如果不向分支機(jī)構(gòu)提供本地互聯(lián)網(wǎng)訪問，用戶就無法充分利用SD-WAN提供的所有優(yōu)勢，并且用戶需要在提供安全服務(wù)的前提下訪問本地互聯(lián)網(wǎng)。SD-WAN具備諸多的優(yōu)勢，但是不具備提供邊緣安全的功能。

盡管有人說SD-WAN的數(shù)據(jù)在傳輸過程中是加密的，而且一些SD-WAN設(shè)備具有基本的狀態(tài)防火墻功能。但是隨著第7層面臨的攻擊增多，分支機(jī)構(gòu)需要下一代防火墻(NGFW)和最新的IPS/IDS功能來保護(hù)終端安全，基本的防火墻功能已經(jīng)捉襟見肘。SD-WAN分支機(jī)構(gòu)對7層安全的需求，推動(dòng)SD-WAN廠商與安全廠商建立合作伙伴關(guān)系，或在設(shè)備中提供安全服務(wù)。

[[228940]]

分支機(jī)構(gòu)安全的SD-WAN將對服務(wù)產(chǎn)生深遠(yuǎn)的影響，企業(yè)花費(fèi)大量的時(shí)間來部署、調(diào)整和維護(hù)其安全基礎(chǔ)設(shè)施，而在成本競爭中，安全廠商不得不調(diào)整他們的設(shè)備。另一方面，流量負(fù)載的增加或啟用計(jì)算密集型功能往往迫使企業(yè)進(jìn)行設(shè)備升級(jí)。與IT團(tuán)隊(duì)不同的是，安全團(tuán)隊(duì)不斷與攻擊者對抗。當(dāng)安全廠商針對最新威脅發(fā)布補(bǔ)丁時(shí)，部署時(shí)間至關(guān)重要。所有這些都給超負(fù)荷的IT團(tuán)隊(duì)增加了負(fù)擔(dān)，將這些外包給提供商是一個(gè)明智之舉。

這導(dǎo)致了三種類型的安全SD-WAN服務(wù)。

第一代：多個(gè)物理設(shè)備

在第一種情況下，服務(wù)提供商集成了多個(gè)物理設(shè)備來提供服務(wù)。用戶減輕了管理、運(yùn)營和調(diào)整各種設(shè)備的負(fù)擔(dān)。與云服務(wù)的資本支出和運(yùn)營成本在各個(gè)客戶之間分?jǐn)偛煌?，用戶仍然需要為設(shè)備和整合付費(fèi)。這也意味著要排除故障，用戶仍然需要在每個(gè)產(chǎn)品的不同控制臺(tái)之間跳轉(zhuǎn)。

第二代：多個(gè)虛擬設(shè)備

SD-WAN提供商提供集成功能，將多個(gè)應(yīng)用程序作為VNF或虛擬設(shè)備運(yùn)行在通用硬件上。這些VNF和設(shè)備仍然需要正確調(diào)整和部署，但在軟件中實(shí)現(xiàn)難度大大降低。當(dāng)然，這些設(shè)備的容量仍然優(yōu)先。根據(jù)實(shí)施情況，提供商可以進(jìn)行一些集成功能，通過一個(gè)控制臺(tái)實(shí)現(xiàn)無縫故障排除和管理。其他提供商似乎只將第三方防火墻當(dāng)中VNF提供，但Versa Networks已將一些下一代防火墻功能集成到其核心產(chǎn)品中并將VNF用于第三方應(yīng)用程序。

第三代：云服務(wù)

最后一個(gè)也可能是最先進(jìn)的方式是重新思考網(wǎng)絡(luò)和安全性，并將之結(jié)合到云服務(wù)中。將基礎(chǔ)設(shè)施設(shè)備的功能分解，你會(huì)發(fā)現(xiàn)它們的工作方式有很大的重疊。它們在較低的網(wǎng)絡(luò)層共享資源，在高于這一層的情況下，它們會(huì)進(jìn)行深度包檢測，很多策略需要進(jìn)行設(shè)置等。隨著我們的網(wǎng)絡(luò)和安全功能的商品化，將這些功能區(qū)分開來，在每個(gè)設(shè)備商反復(fù)執(zhí)行這些功能變得不那么重要。將安全/網(wǎng)絡(luò)堆棧遷移到云端，解決設(shè)備的成本問題。由于云具有彈性，因此可以消除硬件升級(jí)且不存在擴(kuò)展問題。補(bǔ)丁仍由安全提供商完成，但所有功能和客戶只能升級(jí)一次。資本和運(yùn)營成本由所有用戶平攤，從而提供非常實(shí)惠的服務(wù)。