捷、更安全的网络。在产品化“安全 SD-WAN”方案中，安全厂商凭借在安全领域多年的技术积累和软硬件研发能力，将多业务安全功能纳入 SD-WAN 控制器进行安全能力编排，实现全网一致化的安全策略下发、简化安全运维及深度应用安全流程（图 4）；而在服务化“安全 SD-WAN”方案中，SD-WAN 服务商则是将多业务安全能力注入 POP 节点，为客户提供兼顾加速和多业务安全的一体化服务，用户可根据需要一键订阅所需要的安全能力（图 5）。图 4.将安全能力集成到 CPE图 5.将安全能力集成到 POP 点此外，电信运营商同样也在积极利用自身拥有的骨干链路资源优势，

18、融合相应安全服务能力，整合创新应用，推出特色专线服务。本次调研发现，已有运营商推出云网一体“安全 SD-WAN”服务，通过融合多业务安全能力，满足了企业客户快速组网、一点入云、多域互通、安全即服务等安全需求。概述安全 SD-WAN10伴随着 SD-WAN 市场的快速发展，SD-WAN 产品升级全新的安全能力需求非常明显，“安全 SD-WAN”因为其具备原生安全能力，可以实现网络与安全一体化建设和管理，目前在市场上已经得到企业用户广泛的关注，有着广阔的发展空间。安全牛调研结果显示，.53%的受访企业对“安全 SD-WAN”建设模式感兴趣，31%的被访用户对托管的“安全 SD-WAN”解决方案感兴

19、趣（图 6）。图 6.安全牛调研：.SD-WAN 安全建设模式研究安全 SD-WAN112“安全 SD-WAN”研究2.1“安全 SD-WAN”的逻辑架构“安全 SD-WAN”的逻辑架构可分为网络层、控制层以及业务层：图 7.“安全 SD-WAN”逻辑架构网络层网络层主要指“安全 SD-WAN”的基础架构设施，包括用于连接每个节点的 CPE（即上图中的”安全CPE”或者连接云的“安全 vCPE”，以下简称“CPE”），CPE 通过一条或多条 WAN 链路与总部、数据中心或者云连接，CPE 之间通过 Overlay 隧道技术互联。同时，为了确保企业在 WAN 上传输业务的安全性，Overlay

20、隧道需要借助加密技术（如 IPSec）保证数据的安全传输。CPE 通常为下一代防火墙或者虚拟防火墙，可以实现对收发的流量进行基于应用的深度识别，以满足更深层的业务安全需求，比如对那些与企业工作无关且会消耗大量带宽的应用进行管控，提升被保障业务与员工访问互联网的质量，识别并拦截应用层的 DDOS、恶意脚本、Web 木马、病毒、恶意软件、恶意 URL、垃圾邮，对终端、人员身份进行识别管控等。为了提升企业不同应用在 WAN 的传输质量和体验，CPE 往往还需要具备应用识别和选路、QoS、广域加速以及访问控制 ACL 等功能。当 CPE 被赋予了更多安全能力期望，这就需要 CPE 具备更强的报文处理能

21、力，如今下一代防火墙往往具研究安全 SD-WAN12备基于安全设计的软硬件架构，多核心并行处理或者具备报文加速能力的 GPU、协处理器等配置，能够提供多业务安全的最大性能支持。为了不让 CPE 因多业务安全过滤而严重影响正常业务的处理，还可以将一部分的安全能力转移到能力更强的 POP 点上去，让 POP 点分担相应的安全过滤任务，此时普通的 POP 接入点即成为架构图中的“安全 POP”。控制层网络控制器是网络控制层的核心，是整个“安全 SD-WAN”解决方案的指挥中心，控制器具有编排、管理、控制的功能。编排组件负责网络模型抽象、编排和配置自动化发放。网络控制器对企业 WAN 进行了网络模型抽

22、象和定义，并通过建模对用户屏蔽了 WAN 部署和实现的技术细节。最终，用户可以通过网络控制器北向业务编排界面，用接近企业应用或业务的语言和接口，驱动网络控制器实现简易而又灵活的网络配置和业务自动化发放。“安全 SD-WAN”的业务编排分为两大类：一类是组网相关的业务编排，比如站点创建、链路创建、VPN创建以及拓扑定义等；另一类是各种网络策略、安全策略相关的业务编排，比如 QoS、广域网优化、基于应用的选路、应用安全防护、应用识别、数据过滤等策略的编排及下发控制，网络编排组件的北向通过 RESTful.API 对外开放能力，编排后的网络配置南向通过 NETCONF 下发到网络层设备。管理组件实现

23、了“安全 SD-WAN”的网络管理与运维功能，包括网元的告警和日志等故障信息采集；基于链路、应用、网络的性能数据采集、统计和分析，并对最终客户进行网络拓扑、故障、性能等运维信息的多维度统计和呈现。控制组件负责对“安全 SD-WAN”网络层进行集中控制，根据用户意图实现企业 WAN 的按需互联互通，功能包括 VPN 路由的分发和过滤；VPN 拓扑的创建和修改；驱动 CPE 节点间 Overlay 隧道的创建和维护等。业务层“安全 SD-WAN”的业务层向下对接网络控制器，对外通过业务配置界面实现“安全 SD-WAN”的业务呈现和发放。在业务层，可以实现网络拓扑定义、VPN 策略定义、ACL 控制

24、定义、多业务安全相关的策略定义，以及基于应用的流量调度策略定义等等。.“安全SD-WAN”作为一种融合安全的解决方案，在SD-WAN架构的基础上融入了多业务安全能力，且其“多业务安全策略”可以基于用户需求进行编排和集中下发，这无论对安全组网还是后期的安全运维，都给用户带来了极大便利。融合带来的更多好处还体现在，安全日志、安全告警等数据可以与流量数据一起集中收集，数据集中化的好处不仅仅方便查询溯源，还可以用于机器学习进行大数据分析，实现快速发现威胁，快速处置。同时基于可编排的安全策略下发，实现了全网安全防护的一致性，简化运维，也大大增强了 SD-WAN 网络的安全防护能力和安全管控效果。研究安全

25、 SD-WAN132.2 安全能力体系安全是个系统性的工程，特别对“安全 SD-WAN”解决方案来讲，更是基于不同的安全维度下多层面的安全能力，其安全能力体系包括系统安全、基础安全、应用安全和安全服务 4 四个层面：图 8.安全体系系统安全.是保障系统可靠运转必备的基础安全能力，包括控制器、边缘接入设备、管理系统等自身组件安全、身份认证及流量传输安全等，组件自身要具备健全的系统架构和完善的安全加固策略，并通过组件互信、数据加密、身份管理、安全审计等多种措施保证自身的安全性。比如，对安全平台来说需要具有基于身份的访问控制及相应的管理体系，通过 https 并采用证书进行通信，其中密码的强度检查、

26、加密存储机制，登陆的超时机制，相关组件的安全配置（中间件，数据库，web 组件）等机制必不可少。对 CPE 设备来说，与平台的接入管理到退出管理，在整个业务服务生命周期内保证互相之间管理通信的机密性和完整性，同时需要保证不能被轻易攻击，具备防暴力破解、抗 DDOS 攻击等能力。基础安全.是保证“安全 SD-WAN”稳定运行的基础安全能力，包括身份认证、安全传输、安全策略管理、安全日志收集、安全事件告警等。系统能够抵御外部威胁和攻击行为，比如 DDoS 攻击、恶意扫描、单包攻击等；对网络内部的威胁或攻击也要有相应的防护能力，比如对内网 ARP 欺骗、DDOS、内网扫描等威胁进行防御；对流量的管控

27、也是“安全 SD-WAN”基础的安全能力，比如企业内部不同部门之间以及企业内网和外网之间的访问控制、流量优化等。研究安全 SD-WAN14业务安全.是基于应用的深度识别以满足更深层的业务安全需求，对数据的检测不仅限于报文的五元组，还可以基于更多的维度比如身份信息、应用程序指纹或者行为算法进行识别与控制。具体可体现为：.基于应用的访问控制：比如对 P2P、在线视频、垃圾邮件等流量的识别及管制，对关键业务流量进行识别并保障访问质量、基于应用的白名单、访问列表、信任应用列表进行管控等。.应用攻击防护：识别应用层恶意脚本、CC 攻击、网页爬虫等。.异常行为分析：基于特征的应用层威胁检测，或者基于算法的

28、异常行为检测分析。.病毒检测：快速扫描/深度扫描，通过病毒特征或者行为进行病毒检测。.攻击检测：采用协议分析、模式识别、统计阀值和流量异常监视等技术手段来判断入侵行为，发现并阻断各种网络恶意攻击。.漏洞扫描：应用层漏洞攻击、0Day 威胁漏洞扫描。.数据过滤：对企业的核心数据资产，进行内容过滤，防止核心数据的泄露及违规信息的传输，比如针对关键字、不同协议、应用类型、文件类型和传输方向阻断特定类型的文件传输、控制、审计。安全服务层.安全产品固有的碎片化、专业化的特点，为安全管理提出了很大挑战，将安全功能搬到云端为用户提供安全即服务，可以大大减轻企业安全建设和运营的成本和复杂度，这也是“安全 SD

29、-WAN”解决方案中重要的或是将来发展的关键能力。安全服务包括但不限于威胁情报、态势感知、防火墙即服务（Fwaas）、MDR、SASE 等。随着云端 SaaS 的应用普及和企业员工分散导致企业互联网流量增多，安全能力会越来越集中到云端，云端威胁情报共享、安全态势感知、安全即服务等云端安全能力通过 SD-WAN 网络进行方便的订阅和下发。在调研中了解到，安全厂商早在几年前就开始建设云端的安全数据中心，提供各类按需增值安全服务，这种安全服务模式即逐渐演变为安全访问服务边缘（SASE）模型。研究安全 SD-WAN152.3“安全 SD-WAN”与 SASE安全访问服务边缘（SASE）是 Gartne

30、r 提出的一种新兴服务概念，它将广域网接入与网络安全（如：SWG、CASB、FWaaS、ZTNA）结合起来，在整个会话过程中，综合基于实体的身份、实时上下文、企业安全/合规策略，以一种持续评估风险/信任的服务形式来交付。根据 MEF（城域以太网论坛）的 SASE 架构定义，其包括 3 种主要的技术：SD-WAN、防火墙和安全 Web网关（SWG）。其中SD-WAN作为SASE接入边缘的关键技术，为分支场所，移动用户提供硬件或软件的接入服务，SD-WAN 在 MEF.SASE 服务架构中的位置如（图 9）红框所示：图 9.MEF/SASE 架构（图片来源：MEF）具体来说，“安全 SD-WAN”

31、在以下方面与 SASE 比较契合：1）统一控制中心“安全 SD-WAN”与 SASE 都需要一个统一的控制中心作为中枢神经系统，监控所有节点并实施集中管控，除了对网络配置和安全策略进行下发和同步，还用于监控全网节点设备状态、流量管理及安全管理。2）网络即服务SDN 及编排技术的应用，使“安全 SD-WAN”和 SASE 可以轻松连接全网分布式的节点，以服务化的模式提供用户所需的能力。其中，网络即服务包括网络接入能力、智能选路能力、流量 QoS 能力、多云连接能力、网络加速能力、网络冗余能力等。研究安全 SD-WAN163）原生安全能力SASE 以云服务的形式交付网络和安全，是面向云计算开发部署

32、运维的解决方案，其云原生架构使服务更具灵活性、弹性可扩展，具备自适应性、自恢复能力和自维护功能。“安全 SD-WAN”同样通过控制器可管理、可编排的安全策略与安全 CPE 进行统一配置管理，实现原生安全能力。4）多业务安全“安全 SD-WAN”通过支持多业务安全能力的安全网关或者安全 POP 点，实现了安全和网络处理统一在分布式节点中完成，这一点与 SASE 的将安全能力集中部署在边缘 PoP 节点中以服务化的模式交付，构建完整安全能力的理念相契合。“安全 SD-WAN”和 SASE 可以提供诸如：威胁检测、DNS 安全、数据防泄密、Web过滤、应用审计等多业务安全能力。与“安全 SD-WAN

33、”相区别的是 SASE 架构还与零信任相融合，同时大大扩展了可接入边缘节点的范围，实现了更广范围的全局资源编排，同时提供了统一的身份管理能力、网络即服务能力、安全即服务能力等。可以说“安全 SD-WAN”未来的发展方向将会向 SASE 服务架构发展，以满足更广范围上的企业数字化安全防护需求，全方位覆盖边界安全。技术应用安全 SD-WAN173“安全 SD-WAN”技术应用3.1 应用价值针对企业广域网建设，用户关心的问题主要集中在性能、成本、安全性、建设周期、运维难度这几个方面。相比 MPLS、专线接入等传统的广域网方案，“安全 SD-WAN”在这些方面无疑具备更大的优势，安全牛调研结果显示，

34、受访企业对安全防护、高性能加密传输、全网一体化运营等功能更为关注。图 10.安全牛调研：“安全 SD-WAN”应用价值.注：选项多选，统计加和不等于 100%具体来说，“安全 SD-WAN”的应用价值可体现在以下方面：通过多种连接方式，组建更低成本的广域网优化现有网络构架，对现有 WAN 快速组网模式进行快速整合动态路径选择，基于不同链路质量对流量进行灵活调度根据不同的应用对时延、丢包、实时性的依赖程度优化广域网访问质量集成的一体化网络、业务、安全编排与管理，减轻网络运营管理负担云端数据整合，同时保证安全的多云访问全网一致的安全防护策略，大大减少安全漏洞和风险，同时降低安全运维成本技术应用安全

35、 SD-WAN18网络&安全数据一体化收集和管理，实现基于全局的事件发现、响应、溯源满足用户基于应用更深层的协议识别和安全防护需要 技术应用安全 SD-WAN193.2 实现模式“安全 SD-WAN”根据组网接入方式的不同，有基于安全网关接入和安全 POP 点接入两类产品。基于安全网关接入的解决方案主要由安全厂商提出，国内以天融信、新华三、山石网科等为代表，其产品方案主要包括集成 SD-WAN.能力的多业务安全网关（硬件或虚拟化）、SD-WAN 控制器及其它功能的安全产品组成，增强和增值服务还包括安全数据管理、云安全服务、威胁情报、态势感知等。基于安全 POP 点接入的解决方案主要由 SD-W

36、AN 服务厂商提供，如较早开展 SD-WAN 业务的缔安科技，其专注于 SD-WAN 云网络服务，以帮助企业构建 SD-WAN 网络的视角切入，并将传统网络防火墙能力与 WAN优化能力汇聚在一起，作为 WAN 的安全服务进行部署，产品既可独立部署，也可以被集成到企业网的安全模块中，或是在数据中心和云上提供 WAN 安全服务。两种“安全 SD-WAN”解决方案及建设模式对比如下：安全网关接入方案安全 POP 接入方案优势1）安全厂商背景，具备更丰富的安全能力及安全增值服务。2）基于安全产品架构的，多种性能档次的 SD-WAN 接入设备。3）更丰富的安全 API，提供更完善的一体化安全策略配置能力

37、。4）在流量加密传输、硬件加速、流量优化等方面更有优势。5）同一供应商产品在协同防御方面更有优势。6）安全能力专业度方面，安全厂商拥有更专业的安全专家服务。1）总部与分支可选择部署简单硬件或虚拟化 CPE 设备即可以完成组网。2）组网速度快，在几小时内即可打通分支机构与总部间的数据通路。3）移动接入方便，无需增加其他设备，即可实现一体化办公。4）通过边缘云网关可以快速接入公有云，访问云端业务。5）运维简单，云网络运营协助企业节约内部 IT 运维资源。6）可以按需升级，根据实际需求灵活增减带宽容量。劣势部署周期相对服务类方案更长相对设备类方案企业对广域网的控制权较低技术应用安全 SD-WAN20

38、调研发现，随着安全的重要性不断增强，两种接入方式的“安全 SD-WAN”解决方案一直在互相借鉴，安全厂商基于自身丰富的产品线建设自身安全服务底座，将安全能力驱向服务化；网络运营商则更多的增加安全开发投入，增强方案的集成安全能力，以尽量弥补安全的短板。技术应用安全 SD-WAN213.3 应用建议不同行业和应用需求不断推动 SD-WAN 技术的演进，比如针对商业连锁客户的解决方案，要求设备具备多种 WAN 接入能力，如支持 4G、5G、adsl 等接入方式，要求设备支持零配置上线，并对 SD-WAN 网络优化和加速能力比较看重。而对于大型行业用户，需要SD-WAN具备多线路负载能力，需要较高的I

39、PSEC.VPN性能、支持国密算法等。随着企业业务向云端迁移，需要具备与私有云、公有云等的联合部署能力、多业务安全能力、统一安全配置管理等。安全牛在调研中发现，企业在选择 SD-WAN 解决方案时，往往持慎重态度，需要很长时间的考察，很多企业用户还持观望/考察状态。图 11.安全牛调研：企业 SD-WAN 建设的需求与计划广域网建设是每个组织的重量级工程，前期网络规划的重要性不需要赘述，要结合企业IT战略、安全策略、合规要求等进行综合规划，根据组织的规模和运维能力决定选择哪种“安全 SD-WAN”方案，或者两种方案结合组成混合类型解决方案。需要考察性能、成本、安全性、建设周期、运维难度、成功案

40、例、测评报告、同行经验等诸多方面。安全牛问卷调研发现，网络建设的复杂度、建设成本、技术方案的成熟度、合规性等都是企业要考虑的因素。技术应用安全 SD-WAN22图 12.安全牛调研：“安全 SD-WAN”建设要考虑的因素.注：选项多选，统计加和不等于 100%基于本报告仅对“安全 SD-WAN”解决方案的安全体系进行研究，就 SD-WAN 控制器、边界设备、大数据平台及安全服务水平等方面的安全建议有：SD-WAN 控制器（或管理平台），除考虑其功能性、易用性、稳定性等能力外，还要考察其网络编排、业务编排能力，能够具备哪些类型的安全策略下发，能否实现方便的一体化业务管理；如何处理安全数据，包括收

41、集、存储、分析及汇总展示等。边界设备，除考虑是否支持快速开局、组网能力外，还要考察其开启多业务安全功能后的实际表现，比如功能是否丰富以适应组织的安全需求，策略配置是否易用好用，开启多业务安全策略后实际的性能（会话的新建、并发、吞吐量，业务时延等）表现，数据加解密性能等。数据分析能力，云端安全能力用于分析海量安全数据，通过智能化的技术如“机器学习”等分析安全数据，同时结合威胁情报，实现快速发现威胁和攻击，研判重要安全事件、提供基于关联查询的回溯与审计。安全服务支持，企业的安全团队经常无法做到 7X24 小时的安全监控与事件处理，服务商是否能够提供专业安全工程师的远程服务也很重要。案例研究安全 S

42、D-WAN234“安全 SD-WAN”案例研究4.1 某央企“安全 SD-WAN”应用项目背景某大型央企在全国范围内设立上百家分支机构，各分支机构普遍存在互联网资源的访问需求，甚至通过互联网进行业务传输，导致内网业务数据存在外泄风险，分支网络面临攻击风险，同时访问流量分散存在审计压力。为解决上述问题，同时响应国资委与工信部的倡议，需完成集团公司及其所属企业互联网出口收敛工作，切实减少暴露面和风险点，进而为集团达成基础设施一张网、资产态势一张图、安全监管一盘棋、风险管控一条线的目标提供更加弹性、智慧、灵活、高效的安全防护。客户建设核心需求如下：1)互联网访问流量收口将分支访问互联网的流量收口到总

43、部，对所有分支访问互联网的流量进行集中的安全控制。2)降低链路成本由于专线开通时间长、费用高，部分分支依旧复用互联网接入，部分重保单位需要进行线路备份，分支设备需支持 MPLS、4G、5G、宽带等多种单线或者多线接入。3)保障访问体验互联网收口会增加中心点带宽占用压力，需要能够对流量进行应用识别，实现对应用的访问管控、QoS 限速。同时部分分支使用宽带替代专线进行业务访问，需要保障关键业务访问质量。4)降低安全风险对于多分支央企来说，每一个分支都是其网络边界，安全风险暴露面众多，分支需要具备安全防护能力。5)运维方便简洁央企分支机构众多，分支设备需要有快速上线的能力，后期维护要简单，需要实现全

44、网统一可视化管控。案例研究安全 SD-WAN24解决方案天融信“安全 SD-WAN”解决方案在客户总部部署 SD-WAN 统一管控平台（TWSC），总部与各分支机构部署天融信边缘安全路由网关设备（TSDW），通过统一管控平台一键完成总部与分支之间安全组网，从而实现客户各分支机构将全部互联网流量通过 SD-WAN 引入总部后，再通过总部互联网向外访问。图 13.天融信“安全 SD-WAN”解决方案拓扑方案说明：1）全场景灵活接入客户各类型分支单位可根据自身实际组网环境，选择适合自己的接入方式。方案支持 MPLS、4G、5G、固定带宽等多种接入方式建立 overlay 加密隧道，并且支持单线或多线

45、混合接入，从而实现全场景覆盖。方案具备基于链路状态和业务状态的选路能力，可以确保互联网收口数据跑在最优的链路上；总部安全网关采用双机部署方式，可进一步保障企业网络稳定连续。2）业务优化加速针对互联网收口引发的业务卡顿问题，方案支持冗余包补偿技术，实现丢包优化，可有效降低采用 UDP（RTP）协议的音视频业务卡顿情况；针对 Web 访问和文件传输等业务应用场景，方案支持多种应用层以及案例研究安全 SD-WAN25传输层协议优化技术，实现业务加速，提升业务访问体验。3）全域立体安全防护方案产品基于自研的专业安全操作系统，支持扩展.IPS、AV、TVD、WAF 等高级安全功能，保障业务访问安全，目前

46、方案产品已取得信通院 NGFW 下一代防火墙能力资质；边缘设备与控制器之间通过双向认证与管理数据加密，实现管理安全；央企分支机构与集团总部数据中心互通全部采用高性能 IPSec 隧道加密传输并采用国密算法加密原始数据，降低数据传输不安全导致的数据泄露风险，进而实现立体安全防护。4）可视化极简运维图 14.天融信“安全 SD-WAN”统一管控平台面对客户提出的简化运维需求，天融信“安全 SD-WAN”统一管控平台通过软件定义的方式，实现 TSDW边缘网关设备的 ZTP（零配置）上线、组网隧道快速建立、网络及安全策略统一下发，无需运维人员到现场即可完成分支机构业务快速开通。同时，天融信“安全 SD

47、-WAN”统一管控平台还可以实现边缘网关设备的健康状态监控、链路资源监控、业务流量监控、安全事件监控，帮助运维人员清晰直观地把控整体网络及安全状态，大幅提高运维效率，真正实现了客户网络可视化、业务可视化和安全可视化。案例总结本案例由天融信建设提供。基于天融信“安全 SD-WAN”的央企集团互联网收敛与广域网能力提升方案，通过收敛关键业务暴露面加强了安全防护效果；通过宽带替代专线结合优化技术，降低了链路成本，保障和提升了关键业务可用性与体验。统一管理提高了客户对整个广域网的可见、可控和可运维能力。案例研究安全 SD-WAN264.2 某大型联锁超市“安全 SD-WAN”应用项目背景XX 超市作为

48、国内首屈一指的大型商超连锁，数千家门店遍布，网络建设一直使用的是传统的 MPLS 专线链路。近年来，随着企业信息化业务发展越来越迅速，总部业务应用越来越丰富，总部分支间流量也越来越庞大，传统专线网络面临持续扩容和成本管控双向压力。.用户需求如下：保证业务安全性是最核心需求，一方面业务流量在互联网中传播，一定要保证数据安全性，另一方面增加互联网出口，总部和门店相当于增加更多互联网暴露面，产生了更多的边界。总部分支链路统一出口调度，由于总部分支间存在跨自治区域路由交互，对整体控制面协议调度也提出了要求，各分支对基于不同业务 VRF 也有相应的隔离需求，需要保证控制面的安全性和可靠性。对高可用性，链

49、路接入灾备，应用层选路，数据包补偿等也有相应需求。.解决方案新华三 SD-WAN 解决方案在总部部署“安全 SD-WAN”平台，分支部署防火墙作为 CPE 设备，实现了一键式快速上线和业务切换，保证用户超市网络架构升级的便捷性。图 15.新华三“安全 SD-WAN”部署拓扑案例研究安全 SD-WAN27方案说明：1）该方案实现了互联网链路优化与业务安全，总部和分支间的互联网业务流基于 IPSEC 隧道进行封装，分支设备 NGFW 具备丰富的多业务 All.in.One 特性，可根据业务需要开启 IPS、AV、应用层防护、应用审计等多业务功能；同时支持以用户、应用、地区提供多维度的安全控制，基于

50、威胁情报提供自适应威胁防御能力。2）可视化全局统一管理，通过“安全 SD-WAN”平台，支持对全网网络链路状态和安全威胁进行统一监管，基于用户需求和实际监测结果，提供高易用性链路处置手段，包括选路策略和安全策略的全局配置。图 16.安全态势统一监控图 17.网络流量监测案例研究安全 SD-WAN283）灵活链路调度，业务流量补偿，支持应用级报文选路策略，支持多运营商网络链路调度，通过 FEC 补偿技术，针对 XX 现网数据传输质量要求高的视频流量进行质量保证，CPE 设备支持有线链路和 4G/5G 链路共同运行，多路径保证业务链路可用性和延展性。4）高可用性管理，支持链路高可用性管理，包括有线

51、链路和 4G/5G 链路互为备份，同时 CPE 设备基于华三特有 RBM 技术提供高可靠性，两台 CPE 设备通过华三私有 RBM 协议划分设备角色，通过设备间交互 HA的运行状态信息，关键配置信息和业务表信息，使得单一设备故障后继续处理业务流量，保证业务不中断。案例总结本案例由新华三建设提供。该“安全 SD-WAN”解决方案，实现了多分支多种接入方式组网，实现了多分支一体管理、策略下发、远程运维，集成的多业务安全能力提供了基于应用的安全保障，其图形化、规模化集中管控和所见即可运维体现了“安全 SD-WAN”的组网及管理的优势。案例研究安全 SD-WAN294.3 某大型房产连锁集团“安全 S

52、D-WAN”应用案例背景某房企为全国知名的居住服务平台，拥有上万家的加盟和直营门店。随着企业业务的不断发展，分支营业门店不断增加，越来越多的门店需要与总部高效构建安全可信的广域网链路，而原有采用传统专线组网方式效率低、运维难、安全性差，已无法满足当前企业的发展需求。客户迫切需要高效构建分支门店到总部之间的通信链路，实现快速组网，满足新增门店与总部业务通信的需求；提升整网的运维效率，实现对相关设备及链路的可视可控，对故障进行及时响应和处理；对广域网络进行安全加固，让分支边界设备具备安全防护管控能力，进而保障总部核心业务系统的安全。需求包括：降低线路成本、提升业务效率、全网可视可控、满足安全合规等

53、。解决方案山石网科“安全 SD-WAN”解决方案由山石安全管理平台 HSM 作为 SD-WAN 控制器，以山石全系列防火墙及山石云界（虚拟化防火墙）作为CPE/vCPE，覆盖总部数据中心、企业分支、中型网点、小型门店、私有云、公有云等多种场景，为用户构建全场景、易运维、高安全、高稳定的 SD-WAN 解决方案。图 18.山石“安全 SD-WAN”解决方案方案整体采用 HSM 作为 SD-WAN 控制器，对所有区域的出口网关设备（CPE）进行统一管理及配置下发。其 Underlay 网络采用互联网、专线、3G/4G 等多种链路，链路选择灵活；Overlay 网络通过 SD-WAN 控制器进行可视

54、化的配置与隧道建立，实现数据通信。案例研究安全 SD-WAN30图 19.“安全 SD-WAN”组网方案说明：1）零配置开局，快速组网山石网科“安全 SD-WAN”解决方案采用专线、互联网、3G/4G 等多种链路接入方式，实现低成本的互联网链路与专线链路的混合接入。通过 U 盘进行 CPE 初始化配置，实现分支机构节点设备快速部署。2）减少组网运维操作，提升运维效率方案通过向导型用户界面建立 VPN 网络，批量导入节点信息，自动化建立 VPN 配置，为管理人员提供极简化工作方式，降低误操作风险，减少组网运维操作，提升运维效率。3）.可视化大屏，整网信息一目了然SD-WAN 全景化大屏展示功能，

55、将整网链路数据状态清晰展示，设备及链路情况一目了然，帮助运维人员实时监控广域网设备地理分布、运行健康状态、实时告警信息和链路流量情况，提升了广域网运维的效率。案例研究安全 SD-WAN31图 20.可视化展示4）智能链路切换、保证链路质量动态负载均衡技术采用自适应创新链路选择控制算法，可根据当前时刻的链路状况做出最优选路。同时SD-WAN 网关支持多种负载均衡算法，可全面解决链路利用率不均衡、单点故障、链路资源浪费等问题，保障业务的稳定性。当出口单条链路故障时，安全网关迅速监测到这一情况，并将链路上的业务快速引流到其他正常链路上，从而保障用户访问的连续性。5）多业务安全防护、满足安全合规所有节

56、点设备都采用安全架构，从核心节点防火墙，到分支防火墙，再到部署于云端的山石云-界虚拟化防火墙，都可以为 SD-WAN 组网提供业界领先的 4-7 层安全防护能力，帮助企业构建云上云下一体化的网络安全体系，满足企业安全合规需求。案例总结本案例由山石网科建设提供。该大规模“安全 SD-WAN”组网案例，实现了快速开局、统一管理、流量优化、多业务安全、云端安全防护、可视化运维等功能，满足了用户的网络及安全需求。案例研究安全 SD-WAN324.4 某金融企业“安全 SD-WAN”应用案例背景伴随金融企业（如银行、证券、保险）业务发展，为了更好地支持各类业务持续创新发展，企业对线路带宽、可靠性以及日常

57、维护即时、有效性提出了更高要求，既需要满足多地多分支的互联网访问需求，也要满足数据中心之间的链路稳定要求和安全需求，并希望通过对现有网络进行 SD-WAN 改造以消除部分局限性问题：各分支网络访问安全能力薄弱金融企业具有庞大的分支机构，每个分支机构在当下都有或多或少的互联网访问需求。如果每个分支都要访问互联网，那么每个分支的网络其实都有可能成为被攻击的点。也正是由于分支数量众多，如果对各个分支进行全面的互联网出口防护，那么将使金融企业面临高额的实施成本也在一定程度上遏制了业务的扩展步伐。线路运维可视化程度较低，排障复杂金融企业广域网线路常以通过运营商总头连接子接口的方式连接分支机构百余根线路，

58、总头线路传输流量分布不透明，运维人员依靠以硬件为中心的管理方式仅能看到线路实时带宽。当遇到拥塞、故障时，无法清晰知晓线路中业务流量构成，对各条线路传输流量进行可视化展示的方式暂缺，故障定位时间较长。线路流量无法按业务种类调度目前大量金融企业广域网已对业务和办公流量进行了线路区分，但无法实现精细化的业务分析调度。当业务或办公线路占满后，另外一根线路即使处于空闲状态也无法得到有效利用，不能将部分业务流量切换至空闲线路。随着业务的发展，金融企业希望通过“安全 SD-WAN”互联网归集解决方案，在常态下，将分支的互联网业务关闭，各分支的流量通过 SD-WAN 网络传输，将互联网的出口归集在总部。此外，

59、需要具备基于业务的统一传输平台，构建以应用视角切入的网络，并且将互联网访问进行统一管理，确保在互联网访问中的安全性、可控性。此外，金融企业在“安全 SD-WAN”建设过程中，必须遵循金融行业监管制度，同步强化网络安全能力，在近年，金融企业对于国密算法技术、国产化替代尤为重视，“安全 SD-WAN”需要能够完全满足金融企业的安全要求。解决方案POP 优化方案，分支统一就近接入 SD-WAN 核心网络中，确保访问质量的同时，构建总部的统一安全互案例研究安全 SD-WAN33联网出口。此外，由于分支数量大，因此考虑到对总部互联网出口的压力问题，该方案设置了分支的单独管控策略，即使总部出口拥塞或者故障

60、，也可以避免所有分支的互联网访问全部中断；同时对总部链路质量进行实时探测，一旦发现总部链路中断或者超过规定的流量阈值，则本地直接能够启用安全策略、并在本地访问互联网，避免网络中断问题。另外，缔安科技“安全 SD-WAN”具备统一网管，网管平台纳入全网 SD-WAN 设备，不仅使 IT 人员的日常运维更加方便，同时，也可以进行策略的统一配置和迅速下发，整体的业务可视化能力也得到了进一步的提升，企业缺乏直观的流量及应用可视化监控手段的问题得以解决。图 21.运维视图方案说明：1)极简设计，轻型高效 VPN 协议能够快速建立双向加密传输隧道并支持丢包重传，企业无需担心丢包严重时导致数据传输不稳定后或

61、中断，确保在丢包严重的情况下仍可以迅速建立并维持隧道稳定。2)安全性，隧道基于 SSL.多层加密技术构建，并支持国密标准，对网络架构进行安全升级，将互联网访问进行归集纳管，确保不同分支的互联网访问统一策略，互联网访问行为可视、可查、可管、可追溯。3)传输优化，通过 TCP 优化算法，优化广域网段的传输协议，提升传输效率。支持前向纠错、多链路复制、视频协议优化等算法。案例总结本案例由缔安科技建设提供。该方案通过安全的 SD-WAN 订阅式服务，帮助用户快速完成多分支广域网接入，用户不必承担基础的底层设备建设压力，基于组织发展需要还可以方便、安全地实现扩展。发展趋势安全 SD-WAN345“安全

62、SD-WAN”发展趋势“安全SD-WAN”在与AI、5G、物联网、业务上云等新应用碰撞中一直在不断创新演进。本次调研总结发现，未来“安全 SD-WAN”技术主要呈现以下趋势：1）高性能应用高性能的多业务安全能力来源于以下诉求：i、设备暴露于广域网上，需要具备可以对抗一定流量 DDOS 冲击的防护能力；ii、数字时代带来大量的数据传输需求；iii、深度感知网络行为、精细化内容解析需要足够的计算能力；iv、数据安全保护采用加密技术，对设备的高性能加解密提出更高的要求。2）与 SASE 架构融合随着物联网、移动办公、分支互联、企业上云等需求的增加，安全需求越来越多的向多业务安全、零信任安全、SaaS

63、 化安全方向发展，SASE（安全访问服务边缘）作为 SD-WAN、.CASB、FWaaS.和.Zero.Trust.等网络安全服务融合后的一种云交付服务，满足了多元的安全需要而备受关注。“安全 SD-WAN”因多业务安全需要不断扩展丰富安全能力，或会慢慢与 SASE 架构深度融合。（Gartner 预计，”到 2024 年，至少有 40%的企业将有明确的战略采用 SASE，而 2018 年底这一比例不到 1%）。3）可托管的“安全 SD-WAN”服务“安全 SD-WAN”托管服务在广域网快速连接、弹性扩展、简易运维、降低企业建设成本等方面存在显著优势。研究数据显示，全球托管 SD-WAN 服务

64、市场（包括服务提供商管理和集成服务）预计将以 38%的复合年增长率快速发展。尽管我国托管式“安全 SD-WAN”服务发展较晚，但发展前景和空间较大。4）5G 技术促进“安全 SD-WAN”的发展5G.是我国新基建中信息基础设施的重要组成部分，赋能产业发展的新未来，与 SD-WAN 技术结合实现拉通云网、固移融合，必将带来更多 SD-WAN 的部署。5G 网络因其高速率与低时延，面临更加复杂的网络安全和隐私保护的挑战，“安全 SD-WAN”的安全价值会得到更大体现。代表性厂商介绍安全 SD-WAN356 代表性厂商介绍6.1 天融信天融信科技集团（证券代码：002212）创始于 1995 年，现

65、已成为国内大型综合性网络安全、大数据与云服务提供商。多年来，天融信基于全产品系列、全业务方向、全行业营销、全区域覆盖的业务发展目标，面向基础网络、工业互联网、物联网、车联网等业务场景持续推出创新性的产品、方案和服务，为政府、金融、运营商、能源、卫生、教育、交通、制造等多行业客户提供网络安全整体解决方案。截至目前，天融信已累计获得 2 次国家级科技进步奖和 5 次省部级科技进步奖。天融信基于数字化转型需求推出“安全 SD-WAN”产品，具备完整的下一代防火墙能力，在大量的实践与探索当中，形成“SD-WAN+”的网络和安全融合架构，推出行业化、场景化的安全广域网互联解决方案。在“SD-WAN+”架

66、构不断落地的发展路历程中，结合 SASE 理念融入零信任、云计算等多领域网络安全能力，助力客户实现云、网、安 IT 能力的原生共建，为客户业务安全访问提供灵活、便捷、可靠、易用的安全接入和安全服务保障。图 22.天融信“安全 SD-WAN”体系代表性厂商介绍安全 SD-WAN36天融信“SD-WAN+”安全广域网互联架构分两部分：一部分是网络服务，包括具备全场景接入能力的 SD-WAN 网关设备、智能选路模块、业务优化加速模块等，另一部分是协同安全服务，包括零信任网络、行为管控、数据防泄漏、高级安全检测、日志审计、态势感知、应急响应服务等。目前天融信正在逐步实现全球核心节点城市 POP 点搭建

67、，并将核心安全能力部署在 POP 点上，这样移动办公用户可以通过客户端接入 POP、分支总部的用户通过专用的 TSDW 设备接入，私有云公有云业务通过 vCPE 接入，最终实现客户就近接入 POP 点，保障网络高可用和安全访问。天融信“安全SD-WAN”解决方案及产品具备SD-WAN.Ready1.0（设备和解决方案维度）、SD-WAN.Ready.2.0（NGFW 维度）等多个 SD-WAN 专用资质证书，并获得 SD-WAN 峰会最佳实践奖和 2021 年网络安全优秀创新成果大赛入围奖。此外，天融信还受邀参编了SD-WAN 全球技术与产业发展、SASE 技术与应用场景白皮书等多个重量级行业

68、标准与技术白皮书，为推动行业成熟发展贡献力量。天融信始终坚持自主创新，持续加大业务需求与技术的深度融合和创新实践，为客户打造具备立体安全防护能力的广域网智慧互联解决方案，助力客户实现高质量的数字化转型。代表性厂商介绍安全 SD-WAN376.2 新华三新华三集团致力于成为客户业务创新、数字化转型值得信赖的合作伙伴。作为紫光集团旗下的核心企业，新华三通过深度布局“芯-云-网-边-端”全产业链，不断提升数字化和智能化赋能水平。新华三拥有芯片、计算、存储、网络、5G、安全、终端等全方位的数字化基础设施整体交付能力，提供云计算、大数据、人工智能、工业互联网、信息安全、智能联接、边缘计算等在内的一站式数

69、字化解决方案，以及端到端的技术服务。新华三拥有完善的产品、解决方案及专业安全服务，目前能够提供 40 大类超 500 款专业安全产品，覆盖边界安全、云安全、工业互联网安全、车联网安全、数据安全、5G 安全、终端安全等多个细分领域，能够为客户提供从顶层设计到底层基础设施的“云-网-边-端”一体化网络安全解决方案。图 23.新华三“安全 SD-WAN”体系在新华三“安全 SD-WAN”体系中，一体化安全设备是整个架构的支撑，安全 CPE 设备能力底气来自于自研的统一平台 Comware 操作系统。结合 SD-WAN 网络业务特性和先进的技术能力要求，新华三推出不同性能梯度的 CPE 设备，结合 D

70、PI 深度威胁检测能力和实时云端更新威胁样本能力，满足企业建设的不同要求。在往上就是整个“安全 SD-WAN”的管理感知层，整个 SD-WAN 业务控制中心同样具有融合统一和业务特异化发展的特点。底层通过 U-Center 统一数字底座规范基础架构体系，南向对接设备整合基础管理接口，规范接收设备各类日志与告警，完成多管理协议统一封装、统一调度，适配用户业务的动态工单等服务能力。新华三“安全 SD-WAN”管理平台，是整个“安全 SD-WAN”解决方案的客户入口，是客户感知、运营的窗口。在网络编排上，“安全 SD-WAN”管理平台，秉承软件定义的精髓，将控制面与转发面解耦，实现整体代表性厂商介绍

71、安全 SD-WAN38网络的灵活调度。基于安全积累的特征库覆盖识别所有网络流量，在精细化网络资源的调度上，提供了精细化的识别粒度。同时全局信息安全态势的呈现也是新华三“安全 SD-WAN”管理平台的另一大特点，企业广域网络的特点决定了信息工程分布式建设现状，对企业信息管理人员来说全局视角下的安全威胁的分析呈现是非常有必要的，新华三“安全 SD-WAN”管理平台，支持区域信息深入下钻，整体安全态势全局展示，契合企业网络建设架构，通过威胁预警，联动处置，事件反馈的安全闭环管理，有效辅助企业构建安全预警，危险溯源，迅速处置的信息化安全处理流程，提高整体安全防护能力和安全事件处置效率。同时整体架构支持

72、横向拓展，支持服务化安全能力对接和云化安全防护对接，保证业务架构满足不同的场景业务拓展和运营。代表性厂商介绍安全 SD-WAN396.3 山石网科山石网科是中国网络安全行业的技术创新代表性厂商，由一批知名网络安全技术骨干于 2007 年创立，并以首批科创板上市的网络安全公司身份，在 2019 年 9 月登陆科创板（股票简称：山石网科，股票代码：688030）。面对未来数字世界将长期伴生、变化的网络安全问题，山石网科认为只有通过“可持续安全运营”才能实现网络安全的长治久安。围绕着支撑用户“可持续安全运营”的技术理念，山石网科自成立以来研发投入多年占比超过 29%，并掌握 24 项自主研发核心技术

73、，申请百余项国内外专利。目前，山石网科形成了具备“全息、量化、智能、协同”四大技术特点的涉及边界安全、云安全、数据安全、业务安全、内网安全、智能安全运营、安全服务、安全运维等的八大类产品服务，50 余个行业和场景的完整解决方案。公司迄今已为金融、政府、运营商、互联网、教育、医疗卫生等行业，覆盖 50 多个国家和地区，累计超过 23,000 家用户提供产品服务，高效稳定支撑客户业务的可持续安全运营工作。山石网科在苏州、北京和美国硅谷均设有研发中心，于 2013 年、2016 年和 2019 年成功申报国家高新技术企业。图 24.山石网科“安全 SD-WAN”方案产品体系山石网科“安全 SD-WA

74、N”解决方案由部署在总部的 SD-WAN 控制器以及不同分支节点的不同规格类型CPE 组成，如山石网科下一代防火墙 NGFW、山石云界虚拟化防火墙，山石网科 SDW 系列专用 CPE 等。代表性厂商介绍安全 SD-WAN40关键能力1)支持通过 U 盘开局、URL 开局等多种快速开局部署能力，相比于传统配置方式，该方案可缩短 80%的上线时间。2)具备向导式 VPN 组网的能力，可简化 VPN 的复杂配置，便于用户轻松搭建 VPN 网络。同时具备批量自组网的能力，可实现大量分支场景下的 VPN 组网，极大提升组网效率。3)具备业务一键发布的能力，当企业组织有新业务上线时，通过业务一键发布，可免

75、去组织内部复杂的策略放通配置工作，提升新业务上线效率。4)具备基于流量的实时探测技术，能够智能分析不同链路的负载状态、带宽状态等信息，并依据管理员的策略，将流量更合理地在不同链路上分配，提升链路的利用率；当出口单条链路故障时，安全网关迅速监测到这一情况，并将链路上的流量快速引流到其他正常链路，从而保障用户访问业务的连续性。5)网络部署简便，使用图形化的操作拖拽方式轻松组网，无需复杂组网配置，降低网络部署所需要的人力成本。6)多种组合的选路方式，主备选路、指定选路、负载选路等，在保障业务稳定性的前提下，有效提升日常业务访问效率。7)网络更加安全，山石网科“安全 SD-WAN”解决方案天然支持山石

76、网科的下一代防火墙，具备 IPSAVC2 等专业的网络安全防控能力。代表性厂商介绍安全 SD-WAN416.4 缔安科技上海缔安科技股份有限公司创立于 2007 年，在全国各地下设多家子公司与分支机构。秉持“让用户数据传输永不中断”的使命，缔安科技致力于提供“新基建”大背景下全方位的信息化、数字化建设支撑，服务于全行业企业客户，深入推进信息资源整合与共享，全面提升信息系统智能化水平，并为构建万物互联的数字世界打下坚实基础。作为数字化、信息化建设中不可或缺的云网络服务提供商，缔安科技凭借对基础数字世界“计算、存储、传输”三大支柱中的“传输”能力的持续关注与提升，基于自主专利架构研发的 SD-WA

77、N 安全互联运营服务“云联接”，已实现在政府、通信、商贸、金融、工业等行业中的切实落地，将安全能力与 SD-WAN 服务融合，通过软件定义的方式将网络控制能力云化，解决企业网络质量不稳定、网络传输路径不可控、网络管控难、网络安全性低等关键问题，协助大量行业标杆客户迈向数字化转型新时代，拥抱虚拟化传输技术。SD-WAN 服务体系缔安科技“安全 SD-WAN”解决方案为企业提供分支与分支、分支与数据中心、分支与云之间的广域安全互联，并通过应用级智能选路、QoS、终端管控、全网统一管理调度等功能，为企业客户构建业务体验更优、链路效率更佳、安全防护更稳的全场景安全互联服务。图 25.缔安科技“安全 S

78、D-WAN”体系缔安科技“安全 SD-WAN”解决方案能够确保企业在网络构建或改造过程中的安全性与可靠性，包括云安全、网络安全及应用安全等各类云网络及其自身能够承载的应用、数据的稳健性。缔安科技“安全 SD-WAN”方案分为应用层、传输层、设施层三部分。基于传输虚拟化的核心思想，通过搭建 Underlay 与 Overlay 双层网络规避传统网络紧耦合状态的限制，将网络控制平台与数据转发平台分离，对上层的支撑更加敏捷、灵活；同时，运用商密算法及零信任构架对整体结构进行安全能力加强。代表性厂商介绍安全 SD-WAN42在产品形态方面，缔安科技“安全 SD-WAN”产品涵盖软硬件，种类丰富，形态多

79、样，具体分为小型、桌面型、中型、机架型、大型机架型，以及覆盖主流终端操作系统（如 Windows 系统、OSX、Android、iOS 等）的客户端软件体系。在产品架构方面，覆盖访问的云、管、端，形成全链路的、完整的一体化结构形态，并且可与多接口进行匹配对接，可整合叠加诸如5G、AI等高新技术，将高新技术实力的优势整合为完善的产品架构。在产品适用场景方面，缔安科技“安全 SD-WAN”基于多年来实际市场中客户的需求场景推出大量行业细分场景供用户进行选择匹配，基本能够覆盖常见行业中 70%以上的场景。部分国内大型云厂商、知名硬件服务厂商、友商均前来缔安参观展厅，交流场景方案能力并探讨学习。在产品

80、服务方案方面，缔安由于以提供服务化产品为主，因此在行业内率先推出覆盖“最后一公里”接入能力的安全网络解决方案，并根据企业切实要求提供相应标准的服务承诺。缔安服务响应速度快、故障处理时间周期短，受到客户的高度认可。关键能力缔安科技“安全 SD-WAN”提供了一个强大的应用平台，该平台克服了当前 IPSec、SSL.VPN 和其他网关为核心的产品的不足，支持全局的连接和端到端安全。按需全网统一调度，通过业务逻辑与应用层融合策略替代传统网络层策略，监管、控制、调度兼具的中心管控平台面向用户，智能运维。虚拟化网络功能实现网元自动化部署，赋予资源弹性扩缩容的实力，以人工智能算法提升网络能效。网络内外“无缝防护”，一站式强化各项安全模块功能，端到端的数据安全传输能力为企业业务构建坚实的防护屏障，阻隔内外部各类潜在攻击。支持信创平台和国产操作系统，支持核准的国密协商模式及SM1、SM2、SM3、SM4算法，满足用户身份认证、传输加密、访问授权、日志审计等多种基础安全需求。支持移动终端设备的接入安全、移动应用自身安全、移动应用数据安全。支持多维度、细粒度的按需管控，建立浏览器访问权限控制及异常识别响应机制。