深信服SD-WAN_企业安全组网SD-WAN_SDW-R安智路由器-云巴巴

申请试用

深信服SD-WAN

深信服SD-WAN，全网设备统一管理、安全/运维策略统一下发、实现分支设备快速部署上线、可视化运维、智能应用识别、智能应用调度等。支持多WAN接入、多WAN池化、多WAN捆绑等；CPE、uCPE、vCPE多种类型分支SD-WAN设备，

立即咨询

首页 > 产品中心 > 网络安全 > 深信服SD-WAN

SD-WAN通用架构，以业务为中心，通过软件

定义广域网，助力企业数字化转型 icon

集中管理控制平台
全网设备统一管理、安全/运维策略统一下发、实现分支设备快速部署上线、可视化运维、智能应用识别、智能应用调度等

混合池化广域网传输链路
支持多WAN接入、多WAN池化、多WAN捆绑等；基于多条底层广域网链路，建立overlay隧道，实现智能选路、智能流控、广域网传输优化、以及安全防护等

SD-WAN CPE设备
CPE、uCPE、vCPE多种类型分支SD-WAN设备

深信服SD-WAN架构，提升业务访问体验、降本增效、加固分支安全 icon

SD-WAN四大特点

支持混合链路接入(MPLS, Internet, LTE/4G/5G等)

支持动态链路调整，保障关键应用体验

企业WAN支持远程管理和业务高效编排

支持VPN以及安全、可视化等其他增值业务服务

SD-WAN三大价值

提升访问体验：链路智能选路、应用智能加速、业务连续

降本增效：分钟级部署上线、提升运维效率

加固分支安全：SD-WAN结合SASE，云端实现对上网流量管控及安全防护

深信服SD-WAN设备核心功能 icon

极致访问体验智能选路+线路优化
BEST智能选路引擎

SOFAST优化引擎

VPN自适应

易部署易运维可视化+易部署
分支分钟级部署

设备、链路、应用、安全多维度可视监控

设备健康状态检测

立体安全防护云-网-端协作
结合SASE云安全

分支边界2-7层安全

全网态势秒级感知

BEST引擎介绍

BEST智能选路引擎：更智能、更精细、更可靠的SD-WAN选路引擎，保障客户业务可续可用。

应用识别和应用可视

应用识别

1）支持2200+和2800+两种应用识别库，其中SDW-R支持2200+，SD-WAN-WOC支持2800+；2）支持用户自定义DPI库；3）支持DPI库升级。

应用可视

1）支持应用流量可视，包括流速、应用带宽占比、应用优先级、应用承载路径可视；2）支持链路可视：包括延时、抖动、丢包。

解耦路由底层，建overlay隧道封包传输 icon

SDWAN采用UDP隧道的传输模式传输提高传输效率。同时使用更安全的Sangforvpn隧道加密技术对数据包进行加密。

VPN自适应（端口、协议定期切换）——规避运营商连接封堵或

端口封堵造成的VPN连接不稳定或中断问题 icon

根据深信服大量的VPN老客户数据分析得出，大部分VPN使用不稳定或者中断主要原因是运营商会对VPN连接封堵和协议封堵导致。历史上客户可以通过重启设备、切换VPN协议来解决，但是都属于影响业务后的事后解决方案，已经对业务造成影响。【VPN端口自适应】启用VPN端口定期切换后，VPN所有子连接会按照设置的周期做端口的统一切换。主要是解决运营商对长连接的封锁限制，启用端口自适应后，达到页面设置的端口更新周期后VPN会定时更换源端口建立隧道，以此解决运营商对长连接的限制。【VPN协议自适应】启用VPN协议自适应切换后，建立隧道的过程中，每条VPN连接会同时创建三种不同协议类型的冗余连接（UDP、FAKE_TCP、FAKE_ESP），当主线路发生故障或线路劣化，会自动切换到另外两个协议创建的备份线路中质量最好的线路。

QOE探测：高频率探测隧道时延、丢包、抖动等参数 icon

四种选路策略介绍

选路策略一：Auto Go智能负载选路 icon

Auto Go智能负载选路原理

业务智能分类：SDWAN根据业务流量特征将业务分为三类：丢包抖动敏感的语音视频会议、时延敏感的交互业务、消耗大带宽的传输型业务。线路智能分档：SD-WAN设备动态探测多线路质量并按照不同业务的SLA标准来进行线路分档，如实时型业务重点在丢包和抖动，将线路分成优质档、次优档和普通档，不同类型的业务分档具有不同的SLA指标。业务自动调度：根据业务特性及将链路探测结果动态匹配，将业务智能负载至最优链路传输，当优质档带宽不足或者出现质量下降时，再选到合格档线路上，保障业务最优传输。

适用场景

内网应用种类多、无法进行识别分类，同时又需要保障每个业务的传输质量。

选路策略二：指定应用指定线路传输 icon

指定应用（服务）优先转发的分支线路，同时能调整指定线路的优先级顺序。在进行数据转发时，优先使用排序靠前的线路进行转发，当前面线路故障时，切换到下一顺位的线路转发数据。

选路策略三：最优线路传输 icon

进行数据包转发时，会根据各个线路的实时质量状况（丢包、延时、抖动），选择最优的可转发线路进行数据转发。

选路策略四：按剩余带宽比例传输 icon

按照剩余带宽比例进行负载通过计算实时的线路剩余带宽，将业务数据等比例的负载至各线路进行传输

SOFAST优化引擎介绍 icon

SOFAST加速引擎介绍：发送端：智能识别应用并将应用划分为实时类、传输类、交互类三类，高频率检测链路丢包情况，根据应用类型自适应匹配最佳比例冗余数据包。接收端：可利用冗余数据包快速纠错还原完整数据，抵御链路丢包，保障业务在线路高丢包依然获取高质量的访问体验。

SOFAST引擎传输类应用优化效果（以FTP为例） icon

传输原理：大多数文件传输采用单连接TCP会话，丢包对文件传输速度影响最大，丢包导致TCP快速降低窗口，降低传输速度。其次影响是带宽，最后是时延。优化效果展示： SOFAST提升10倍速度：可以有效抗丢包,使得丢包环境不降低传输速度；BEST选路：TCP独特的“速度最快”评分算法，对网络质量评分，选择一条传输速度最快的路径。案例：伊利网盘：文件一般200M，传统IPSec VPN传输只有500KB左右。基于SD-WAN传输选择最佳线路传输，结合第二次访问加速缓存，速到达到30MB/S，效果令用户惊艳。蒙牛WEB OA附件：OA附件下载，文件比较大，过去IPSEC下载速度慢。

邮件式开局易部署通过邮件方式完成业务上线只需三步 icon

Step 1：下发开局邮件
邮件内容：包含分支上网信息、VPN拓扑等配置信息的加密URL链接；特色优势：支持批量下发开局邮件；支持预配置设备组网VPN拓扑；

Step 2：开局设备互连
带有WIFI功能的SD-WAN设备，可通过PAD/手机连接设备的初始WIFI；不带有WIFI功能的SD-WAN设备，可通过PC同设备LAN口互连。

Step 3：点击URL链接
待开局设备通过预先配置好的IP地址或者DHCP实现上网；待开局设备通过URL链接里包含的BBC平台地址，认证后自动接入集中管理平台；待开局设备通过预配置好的VPN拓扑实现VPN自动组网

云开局易部署01：管理员端操作云开局易部署：

管理员端操作只需三步（批量设置） icon

Step 1：导入设备清单
设备清单获取：BBC云端易部署页面，管理员输入订单号、客户名称、个人邮箱等信息，会收到包含待开局设备清单、云图账号信息的邮件；

Step 2：与云图建立连接的原因
深信服云图有公网固定IP，待开局设备可准确、快速找到云图管理平台；云图平台识别接入设备的SN码/序列号等信息，对比密钥，将待开局设备引导给对应的BBC平台处理；

Step ：批量配置设备
可为待开局设备批量预配置，VPN组网策略：待开局设备自动按照预先设定好的VPN拓扑及DHCP地址池获取内网IP，完成VPN组网；WIFI账号密码：自动重置WIFI名称及密码；策略模板：自动同步设备系统配置，如选路策略、访问控制策略等；

云开局易部署02：开局人员操作 icon

云端易部署操作：设备上线就像家用路由器一样简单

易运维特性一：VPN拓扑、智能选路及配置模板等远程策略下发 icon

快速组网及生成全网拓扑
快速组网：总部与分支设备根据BBC端下发的配置完成VPN组网；快速生成全网VPN拓扑：BBC端根据VPN拓扑配置自动绘制VPN拓扑图形界面；

批量下发分支选路策略
智能选路策略下发：基于分支端应用种类、线路类型、线路质量等快速下发多种智能选路策略；

批量系统配置及版本升级
系统配置调整：通过下发已配置好的系统模板完成设备配置更新；版本升级：也可通过下发最新版本的系统完成设备批量版本升级；

易运维特性二：全局设备、链路、应用流量可视化 icon

设备运行状态可视化
地图形式展示全网SD-WAN设备地理位置分布运行健康状态重要告警信息

VPN链路状态可视化
大屏展示全网VPN链路组网拓扑运行健康状态时延、抖动、丢包、流速等QoE参数带宽利用率重要告警信息

应用流量及选路详情可视化
点击具体设备可展示应用实时选路传输详情应用实时流速及TOP3 占用流速

易运维特性三：实时监控-故障定位-远程处置-报表分析全运维链条 icon

实时监控
实时监控全网设备及链路运行状态

报表分析
多个维度生成运维报表，全局状态一览即知

故障定位
故障告警信息准确定位至开始时间、故障设备及问题类型

远程处置
支持通过单点登录方式实现故障远程处置

易运维特性四：设备健康状态诊断&设备防窜用机制&地址池集中管理 icon

首页设备健康检测
一键健康检测：支持用户侧简单网络自动诊断窗口功能，快速了解分支设备状态；故障快速定位：通过网络连通性及设备状态检测结果快速定位分支设备故障；

设备防窜用，保障设备安全接入
设备位置变化，VPN一键阻断：当设备位置发生变更或互联网环境变更时，会触发统一管理平台的告警，可由管理员判断是否一键阻断VPN连接，保证只有合法设备才能接入集团内网；

分支地址池集中管理
地址池集中管理：支持通过云端易部署功能对所有的节点自行子网划分，分级管理，子网回收等功能；地址池分级管理：不同的区域可以分配不同的地址池，并且区域可以自行管理属于自己的地址池。

SDW-R安智路由器安全介绍 icon

深信服下一代防火墙AF安全介绍 icon

SASE订阅
联动云端安全栈，安全防护更全面

上网行为管控
国内最全应用识别库、千万级URL库、流控策略

Web应用防御
智能语义分析引擎、欺骗防御、账号专项保护

基础FW功能
ACL访问控制、DoS/DDoS防护、硬件一虚多等

入侵防御
漏洞利用攻击防护、加密协议检测、失陷主机检测

病毒防御
SAVE智能检测引擎、勒索病毒专项防护、新型病毒查杀

深信服SD-WAN+SASE安全组网——叠加云端管控、审计等安全防护能力，

构建安全+组网一体化解决方案 icon

方案设计

分支端：SDW-R安智路由器/AF下一代防火墙，具备SD-WAN组网、上网流量引流至SASE POP点能力。管理端：SASE-BBC云端集中管理平台+SASE安全服务平台，构建网络+安全双运维中心。

流量走向

组网流量：利用现有WAN构建SD-WAN隧道，实现VPN加密、流量调度及丢包优化。上网流量：引流至SASE POP点，云端实现对上网流量管控及安全防护。

方案价值

提供优质体验：组网流量可通过智能流量调度、广域网优化等技术保障业务SLA及访问体验；上网流量无缝接入SASE POP点，利用高质量骨干网传输优化上网体验。弹性安全能力：SD-WAN设备本身具备VPN加密、访问控制等基础安全能力；并可通过订阅SASE安全服务弹性获取更高性价比安全能力。敏捷运维能力：支持多种易部署策略实现分支设备0接触部署上线；网络+安全双运维中心，实现全网设备、链路、应用、安全可视化管理。

组网安全：云端安全按需灵活订阅 icon