　　在近日召開的亞馬遜云科技re:Invent年度技術(shù)峰會(huì)上，亞馬遜云科技發(fā)布了全新服務(wù)AWS Cloud WAN（預(yù)覽版），F(xiàn)ortinet作為首批5家發(fā)布合作伙伴之一率先支持此服務(wù)，并且是能夠同時(shí)提供完善的NGFW（下一代防火墻）+SD-WAN能力的唯一廠商。

　　隨著企業(yè)越來(lái)越多采用公有云服務(wù)，SD-WAN的應(yīng)用也迅速增長(zhǎng)。畢竟，SD-WAN的主要用例是提供到云服務(wù)的快速和彈性連接。雖然向SD-WAN遷移是由節(jié)約成本、更快的部署速度和更多的應(yīng)用控制能力驅(qū)動(dòng)的，但一直以來(lái)其實(shí)在SD-WAN和MPLS（多協(xié)議標(biāo)簽交換）之間存在孰優(yōu)孰劣的爭(zhēng)議。MPLS提供了路由域和分段隔離的細(xì)粒度控制，并通過(guò)流量工程為用戶提供端到端的低延遲和高服務(wù)質(zhì)量。AWS Cloud WAN的推出意味著在AWS云中首次提供了一種產(chǎn)品，它具有類似MPLS核心網(wǎng)絡(luò)的網(wǎng)絡(luò)性能和穩(wěn)定性，同時(shí)兼具讓許多本地站點(diǎn)通過(guò)SD-WAN上云的靈活性優(yōu)勢(shì)。

　　AWS Cloud WAN建立在TGWC（中轉(zhuǎn)網(wǎng)關(guān)）之上，允許用戶定義核心網(wǎng)并再進(jìn)一步的劃分隔離段。每個(gè)隔離段都是一個(gè)全局同步且隔離的三層分段，類似于IP VPN或VRF，并在用戶的AWS帳戶內(nèi)提供一個(gè)隔離的路由域。遠(yuǎn)程端點(diǎn)通過(guò)連接到CNE（核心網(wǎng)絡(luò)邊緣）來(lái)連接到核心網(wǎng)絡(luò)（Core Network）。

　　在AWS Cloud WAN中，隔離段表示天然的隔離邊界，可以基于這個(gè)邊界啟用應(yīng)用安全檢查。Fortinet的FortiGate NGFW虛擬化版作為策略實(shí)施點(diǎn)，應(yīng)用零信任過(guò)濾，檢查用戶和應(yīng)用流量，可以幫助組織保持隔離段的完整性。除此之外，它還提供SD-WAN功能。

　　FortiGate虛擬化NGFW結(jié)合AWS Cloud WAN可以為用戶提供多個(gè)隔離段之間的無(wú)縫保護(hù)的能力，包括隔離段間和出向外部連接。通過(guò)將此架構(gòu)與AWS GWLB（網(wǎng)關(guān)負(fù)載均衡器）相結(jié)合，F(xiàn)ortinet可以提供靈活的、可伸縮的安全檢查，無(wú)論各個(gè)業(yè)務(wù)單元的需求如何。尤其將位于本地位置的FortiGate物理設(shè)備和AWS云中的虛擬設(shè)備與AWS Cloud WAN結(jié)合在一起，使得AWS上的混合云網(wǎng)絡(luò)比以往任何時(shí)候都更加安全和靈活。Fortinet在為各種規(guī)模的組織提供安全的SD-WAN和運(yùn)營(yíng)商級(jí)MPLS保護(hù)方面處于領(lǐng)先地位。

　　用例1：?jiǎn)螀^(qū)域的隔離段檢查

　　上圖描述了單個(gè)AWS區(qū)域中的多個(gè)隔離段 (AWS Cloud WAN初版不支持多區(qū)域)。如圖所示，每個(gè)隔離段可以屬于一個(gè)單獨(dú)的用戶，每個(gè)用戶又屬于單個(gè)組織的內(nèi)部業(yè)務(wù)單元，或者一個(gè)MSSP（安全托管服務(wù)提供商）提供的服務(wù)。為了安全的進(jìn)行Internet訪問，每個(gè)隔離段都可以訪問共享服務(wù)隔離段。一條由共享服務(wù)隔離段發(fā)布的默認(rèn)路由，將應(yīng)用VPC（專有網(wǎng)絡(luò)）的流量通過(guò)CNE 路由到安全VPC。本例中使用GWLB時(shí)，針對(duì)隔離段、用戶或應(yīng)用部署檢測(cè)策略，然后將檢測(cè)策略返回到該GWLB原來(lái)的路徑。

　　用例2：?jiǎn)螀^(qū)域服務(wù)商外聯(lián)網(wǎng)

　　本用例擴(kuò)展到了包括遠(yuǎn)程SD-WAN設(shè)備在內(nèi)，就像您正常和MPLS服務(wù)商配合的情況。在這里，SD-WAN站點(diǎn)通過(guò)CNE連接到AWS，類似傳統(tǒng)的MPLS CE-PE鏈路，隔離段中的路由可以發(fā)布到遠(yuǎn)端站點(diǎn)。通過(guò)AWS安全VPC的默認(rèn)路由，遠(yuǎn)程站點(diǎn)可以實(shí)現(xiàn)類似于使用MPLS網(wǎng)絡(luò)的共享安全I(xiàn)nternet訪問。在這種情況下，來(lái)自SD-WAN站點(diǎn)的流量將直接從FortiGate虛擬NGFW轉(zhuǎn)發(fā)到IGW（互聯(lián)網(wǎng)網(wǎng)關(guān)）。因?yàn)槊總€(gè)隔離段有獨(dú)立的路由實(shí)例以及在GWLB處理NTA策略，打破IP地址不能重疊的限制。同時(shí)通過(guò)FortiGate提供即插即用的安全能力。

　　通過(guò)支持AWS Cloud WAN, Fortinet拓展了客戶云邊緣使用場(chǎng)景，提供靈活、良好的架構(gòu)和云原生的高級(jí)網(wǎng)絡(luò)安全。Fortinet的FortiGate NGFW和AWS Cloud WAN為云網(wǎng)絡(luò)提供了電信級(jí)的性能、安全性和可靠性，使企業(yè)能夠?qū)崿F(xiàn)他們的數(shù)字加速目標(biāo)。

　�。ㄍ辏�