در دنیای شبکه‌های سازمانی، استفاده از چند لینک اینترنت، سرویس‌های ابری و اپلیکیشن‌های حساس به تاخیر باعث شده معماری سنتی WAN دیگر پاسخگوی نیاز سازمان‌ها نباشد. در نتیجه، تکنولوژی SD-WAN در فایروال سوفوس به‌عنوان نسل جدید مدیریت ترافیک شبکه معرفی شد و شرکت Sophos نیز این قابلیت را در فایروال‌های نسل جدید خود ارائه کرده است.

 

SD-WAN چیست؟

SD-WAN یا Software Defined Wide Area Network یک معماری مدرن در شبکه‌های سازمانی است که وظیفه مدیریت ارتباطات WAN را از سخت‌افزارهای سنتی جدا کرده و آن را به یک لایه نرم‌افزاری هوشمند منتقل می‌کند.

در این مدل، انتخاب مسیر ترافیک دیگر صرفاً بر اساس Routing Table یا هزینه (Cost) انجام نمی‌شود، بلکه تصمیم‌گیری به‌صورت هوشمند، پویا و بر اساس کیفیت واقعی شبکه صورت می‌گیرد.

در واقع، SD-WAN یعنی «انتخاب بهترین مسیر برای هر نوع ترافیک بر اساس کیفیت لحظه‌ای شبکه، نه فقط تنظیمات ثابت روتر».

 

Sophos SD-WAN

 

مشکل معماری WAN سنتی

در شبکه‌های سنتی (Traditional WAN)، تصمیم‌گیری مسیر ترافیک بر پایه الگوریتم‌های کلاسیک Routing انجام می‌شود و معمولاً دیدی نسبت به کیفیت واقعی لینک وجود ندارد.

محدودیت‌های WAN سنتی:

  • مسیرها معمولاً Static و دستی تعریف می‌شوند.
  • انتخاب لینک فقط بر اساس Cost یا Metric انجام می‌شود.
  • پارامترهای حیاتی شبکه مثل Latency، Jitter و Packet Loss در تصمیم‌گیری لحاظ نمی‌شوند.
  • مکانیزم Failover محدود و وابسته به Down شدن کامل لینک است.
  • هیچ درکی از نوع Application (مثل VoIP یا Cloud) وجود ندارد.

SD-WAN چگونه این محدودیت‌ها را برطرف می‌کند؟

در معماری SD-WAN، یک لایه هوشمند بین شبکه و اینترنت قرار می‌گیرد که به‌صورت مداوم وضعیت لینک‌ها را تحلیل کرده و بهترین مسیر را برای هر جریان ترافیکی انتخاب می‌کند. در واقع، این تصمیم‌گیری بر اساس داده‌های Real-Time انجام می‌شود، نه تنظیمات ثابت.

 

 SD-WAN در فایروال سوفوس چگونه کار می‌کند؟

در فایروال‌های نسل جدید، قابلیت SD-WAN در پلتفرم Sophos به‌صورت Native و یکپارچه در سیستم‌عامل امنیتی آن یعنی SFOS (Sophos Firewall Operating System) پیاده‌سازی شده است.

برخلاف بسیاری از راهکارهای قدیمی که SD-WAN را به‌عنوان یک ماژول جداگانه اضافه می‌کنند، در Sophos این قابلیت مستقیماً در لایه Routing Engine و Policy Engine ادغام شده است. در نتیجه، باعث می‌شود تصمیم‌گیری مسیر ترافیک بسیار سریع‌تر، دقیق‌تر و هماهنگ‌تر با سیاست‌های امنیتی انجام شود.

 

WAN Link Manager در سوفوس

سوفوس دارای موتور هوشمند مدیریت لینک WAN است که:

  • لینک‌ها را اولویت‌بندی می‌کند.
  • Health Check انجام می‌دهد.
  • SLA را تحلیل می‌کند.
  • Session Persistence را حفظ می‌کند.

این بخش قلب SD-WAN در SFOS محسوب می‌شود.

 

معماری SD-WAN در فایروال سوفوس

در فایروال‌های Sophos، SD-WAN فقط یک مکانیزم ساده برای توزیع ترافیک نیست، بلکه یک سیستم هوشمند تصمیم‌گیری مسیر است که به‌صورت لحظه‌ای وضعیت شبکه را تحلیل می‌کند.

زمانی که یک Session جدید در شبکه ایجاد می‌شود، Sophos چند مرحله را به‌ترتیب بررسی می‌کند:

  1. ابتدا نوع ترافیک یا Application شناسایی می‌شود.
  2. سپس کیفیت تمام لینک‌های WAN بر اساس SLA بررسی می‌شود.
  3. وضعیت Gatewayها از نظر Latency، Jitter و Packet Loss تحلیل می‌شود.
  4. بهترین مسیر بر اساس Policyهای تعریف‌شده انتخاب می‌شود.
  5. اگر کیفیت لینک افت کند، سیستم به‌صورت خودکار Failover انجام می‌دهد.

این فرآیند کاملاً Real-Time انجام می‌شود و باعث می‌شود هر نوع ترافیک از مناسب‌ترین مسیر عبور کند.

 

 SLA در SD-WAN سوفوس چیست؟

یکی از بخش‌های SD-WAN در فایروال سوفوس، تعریف SLA یا  Service Level Agreement است. سازمان می‌تواند مشخص کند:

  •  Latency حداکثر چقدر باشد.
  •  Packet Loss از چه مقدار بیشتر نشود.
  • Jitter قابل قبول چقدر است.

نمونه SLA:

پارامتر

مقدار

Latency

120ms

Packet Loss

2%
Jitter

20ms

 اگر لینک از SLA عبور کند:

  • ترافیک به لینک دیگر منتقل می‌شود.
  • مسیر جایگزین انتخاب می‌شود.
  • Sessionها مجدد Route می‌شوند.

 

Intelligent Path Selection در  Sophos SD-WAN

در فایروال‌های Sophos، انتخاب مسیر ترافیک فقط بر اساس Route Table انجام نمی‌شود، بلکه سیستم SD-WAN به‌صورت لحظه‌ای کیفیت تمام لینک‌های WAN را بررسی کرده و بهترین مسیر را انتخاب می‌کند.

این فرآیند بر پایه چند مکانیزم اصلی انجام می‌شود:

 

1. SD-WAN Profiles (پروفایل‌های SD-WAN)

پروفایل‌ها در واقع مجموعه‌ای از تنظیمات هستند که مشخص می‌کنند ترافیک چگونه باید بین لینک‌های WAN توزیع شود.

در این بخش مدیر شبکه مشخص می‌کند که:

  • کدام لینک اولویت دارد
  • چه زمانی Failover انجام شود
  • چه نوع ترافیکی از چه مسیری عبور کند
  • چه شرایطی باعث تغییر مسیر شود

این پروفایل‌ها پایه تصمیم‌گیری SD-WAN در فایروال سوفوس هستند.

 

2. Performance SLA (کنترل کیفیت سرویس)

یکی از مهم‌ترین بخش‌های SD-WAN در سوفوس، سیستم SLA Monitoring است. در این بخش، مدیر شبکه تعیین می‌کند که یک لینک باید چه سطحی از کیفیت را ارائه دهد.

معیارهای اصلی SLA:

  • Latency (تاخیر شبکه)
  • Jitter (نوسان تاخیر)
  • Packet Loss (نرخ از دست رفتن بسته‌ها)

اگر یک لینک از این استانداردها عبور کند، سیستم به‌صورت خودکار آن را از مسیر ترافیک حذف کرده و لینک جایگزین انتخاب می‌کند.

 

3. Link Health Monitoring (پایش سلامت لینک)

Sophos به‌صورت مداوم وضعیت تمام لینک‌های WAN را بررسی می‌کند. این بررسی فقط Up/Down بودن لینک نیست، بلکه کیفیت واقعی ارتباط نیز به‌صورت لحظه‌ای تحلیل می‌شود.

در این فرآیند، فایروال مواردی مانند:

  • وضعیت Gatewayها
  • اولویت لینک‌ها
  • Health Status
  • میزان Response Time
  • Packet Loss
  • و پایداری ارتباط در طول زمان

را بررسی می‌کند تا بهترین مسیر برای عبور ترافیک انتخاب شود.

این مکانیزم باعث می‌شود تصمیم‌گیری SD-WAN کاملاً مبتنی بر داده واقعی شبکه و کیفیت لحظه‌ای لینک‌ها انجام شود.

 

4. Policy-Based Routing (مسیریابی بر اساس سیاست)

در SD-WAN سوفوس، مسیر ترافیک فقط بر اساس Routing Table تعیین نمی‌شود، بلکه سیاست‌های امنیتی و شبکه‌ای نیز نقش مستقیم دارند. مثلاً می‌توان تعریف کرد:

  • ترافیک VoIP فقط از لینک کم‌تاخیر عبور کند
  • ترافیک Backup از لینک ارزان‌تر استفاده کند
  • کاربران خاص از ISP مشخصی استفاده کنند

این مدل باعث می‌شود کنترل شبکه بسیار دقیق‌تر و سازمان‌یافته‌تر باشد.

 

5. Dynamic Path Selection (انتخاب مسیر پویا)

پس از تحلیل SLA و سلامت لینک‌ها، Sophos بهترین مسیر را به‌صورت Real-Time انتخاب می‌کند.

 

6. Application-Aware Traffic Steering (مدیریت ترافیک بر اساس Application)

پیشرفته‌ترین بخش‌ SD-WAN در سوفوس، تشخیص نوع Application است. یعنی، سیستم می‌تواند تشخیص دهد که هر ترافیک متعلق به چه سرویس یا اپلیکیشنی است و بر همان اساس مناسب‌ترین لینک WANرا انتخاب کند.

مثال عملی:

نوع ترافیک مسیر پیشنهادی
Microsoft Teams لینک با کمترین Latency
VoIP لینک با کمترین Jitter
Cloud Apps پایدارترین لینک
Backup کم‌هزینه‌ترین مسیر
Web Browsing Load Balanced

 

 Smart Failover در Sophos SD-WAN

در فایروال‌های سوفوس، Failover تنها زمانی فعال نمی‌شود که لینک کاملاً قطع شود، بلکه کیفیت لینک نیز در تصمیم‌گیری نقش دارد.

سیستم به‌صورت مداوم وضعیت لینک‌های WAN را بررسی کرده و در صورتی که عملکرد لینک از حد SLA پایین‌تر بیاید، مسیر ترافیک را به‌صورت خودکار تغییر می‌دهد.

انواع Failover:

  • Passive Failover

زمانی فعال می‌شود که لینک به‌طور کامل Down شود.

  • Performance-Based Failover

زمانی فعال می‌شود که لینک همچنان Up است اما کیفیت آن (Latency، Jitter یا Packet Loss) غیرقابل قبول باشد.

این مکانیزم باعث می‌شود سرویس‌های حساس بدون قطعی و با حداقل اختلال ادامه پیدا کنند. سرویس‌های حیاتی چون:

 

SD-WAN Policy Routing  در سوفوس چیست؟

در فایروال‌های Sophos، بخش SD-WAN Policy Routing از مهم‌ترین قسمت‌های تصمیم‌گیری ترافیک است. Sophos مشخص می‌کند که هر نوع ترافیک دقیقاً از کدام اینترنت یا مسیر عبور کند و در چه شرایطی مسیرش تغییر کند.

در سوفوس، این Ruleها قبل از Static Route و Policy Route سنتی پردازش می‌شوند؛ یعنی اولویت تصمیم‌گیری با SD-WAN است.

 

 SD-WAN Rule دقیقاً چه کاری انجام می‌دهد؟

هر Rule در SD-WAN مانند یک قانون هوشمند مسیر‌یابی است. این قانون به فایروال می‌گوید:

  • چه کسی دارد ترافیک ارسال می‌کند.
  • به کجا می‌رود.
  • چه نوع سرویسی است.
  • و از چه اینترنتی باید عبور کند.

 

معیارهای تصمیم‌گیری در SD-WAN Rule

Sophos برای انتخاب مسیر از چند فاکتور مهم استفاده می‌کند:

1. Source Network (مبدأ)

یعنی ترافیک از کدام شبکه یا VLAN آمده است.

مثلاً:

  • کاربران داخلی
  • شعبه‌ها
  • شبکه VoIP

 

2. Destination (مقصد)

یعنی ترافیک به کجا می‌رود:

  • اینترنت
  • Cloud (مثل Microsoft 365)
  • دیتاسنتر
  • شعبه دیگر

 

3. User (کاربر)

می‌توان سیاست را برای کاربر یا گروه خاص تعریف کرد.

مثلاً:

  • مدیران → اینترنت سریع‌تر
  • کاربران عادی → Load Balancing

 

4. Service (سرویس)

نوع سرویس مثل:

  • HTTPS
  • DNS
  • SIP (VoIP)

 

5. Application (اپلیکیشن)

Sophos می‌تواند اپلیکیشن را تشخیص دهد:

  • Microsoft Teams
  • Zoom
  • YouTube
  • ERP Systems

 

6. DSCP (اولویت ترافیک)

DSCP مکانیزمی در QoS است که میزان اولویت ترافیک را مشخص می‌کند تا سرویس‌های حساس مانند VoIP یا Video Conference در اولویت پردازش قرار بگیرند.

 

7. Gateway Health (سلامت لینک)

فایروال Sophos به‌صورت لحظه‌ای کیفیت Gatewayها را بررسی می‌کند و در صورت افزایش Latency، Packet Loss یا ناپایداری لینک، به‌صورت خودکار مسیر جایگزین انتخاب می‌شود.

 

مثال:

یک شرکت از دو اینترنت و یک (Multi Protocol Label Switching)MPLS استفاده می‌کند:

  • ISP1 = اینترنت اصلی
  • ISP2 = اینترنت پشتیبان
  • MPLS = لینک سازمانی

 

Rule 1: ترافیک Microsoft Teams

همه تماس‌های Teams → فقط ISP1

چون ISP1 کمترین تاخیر را دارد.

 

Rule 2: کنترل کیفیت هوشمند

اگر شرایط خراب شد:

  • اگر Packet Loss بیشتر از 3% شد
    → ترافیک به ISP2 منتقل شود

این یعنی:

سیستم خودش کیفیت اینترنت را می‌فهمد، نه کاربر.

 

Rule 3: Failover نهایی

اگر هر دو اینترنت مشکل داشتند:

→ ترافیک از MPLS Backup عبور می‌کند

نتیجه:

SD-WAN Policy Routing در فایروال سوفوس یعنی:

شبکه خودش تصمیم می‌گیرد بهترین اینترنت را برای هر اپلیکیشن انتخاب کند و اگر کیفیت افت کرد، بدون قطعی مسیر را تغییر می‌دهد.

برخلاف Routing سنتی:

در SD-WAN در فایروال سوفوس، تصمیم‌گیری مسیر فقط بر اساس IP یا Route نیست، بلکه کیفیت لحظه‌ای لینک، نوع Application، سیاست‌های سازمانی و وضعیت کاربران همزمان در فرآیند Routing دخالت دارند.

 

تفاوت Load Balancing و SD-WAN در فایروال سوفوس چیست؟

یکی از اشتباهات رایج این است که SD-WAN با Load Balancing یکی دانسته شود. در Load Balancing، ترافیک فقط بین چند لینک اینترنت توزیع می‌شود و معمولاً تصمیم‌گیری بر اساس الگوریتم‌های ساده‌ای مانند Round Robin یا وزن لینک‌ها انجام می‌شود. در این مدل، کیفیت واقعی لینک‌ها یا نوع Application تأثیر چندانی در انتخاب مسیر ندارد.

اما در SD-WAN، تصمیم‌گیری کاملاً هوشمند و مبتنی بر کیفیت لحظه‌ای شبکه انجام می‌شود. فایروال Sophos به‌صورت دائمی مواردی مانند Latency، Jitter، Packet Loss و نوع Application را بررسی کرده و بهترین مسیر را برای هر Session انتخاب می‌کند.

 

ویژگی

 Load Balancing

SD-WAN

تحلیل کیفیت لینک

 ندارد دارد
شناخت Application ندارد

دارد

Failover هوشمند

 محدود پیشرفته
SLA Monitoring ندارد

دارد

Routing Dynamic

 ساده

پیشرفته

 

SD-WAN VPN در سوفوس

یکی از قابلیت‌های حرفه‌ای سوفوس، ترکیب SD-WAN با VPN است.

سناریو:

  • شعبه تهران
  • شعبه تبریز
  • دیتاسنتر مرکزی
  • اینترنت Backup LTE

سوفوس می‌تواند:

  • چند Tunnel IPSec ایجاد کند.
  • بهترین Tunnel را انتخاب کند.
  • Overlay Routing انجام دهد.
  • Failover بین VPNها ایجاد کند.

 

مزایای SD-WAN در فایروال سوفوس

  1. کاهش قطعی سرویس

با Failover هوشمند، قطعی کاربران بسیار کاهش پیدا می‌کند.

  1. بهینه‌سازی مصرف پهنای باند

ترافیک بر اساس نوع سرویس بین لینک‌ها توزیع می‌شود.

  1. بهبود کیفیت VoIP

کاهش:

  • Delay
  • Jitter
  • Packet Loss
  1. افزایش امنیت

چون SD-WAN داخل Firewall پیاده‌سازی شده است:

  • IPS
  • Web Filtering
  • SSL Inspection
  • Threat Protection

همزمان روی ترافیک اعمال می‌شود.

 

سناریوهای حرفه‌ای پیاده‌سازی SD-WAN در فایروال سوفوس

سناریو اول: دو ISP اینترنت

ساختار:

  • فیبر → ISP1
  • ISP2 → LTE Backup

قوانین:

  • Office365 → ISP1
  • Backup → ISP2
  • Failover خودکار

 

سناریو دوم: شعب سازمانی

لینک‌ها:

  • MPLS
  • IPSec VPN
  • اینترنت محلی

عملکرد سوفوس:

  • لینک بهتر را انتخاب می‌کند
  • Packet Steering انجام می‌دهد
  • مسیرها را بر اساس SLA تغییر می‌دهد

 

سناریو سوم: Hybrid WAN

ترکیب:

  • MPLS
  • Broadband
  • LTE
  • Cloud VPN

مناسب برای Enterpriseهای چند شعبه‌ای.

 

 SD-WAN Central Orchestration در سوفوس

در محیط‌های Enterprise، مدیریت دستی ده‌ها فایروال دشوار است.

سوفوس از طریق:

  • Sophos Central
  • Central Firewall Management

امکان مدیریت متمرکز SD-WAN را فراهم می‌کند.

مدیر شبکه می‌تواند:

  • Policyها را Push کند
  • لینک‌ها را مانیتور کند
  • SLAها را تحلیل کند
  • گزارش‌گیری متمرکز انجام دهد

 

چالش‌های SD-WAN در فایروال سوفوس

  • نیاز به طراحی صحیح SLA
  • وابستگی به کیفیت ISP
  • پیچیدگی Policyها در شبکه‌های بزرگ
  • نیاز به مانیتورینگ مستمر

 

Best Practiceهای پیاده‌سازی SD-WAN

1. استفاده از Health Check واقعی

به‌جای Ping Gateway بهتر است از موارد زیر استفاده شود:

  • DNS Probe
  • HTTP Probe
  • Cloud Endpoint Probe

 

2. تعریف SLA جداگانه برای هر سرویس

سرویس‌های مختلف نیازهای متفاوتی دارند. برای مثال VoIP نسبت به Backup به Latency و Jitter حساس‌تر است، بنابراین باید SLA اختصاصی برای هر نوع ترافیک تعریف شود.

 

3. جداسازی ترافیک بحرانی

اپلیکیشن‌های حیاتی مانند ERP، VoIP و سرویس‌های Cloud باید Policy اختصاصی داشته باشند تا تحت تأثیر ترافیک‌های عمومی قرار نگیرند.

 

4. مانیتورینگ دائمی

برای حفظ کیفیت شبکه، استفاده از ابزارهای مانیتورینگ ضروری است. این ابزارها به مدیر شبکه کمک می‌کنند تا وضعیت لینک‌ها و کیفیت سرویس‌ها را به‌صورت لحظه‌ای بررسی کند.

  • Log Analyzer
  • NetFlow
  • Sophos Central Reports

 

مقایسه SD-WAN در فایروال سوفوس با رقبا

Vendor

نقطه قوت

Sophos

 امنیت یکپارچه + SD-WAN

Fortinet

 Performance بالا

Cisco Meraki

مدیریت Cloud ساده
Palo Alto

App Visibility پیشرفته
VMware VeloCloud

Enterprise SD-WAN تخصصی

 

آیا SD-WAN سوفوس برای سازمان‌ها مناسب است؟

اگر سازمان دارای موارد زیر باشد:

  • چند ISP
  • چند شعبه
  • سرویس VoIP
  • Cloud Application
  • Remote Office
  • VPN گسترده

SD-WAN سوفوس می‌تواند:

  • پایداری شبکه را افزایش دهد
  • هزینه MPLS را کاهش دهد
  • کیفیت سرویس‌ها را بهبود دهد
  • مدیریت WAN را ساده‌تر کند