隨著(zhù)企業(yè)越來(lái)越多采用公有云服務(wù),SD-WAN的應用也迅速增長(cháng)。畢竟,SD-WAN的主要用例是提供到云服務(wù)的快速和彈性連接。雖然向SD-WAN遷移是由節約成本、更快的部署速度和更多的應用控制能力驅動(dòng)的,但一直以來(lái)其實(shí)在SD-WAN和MPLS(多協(xié)議標簽交換)之間存在孰優(yōu)孰劣的爭議。MPLS提供了路由域和分段隔離的細粒度控制,并通過(guò)流量工程為用戶(hù)提供端到端的低延遲和高服務(wù)質(zhì)量。AWS Cloud WAN的推出意味著(zhù)在A(yíng)WS云中首次提供了一種產(chǎn)品,它具有類(lèi)似MPLS核心網(wǎng)絡(luò )的網(wǎng)絡(luò )性能和穩定性,同時(shí)兼具讓許多本地站點(diǎn)通過(guò)SD-WAN上云的靈活性?xún)?yōu)勢。
AWS Cloud WAN建立在TGWC(中轉網(wǎng)關(guān))之上,允許用戶(hù)定義核心網(wǎng)并再進(jìn)一步的劃分隔離段。每個(gè)隔離段都是一個(gè)全局同步且隔離的三層分段,類(lèi)似于IP VPN或VRF,并在用戶(hù)的AWS帳戶(hù)內提供一個(gè)隔離的路由域。遠程端點(diǎn)通過(guò)連接到CNE(核心網(wǎng)絡(luò )邊緣)來(lái)連接到核心網(wǎng)絡(luò )(Core Network)。
在A(yíng)WS Cloud WAN中,隔離段表示天然的隔離邊界,可以基于這個(gè)邊界啟用應用安全檢查。Fortinet的FortiGate NGFW虛擬化版作為策略實(shí)施點(diǎn),應用零信任過(guò)濾,檢查用戶(hù)和應用流量,可以幫助組織保持隔離段的完整性。除此之外,它還提供SD-WAN功能。
FortiGate虛擬化NGFW結合AWS Cloud WAN可以為用戶(hù)提供多個(gè)隔離段之間的無(wú)縫保護的能力,包括隔離段間和出向外部連接。通過(guò)將此架構與AWS GWLB(網(wǎng)關(guān)負載均衡器)相結合,Fortinet可以提供靈活的、可伸縮的安全檢查,無(wú)論各個(gè)業(yè)務(wù)單元的需求如何。尤其將位于本地位置的FortiGate物理設備和AWS云中的虛擬設備與AWS Cloud WAN結合在一起,使得AWS上的混合云網(wǎng)絡(luò )比以往任何時(shí)候都更加安全和靈活。Fortinet在為各種規模的組織提供安全的SD-WAN和運營(yíng)商級MPLS保護方面處于領(lǐng)先地位。
用例1:?jiǎn)螀^域的隔離段檢查
上圖描述了單個(gè)AWS區域中的多個(gè)隔離段 (AWS Cloud WAN初版不支持多區域)。如圖所示,每個(gè)隔離段可以屬于一個(gè)單獨的用戶(hù),每個(gè)用戶(hù)又屬于單個(gè)組織的內部業(yè)務(wù)單元,或者一個(gè)MSSP(安全托管服務(wù)提供商)提供的服務(wù)。為了安全的進(jìn)行Internet訪(fǎng)問(wèn),每個(gè)隔離段都可以訪(fǎng)問(wèn)共享服務(wù)隔離段。一條由共享服務(wù)隔離段發(fā)布的默認路由,將應用VPC(專(zhuān)有網(wǎng)絡(luò ))的流量通過(guò)CNE 路由到安全VPC。本例中使用GWLB時(shí),針對隔離段、用戶(hù)或應用部署檢測策略,然后將檢測策略返回到該GWLB原來(lái)的路徑。
用例2:?jiǎn)螀^域服務(wù)商外聯(lián)網(wǎng)
本用例擴展到了包括遠程SD-WAN設備在內,就像您正常和MPLS服務(wù)商配合的情況。在這里,SD-WAN站點(diǎn)通過(guò)CNE連接到AWS,類(lèi)似傳統的MPLS CE-PE鏈路,隔離段中的路由可以發(fā)布到遠端站點(diǎn)。通過(guò)AWS安全VPC的默認路由,遠程站點(diǎn)可以實(shí)現類(lèi)似于使用MPLS網(wǎng)絡(luò )的共享安全Internet訪(fǎng)問(wèn)。在這種情況下,來(lái)自SD-WAN站點(diǎn)的流量將直接從FortiGate虛擬NGFW轉發(fā)到IGW(互聯(lián)網(wǎng)網(wǎng)關(guān))。因為每個(gè)隔離段有獨立的路由實(shí)例以及在GWLB處理NTA策略,打破IP地址不能重疊的限制。同時(shí)通過(guò)FortiGate提供即插即用的安全能力。
通過(guò)支持AWS Cloud WAN, Fortinet拓展了客戶(hù)云邊緣使用場(chǎng)景,提供靈活、良好的架構和云原生的高級網(wǎng)絡(luò )安全。Fortinet的FortiGate NGFW和AWS Cloud WAN為云網(wǎng)絡(luò )提供了電信級的性能、安全性和可靠性,使企業(yè)能夠實(shí)現他們的數字加速目標。
(完)
