SD-WAN 路由器不需要位于防火墙后面，但如果安全策略要求，则可以。分支机构中的 WAN 路由器通常直接连接到传输，而不是位于单独的防火墙设备后面。当在 WAN 边缘路由器的传输物理接口上配置隧道时，默认情况下，WAN 边缘路由器的物理接口仅限于有限数量的协议。默认情况下，除了 DTLS/TLS 和 IPsec 数据包外，还允许 DHCP、DNS、ICMP 和 HTTPs 本机数据包进入接口。默认情况下，用于底层路由的 SSH、NTP、STUN、NETCONF 和 OSPF 和 BGP 本地数据包处于关闭状态。建议禁用不需要的任何内容并最小化您允许通过接口的本机协议。

　　此外，请注意，如果防火墙位于 WAN 边缘路由器的前面，则防火墙无法检查大多数流量，因为防火墙会看到用于 WAN 边缘路由器数据平面连接的 AES 256 位加密 IPsec 数据包和用于 WAN 的 DTLS/TLS 加密数据包边缘控制平面连接。但是，如果使用防火墙，则需要通过打开防火墙上所需的端口来适应 SD-WAN 路由器的 IPsec 和 DTLS/TLS 连接。如果需要应用NAT，推荐一对一的NAT，尤其是在数据中心站点。其他 NAT 类型可以在分支机构使用，但对称 NAT 可能会导致与其他站点的数据平面连接出现问题，因此在部署时要小心。

　　请注意，对于直接互联网流量和 PCI 合规性用例，IOS XE SD-WAN 路由器支持其自己的原生完整安全堆栈，其中包括应用程序防火墙、IPS/IDS、恶意软件保护和 URL 过滤。这种安全堆栈支持消除了在远程站点部署和支持额外安全硬件的需要。vEdge 路由器支持其自己的基于区域的防火墙。这两种路由器类型都可以与 Cisco Umbrella 集成作为安全互联网网关 (SIG)，以实现基于云的安全性。

云杰通信&网络综合解决方案提供商，助力企业信息化建设、数字化转型、以及全球化互联。SD-WAN方案可实现全球访问加速、SaaS访问加速、海外视频加速、海外分支组网，有效提升国际间沟通效率，助力中国企业开拓国际市场。服务热线：13631779516，欢迎来电咨询。