人工智能原生 SD-WAN

瞻博网络人工智能原生 SD-WAN 是一套无隧道、应用感知和零信任的安全解决方案，可实现可靠且安全的 WAN 连接。 

瞻博网络人工智能原生 SD-WAN 解决方案由瞻博网络 Session Smart 路由器、Marvis AI 和瞻博网络 WAN 保证组成。 

瞻博网络的人工智能原生 SD-WAN 为现代企业带来诸多优势。通过将安全 SD-WAN、Wi-Fi、PoE+、交换和选配 5G 等基本网络组件整合到一个“分支机构一体化”解决方案中，可以显著降低运维复杂性，并简化部署。这套解决方案由 Marvis AI 驱动，能够自动执行日常任务，在问题影响用户之前主动解决问题，并针对整个网络提供深入而具体可行的洞察。这种方法能够加快价值实现速度，提升 IT 工作效率，并带来更可靠的用户体验。此外，平台构建注重强化安全，采用包括后量子安全以及无缝集成零信任与 SASE 架构在内等方式，确保为网络提供从边缘到云端的安全防护。紧凑节能的设计还有助于降低总体拥有成本，提高基础架构的可持续性。

无隧道 SD-WAN 具有多种优势，包括：

1. 用户体验保证以及应用性能保证：无隧道 SD-WAN 消除了隧道引致的开销，可提高应用性能，减少延迟，最大限度利用可用带宽，从而实现应用性能提升和成本节约。与此同时，WAN 保证还可以进一步改善用户体验。
2. 可扩展性大幅提升：这种方法还简化了网络架构，通过消除管理和编排隧道网格的运维复杂性，降低管理和扩展难度。
3. 自带零信任安全性：相比依赖复杂且安全程度可能较低的隧道基础架构，无隧道 SD-WAN 通过应用零信任模型，对每一个会话都进行加密和身份验证，以提升安全性。网络交换矩阵也因此变得更安全、更简化、更高性能。

无隧道 SD-WAN 通过采用零信任安全模型和会话级加密机制，实现对网络流量的安全防护，无需依赖传统隧道架构。

默认拒绝与会话感知

传统 SD-WAN 往往在安全隧道内采用“默认允许”方法，而无隧道 SD-WAN 则使用“默认拒绝”策略。这意味着在会话获得明确授权前，系统既不信任该会话，也不会允许其进行任何通信。系统在放行任何流量之前，会对每一个会话及其意图进行身份认证和验证。

这种安全性以逐跳方式实施，交换矩阵中的每台路由器都会对会话的合法性进行验证。这一过程将构建出一个能够建立彻底信任的安全交换矩阵，而不是在一个大型预建隧道里假装信任。由于未经授权的会话会立即被阻断，因此这种精细方法会使得威胁难以在网络中横向移动。

集成安全功能

无隧道 SD-WAN 直接将安全性融入交换矩阵，而不是依赖于独立的安全设备。它将以服务为中心的控制平面和会话感知数据平面相结合，以每项服务或每个网络为基础，应用安全性策略、服务质量 (QoS) 参数及访问控制。这种集成方法可以包含以下功能：

• 通过零信任安全边界对网络的不同分区进行隔离
• 新一代防火墙 (NGFW) 功能
• 借助主动分析实时检测威胁

由于避免了运维复杂性和管理大量隧道相关的带宽开销，这种安全模型本身就具备了高扩展性和高效的特点。

性能开销：对每个数据包进行封装加密的过程会导致其数据大量增加，网络效率因此降低，还有可能加剧延迟。这在高速或低延迟环境中尤其明显。（我们将这种浪费的开销称为无效吞吐量。）

配置复杂性：IPsec 并非单个而是一整套协议，因此配置异常复杂。这容易引发配置错误，进而造成安全漏洞或网络中断。不同供应商的实施方式可能也存在细微差异，导致互操作性问题。

可扩展性挑战：在大型分布式网络中，管理全网状 IPsec 隧道会造成巨大的运维负担。每新增一个地点，都需要创建和管理新隧道，因此可扩展性低，还会成为阻碍扩张的瓶颈。

零信任架构的局限性：传统 IPsec 隧道会创建一个广阔的“受信任”网络。一旦流量进入隧道内，通常即可广泛访问其他网络资源，从而构成潜在的安全风险。隧道虽可在两点间建立安全保障，但在防范威胁在网络内部的横向移动方面却几乎无能为力。

通常依赖 IPsec 等协议的隧道式 SD-WAN 面临着巨大的扩展挑战。为了连接数量不断增加的站点，全网状拓扑网络需要大量隧道。全网状网络中的隧道数量可以通过公式 n(n-1)/2 计算得出，其中“n”代表站点数量。当地点数量不断增加，隧道数量及其对应的管理开销将呈指数级攀升。每条隧道都需要精心配置与持续维护，配置失误有可能引发安全隐患或连接问题。这种复杂性会构成扩展的瓶颈，并有可能使故障排除演变为“大海捞针”式的难题。此外，每条隧道的封装与加密开销会降低带宽效率，而这个问题会随着隧道数量与流量规模的增长而愈发严重。

相比之下，会话智能型无隧道 SD-WAN 则具备更优秀的可扩展性。它们不依赖于隧道，而是采用默认拒绝、以服务为中心的架构。这意味着网络交换矩阵赖以建立的路由基础简单、可扩展且安全。系统通过单独授权和加密管理每一个会话，而不需要管理成千上万的隧道。这既消除了配置的复杂性，也避免了隧道数量的指数级增长。新增站点时，交换矩阵会自动扩展至这些站点，无需手动配置隧道。这种方法还消除了隧道协议相关的开销，从而最大限度提高带宽效率。因此，组织能够得到一个高度可扩展、敏捷且更为精简的网络，可以轻松适配业务的快速扩展，满足重视云技术的企业不断变化的需求。

瞻博网络 SD-WAN 解决方案在设计之初就将安全性视为网络交换矩阵中必不可少的核心组成，而非事后才需要考虑的额外补充。它突破了基于外围的传统安全模式，而是采用主动且面向未来的集成式方法。

瞻博网络 SD-WAN 解决方案的主要安全功能包括：

• 零信任架构：解决方案基于默认拒绝模型构建。这意味着流量无论在初始接入点还是网络中的任何一个跃点，在经过明确验证和授权之前，都不会被信任。这种方法能够显著减少攻击面，并防止威胁横向移动。
• 会话级安全与加密：瞻博网络 SD-WAN 不再依赖于大型“受信任”隧道，而是对每个独立会话实施安全防护。通过这种精细化控制，组织可以基于单项服务或应用实施安全策略和加密。这为组织提供了更大的控制空间，也增加了威胁对整个网络实施攻击的难度。
• 集成式防火墙与威胁防御：SD-WAN 平台具备内置安全功能，包括成熟的新一代防火墙 (NGFW)，以及入侵检测和防御 (IDP) 功能。这消除了在各分支机构部署独立安全设备的必要，从而实现集中式管理。
• 安全启动与硬件辅助型安全防护：对于安全敏感型环境，这款解决方案提供硬件辅助型安全启动，确保设备从开机之时起便安全无虞。
• SASE 与零信任集成：解决方案的设计旨在实现与安全接入服务边缘 (SASE) 和零信任架构无缝整合。企业可以通过单一的云交付平台融合网络与安全功能，对整个网络实施一致的策略。

瞻博网络人工智能原生 SD-WAN 由 Session Smart 路由器提供支持，该路由器基于软件，可以部署在瞻博网络 SSR 系列路由器、白盒客户本地设备、数据中心网络服务器上以及云端。Session Smart 路由器可以通过 Session Smart Conductor 或瞻博网络 Mist 云在本地或云端进行管理。

无论是中小型企业、大型企业、电信提供商还是托管服务提供商，如果希望实现网络现代化并改善网络用户体验，都可以考虑瞻博网络的人工智能原生 SD-WAN。 

瞻博网络的人工智能原生 SD-WAN 支持以下用例：

• 至简分支机构部署（分支机构一体化）
• 运维效率与主动故障排除
• 安全合规网络
• 优化的应用和用户体验
• 云连接和多云集成

有关人工智能原生 SD-WAN 部署服务的信息，请参阅人工智能原生 SD-WAN 部署服务产品介绍。如需 Session Smart 路由器方面的帮助，请查看 Session Smart 路由器文档，参加培训课程，或加入 SD-WAN 社区。