隨著企業(yè)越來越多采用公有云服務，SD-WAN的應用也迅速增長。畢竟，SD-WAN的主要用例是提供到云服務的快速和彈性連接。雖然向SD-WAN遷移是由節(jié)約成本、更快的部署速度和更多的應用控制能力驅動的，但一直以來其實在SD-WAN和MPLS（多協(xié)議標簽交換）之間存在孰優(yōu)孰劣的爭議。MPLS提供了路由域和分段隔離的細粒度控制，并通過流量工程為用戶提供端到端的低延遲和高服務質量。AWS Cloud WAN的推出意味著在AWS云中首次提供了一種產品，它具有類似MPLS核心網絡的網絡性能和穩(wěn)定性，同時兼具讓許多本地站點通過SD-WAN上云的靈活性優(yōu)勢。

　　AWS Cloud WAN建立在TGWC（中轉網關）之上，允許用戶定義核心網并再進一步的劃分隔離段。每個隔離段都是一個全局同步且隔離的三層分段，類似于IP VPN或VRF，并在用戶的AWS帳戶內提供一個隔離的路由域。遠程端點通過連接到CNE（核心網絡邊緣）來連接到核心網絡（Core Network）。

　　在AWS Cloud WAN中，隔離段表示天然的隔離邊界，可以基于這個邊界啟用應用安全檢查。Fortinet的FortiGate NGFW虛擬化版作為策略實施點，應用零信任過濾，檢查用戶和應用流量，可以幫助組織保持隔離段的完整性。除此之外，它還提供SD-WAN功能。

　　FortiGate虛擬化NGFW結合AWS Cloud WAN可以為用戶提供多個隔離段之間的無縫保護的能力，包括隔離段間和出向外部連接。通過將此架構與AWS GWLB（網關負載均衡器）相結合，Fortinet可以提供靈活的、可伸縮的安全檢查，無論各個業(yè)務單元的需求如何。尤其將位于本地位置的FortiGate物理設備和AWS云中的虛擬設備與AWS Cloud WAN結合在一起，使得AWS上的混合云網絡比以往任何時候都更加安全和靈活。Fortinet在為各種規(guī)模的組織提供安全的SD-WAN和運營商級MPLS保護方面處于領先地位。

　　用例1：單區(qū)域的隔離段檢查

　　上圖描述了單個AWS區(qū)域中的多個隔離段 (AWS Cloud WAN初版不支持多區(qū)域)。如圖所示，每個隔離段可以屬于一個單獨的用戶，每個用戶又屬于單個組織的內部業(yè)務單元，或者一個MSSP（安全托管服務提供商）提供的服務。為了安全的進行Internet訪問，每個隔離段都可以訪問共享服務隔離段。一條由共享服務隔離段發(fā)布的默認路由，將應用VPC（專有網絡）的流量通過CNE 路由到安全VPC。本例中使用GWLB時，針對隔離段、用戶或應用部署檢測策略，然后將檢測策略返回到該GWLB原來的路徑。

　　用例2：單區(qū)域服務商外聯(lián)網

　　本用例擴展到了包括遠程SD-WAN設備在內，就像您正常和MPLS服務商配合的情況。在這里，SD-WAN站點通過CNE連接到AWS，類似傳統(tǒng)的MPLS CE-PE鏈路，隔離段中的路由可以發(fā)布到遠端站點。通過AWS安全VPC的默認路由，遠程站點可以實現類似于使用MPLS網絡的共享安全Internet訪問。在這種情況下，來自SD-WAN站點的流量將直接從FortiGate虛擬NGFW轉發(fā)到IGW（互聯(lián)網網關）。因為每個隔離段有獨立的路由實例以及在GWLB處理NTA策略，打破IP地址不能重疊的限制。同時通過FortiGate提供即插即用的安全能力。

　　通過支持AWS Cloud WAN, Fortinet拓展了客戶云邊緣使用場景，提供靈活、良好的架構和云原生的高級網絡安全。Fortinet的FortiGate NGFW和AWS Cloud WAN為云網絡提供了電信級的性能、安全性和可靠性，使企業(yè)能夠實現他們的數字加速目標。

　�。ㄍ辏�