SD-WAN最初可能是一种网络技术，但SD-WAN的未来在于安全。将分支机构安全功能集成到SD-WAN中，允许更精简、更简单的远程办公室部署。为此，安全供应商引入了SD-WAN功能，而SD-WAN供应商则增加了安全功能。下面，小编给大家介绍下用于网络安全的3种SD-WAN架构。

1、具有基本防火墙的SD-WAN设备

许多SD-WAN供应商在其SD-WAN设备中提供基本的防火墙功能。这些防火墙大致相当于我们在分支机构路由器中看到的状态防火墙。功能将包括基于策略的过滤和基于端口或IP地址的阻止应用程序。

基本的状态防火墙可能足以将位置连接到Internet以实现SaaS，但不足以提供更广泛的Internet访问。为此，我们需要第4层到第7层的控制功能，例如下一代防火墙(NGFW)、入侵防御系统(IPS)、URL过滤等。

2、具有高级防火墙的SD-WAN设备

一些SD-WAN供应商在其设备中包含高级安全功能。组织获得一台物理设备进行部署，但他们仍然需要管理单独的安全和网络域。正是这种分散性模糊了IT的可见性和控制。还有关于设备外形的问题。

设备在其生命周期中承载着与测试、部署、维护和管理设备相关的大量OPEX成本。当流量水平跳跃或启用计算密集型功能（如IPS或 SSL 拦截）时，设备的有限资源通常会强制进行意外的硬件升级。设备也仅限于保护它们保护的站点。它们对保护移动用户没有任何作用，除非它们通过VPN返回站点，这通常会带来性能问题。  

3、带SD-WAN的防火墙设备

与此同时，多家安全供应商已宣布为其NGFW设备提供SD-WAN功能。使用支持SD-WAN的防火墙设备，安全性远优于SD-WAN设备中包含的基本防火墙。然而，组织仍然受到设备的限制。更重要的是，虽然其中许多设备在纸面上看起来不错，但它们缺乏经验丰富的SD-WAN 产品的成熟度。

SD-WAN应该能够在几秒钟内切换到辅助连接，理想情况下是亚秒级，这足以保持会话状态。这是SD-WAN和基本IP路由之间的根本区别，可能需要40秒才能收敛到备用IP连接。但是，一些提供SD-WAN功能的安全供应商可能需要长达300秒的时间才能在连接之间切换。

收集性能指标对于SD-WAN边缘设备也很重要。它允许他们为给定的应用程序选择最佳路径，这是与链接聚合器的根本区别之一。

以上是用于网络安全的3种SD-WAN架构介绍，希望能帮助到大家了解！