在近日召开的亚马逊云科技re:Invent年度技术峰会上，亚马逊云科技发布了全新服务AWS Cloud WAN（预览版），Fortinet作为首批5家发布合作伙伴之一率先支持此服务，并且是能够同时提供完善的NGFW（下一代防火墙）+SD-WAN能力的唯一厂商。

随着企业越来越多采用公有云服务，SD-WAN的应用也迅速增长。毕竟，SD-WAN的主要用例是提供到云服务的快速和弹性连接。虽然向SD-WAN迁移是由节约成本、更快的部署速度和更多的应用控制能力驱动的，但一直以来其实在SD-WAN和MPLS（多协议标签交换）之间存在孰优孰劣的争议。MPLS提供了路由域和分段隔离的细粒度控制，并通过流量工程为用户提供端到端的低延迟和高服务质量。AWS Cloud WAN的推出意味着在AWS云中首次提供了一种产品，它具有类似MPLS核心网络的网络性能和稳定性，同时兼具让许多本地站点通过SD-WAN上云的灵活性优势。

AWS Cloud WAN建立在TGWC（中转网关）之上，允许用户定义核心网并再进一步的划分隔离段。每个隔离段都是一个全局同步且隔离的三层分段，类似于IP VPN或VRF，并在用户的AWS帐户内提供一个隔离的路由域。远程端点通过连接到CNE（核心网络边缘）来连接到核心网络（Core Network）。

在AWS Cloud WAN中，隔离段表示天然的隔离边界，可以基于这个边界启用应用安全检查。Fortinet的FortiGate NGFW虚拟化版作为策略实施点，应用零信任过滤，检查用户和应用流量，可以帮助组织保持隔离段的完整性。除此之外，它还提供SD-WAN功能。

FortiGate虚拟化NGFW结合AWS Cloud WAN可以为用户提供多个隔离段之间的无缝保护的能力，包括隔离段间和出向外部连接。通过将此架构与AWS GWLB（网关负载均衡器）相结合，Fortinet可以提供灵活的、可伸缩的安全检查，无论各个业务单元的需求如何。尤其将位于本地位置的FortiGate物理设备和AWS云中的虚拟设备与AWS Cloud WAN结合在一起，使得AWS上的混合云网络比以往任何时候都更加安全和灵活。Fortinet在为各种规模的组织提供安全的SD-WAN和运营商级MPLS保护方面处于领先地位。

用例1：单区域的隔离段检查

上图描述了单个AWS区域中的多个隔离段 (AWS Cloud WAN初版不支持多区域)。如图所示，每个隔离段可以属于一个单独的用户，每个用户又属于单个组织的内部业务单元，或者一个MSSP（安全托管服务提供商）提供的服务。为了安全的进行Internet访问，每个隔离段都可以访问共享服务隔离段。一条由共享服务隔离段发布的默认路由，将应用VPC（专有网络）的流量通过CNE 路由到安全VPC。本例中使用GWLB时，针对隔离段、用户或应用部署检测策略，然后将检测策略返回到该GWLB原来的路径。

用例2：单区域服务商外联网

本用例扩展到了包括远程SD-WAN设备在内，就像您正常和MPLS服务商配合的情况。在这里，SD-WAN站点通过CNE连接到AWS，类似传统的MPLS CE-PE链路，隔离段中的路由可以发布到远端站点。通过AWS安全VPC的默认路由，远程站点可以实现类似于使用MPLS网络的共享安全Internet访问。在这种情况下，来自SD-WAN站点的流量将直接从FortiGate虚拟NGFW转发到IGW（互联网网关）。因为每个隔离段有独立的路由实例以及在GWLB处理NTA策略，打破IP地址不能重叠的限制。同时通过FortiGate提供即插即用的安全能力。

通过支持AWS Cloud WAN, Fortinet拓展了客户云边缘使用场景，提供灵活、良好的架构和云原生的高级网络安全。Fortinet的FortiGate NGFW和AWS Cloud WAN为云网络提供了电信级的性能、安全性和可靠性，使企业能够实现他们的数字加速目标。