安全SDWAN的功能架构

安全SDWAN之所以称为“安全”，需要从两个方面来斟酌，即安全SDWAN的本身安全和企业网络安全两个方面。

从安全SDWAN本身安全方面来讲，SDWAN控制层的各系统，和CPE网关装备、POP点这些软件硬件，本身就需要进行安全加固，包括操作系统安全、防漏扫及防暴力破解、防DDoS/CC攻击等。同时SDWAN的控制层就好像人的神经中枢，一定要通过终端接入安全认证、授权访问等保证神经中枢的安全，不会被歹意的攻击还是病毒侵害。只有SDWAN本身的安全防护做好，才能称基于SDWAN的企业网络基础架构具有安全性。

(1)转发层

转发层是安全SDWAN网络中的网元部署层，通常由总部还是分支机构的CPE网关装备，和SDWAN骨干网中的POP点组成。其核心的功能是与安全SDWAN控制器对接，通过控制器下发的指令进行数据转发、配置实行、策略履行等。

(2)控制层

安全SDWAN架构中的控制层是各层面中最重要的一层，也是转发层中所有网关装备、POP点的集中控制大脑，负责各网关装备的鉴权认证、智能组网、远程管理、集中监控、策略统一管理等。

控制层的主要组成包括安全SDWAN控制器，和配置管理、监控运维、数据分析等模块中触及到的与网关装备、POP点需要交互的功能，如监控运维中的网络装备状态收集功能、数据分析中的网络与业务数据收集功能等。控制层中特别的功能包括IAM(鉴权认证)和SDP(软件定义安全)，主要是对网关装备、POP点进行鉴权认证并给这些网络转发层单元下发授权访问的策略等功能。

(3)编排层

安全SDWAN的编排层主体上包括两个模块：网络编排模块、安全编排模块。除此以外，还有配置管理、监控运维、数据分析模块中的与策略制定和与上层开放层协同的相干功能，包括各类配置模板的定义和更新、监控状态收集的统一处理、网络和业务数据分析的模型定义等。

网络编排模块和安全编排模块需协同进行，其主要功能是基于安全SDWAN控制器可以支持的组网和安全功能，对网络的链路资源、带宽资源、业务策略、访问控制策略、安全防护策略等统一管理，对网络流量进行全面可视化调度，以保障企业网络的关键业务系统的网络访问质量，实现对网络资源的精细控制、灵活调剂。同时，基于安全SDWAN分支的网关装备、POP点等转发层的全路径故障检测能力，进行网络状态的实时收集和分析，通过故障智能切换、业务智能路径选择、质量保障Q0S机制等提升全网的可靠性、稳定性和服务质量。

(4)开放层

安全SDWAN架构中的开放层主要提供人机交互的界面，和可支持利用开放的北向API，实现面向上层利用平台的网络能力开放。开放层一方面为网络运营管理人员提供可视化展现的管理界面，也为不同的企业客户提供自助服务的服务界面。另外一方面，可以为企业的IT系统和各类云服务系统提供网络级的拓扑抽象和路由可编程调用，使上层利用平台更方便容易地使用、管理和集成网络服务，从而提升安全SDWAN网络的价值。

TikTok千粉号购买平台：https://tiktokusername.com/