单栈安全性
在理想情况下,单个软件堆栈可用于所有网络功能。人们现在开始看到路由和安全性的融合。如今的网络和安全团队以及产品是不同的,人们希望将路由和安全性结合在一起。
一些SD-WAN供应商与安全供应商合作,以便路由和安全性能够很好地协同工作。一个例子是使用网络功能虚拟化(NFV)。
在这里,采用软件堆栈并在同一硬件实例上运行它们并将服务链接在一起。有些情况下,只是将所有内容都推送到云端。所有安全性和自我修复都在云平台中运行,从而抽象出复杂性。无论哪种方法最适合用户,未来的安全和联网都会更加紧密。
支持太比特级网络
如果用户想在互联网上使用太比特速度,可以购相应的设备进行扩展。网络互联架构为太比特级网络提供高性能和支持。
IP地址独立
对IP地址独立性和重叠IP地址的支持至关重要。许多组织已经分配了不受限制地运营的团队,从而产生了1000个AWS账户。最终,当用户想要转向共享服务,日志记录或基于身份的策略 (IAM)时,IP地址冲突的可能性很高。
这里有两个选择:用户可以读取所有内容,也可以使用提取IP地址的供应商产品。抽象IP地址基于其他变量(如命名数据网络)进行路由。
零信任安全
它还提供零信任安全性。零信任安全的基本定义是没有事先认证和授权就没有建立传输控制协议(TCP)或用户数据报协议(UDP)。
自适应加密和会话身份验证
自适应加密是在应用层加密,使用传输层安全性(TLS),可选择在网络级别重新加密。当然优点是双重加密比单一加密更安全。如果某人在应用程序层有传输层安全性(TLS),他们仍然可以在传输层安全性(TLS)会话设置期间获得有关TLS连接的一些元数据。
然而,在网络层加密使用不同的密钥,使用户可以隐藏有关该TLS会话的元数据。但是,如果要在网络层进行加密,则会实现网络性能。要解决此问题,用户可能需要额外的资源来促进加密。
1:1分割
互联网设计提供1:1分割。这是应用程序或服务到另一个应用程序或服务的映射。确切地说,在虚拟服务器中,应用程序只能在此端口上与另一个端口的应用程序进行通信,而不是通用的服务器到服务器映射。
应用程序性能和服务保证
应用程序性能和服务保证确保应用程序正在高效运行。此外,它确保应用程序采用最佳路径而不是最短路径,这可能具有高利用率。
确定性路由
在通过安全堆栈时,必须采用确定性和动态路由,因为用户不需要非对称路由。
一些SD-WAN供应商通过发送ping,双向转发检测(BFD)或通过其他一些专有的保持活动访问链路测量来监控链路。边界网关协议(BGP)路由控制路由,但它是静态的,可以根据规则或跳变进行配置,但是,这些指标都不是基于链路的利用率。
如果在一段时间内丢弃了超过10%的数据包,用户应该能够将路由设置为更好的路径。许多SD-WAN正在宣传这一点,因为在过去设置思科智能WAN(IWAN)时,数据流的设置将使用相同的链路,直到该流程结束,无论抖动或数据包丢失如何。
大型会话的链接负载平衡
全球互联网为大型会话提供链路负载平衡。比方说,用户正在执行备份,可以平衡多个链接,而不是使用单个链接,这些链接可以同时使用给定的AWS或Azure实例,以便于进行大量文件传输。
从传输控制协议(TCP)的角度来看,它看起来仍然相同。TCP仍然按顺序保留序列号,即使它们进入不同的路径。这是因为负载平衡是在开放系统互连(OSI)模型的网络层执行的。
维护会话状态
在网络中,会话将通过防火墙。发生拓扑更改导致返回路径发生变化时会发生什么?
非对称路由将导致防火墙丢弃会话。因此,需要通过防火墙边界和网络拓扑更改来维护会话状态。因此,如果某个链接表现不佳,则需要确保路线更改是双向的,而不仅仅是单方。这使用户可以正确进行故障转移。在这种情况下,从TCP角度来看,用户仍然在维护TCP状态。