安全SD-WAN的架構與應用實踐

王茜 王巖 樊俊誠 張蒙蒙 曹金

摘要：在企業網絡升級換代的新需求以及SDN/NFV等新技術涌現的雙重驅動下，企業網絡對高可靠、高質量、自動化、智能化等方面提出新的需求，從技術架構和功能架構兩個方面探討了一種新型的安全SD-WAN網絡的架構和主要功能，并對其主要應用場景的實踐方案進行了闡述。具備安全能力的SD-WAN的網絡架構將在企業網絡中逐步成熟和商用部署。

關鍵詞：軟件定義網絡;軟件定義廣域網;網絡安全

1? ?引言

作為下一代網絡演進的目標之一，軟件定義網絡（SDN）技術正在日益影響著互聯網的發展。SDN技術因為其“云原生”的特點，首先被應用在新型云數據中心網絡中，被稱為SD-DCN，以及被應用在跨數據中心互聯的場景，被稱為SD-DCI。隨著SDN的逐步成熟和商用部署，一個新的應用場景出現在行業專家的視野里，這就是企業組網的場景，由此產生了SD-WAN的新型技術和解決方案。

當SD-WAN的新技術理念和網絡架構引入企業網絡時，另一件同等重要的事情越來越受到行業人士的關注，即隨著企業的大型化和連鎖化發展，SD-WAN讓企業的內網不斷延伸，讓企業網絡的邊界變得不清晰，隨之而來的安全問題成為了SD-WAN技術架構中的重要關注點。

本文基于SD-WAN在企業網絡中部署所面臨的安全問題出發，從技術架構和功能架構兩個層面探討了安全SD-WAN的目標架構，并通過應用場景的示例來探討企業網絡引入安全SD-WAN后的部署方式和實踐落地方案。

2? ?企業網絡引入安全SD-WAN的驅動力

2.1? 企業網絡發展的新需求

在當前經濟高速發展和企業競爭加劇的環境下，企業大型化、連鎖化的趨勢日益明顯，大型企業收購或并購中小企業，使得企業覆蓋的范圍從原來的一級城市延伸到二、三級城市，甚至縣鄉。同時，企業內部的人員、終端、應用日益增加，使得這些企業單元之間的連接關系也越來越復雜，企業IT人員對于網絡的自動化、智能性、容錯性以及可擴展性都提出了新的需求，包括：

（1）企業網絡不僅僅是位于企業總部的一幢或者幾幢大樓內的局域網絡，而且成為分布在企業總部、分支機構、企業數據中心、企業私有云甚至公有云平臺之間的廣域網絡，企業希望在總部、分支機構、數據中心和云平臺之間快速靈活地按需組網。

（2）當前廣域組網可以選用多種廣域網資源，包括專線網絡、互聯網、4G/5G等，企業希望合理高效地使用這些網絡資源，同時又不增加網絡管理和運維的復雜度。

（3）越來越多的企業IT應用向云平臺遷移，企業的分支機構訪問這些企業云應用希望跟過去在企業局域網一樣，具備高可用、高可靠、低時延等網絡服務能力。

（4）對于日益增加的分布在邊遠地區、移動性強的分支機構，企業希望能進行快速的網絡連接、自動化的故障恢復、遠程可視化運維等，提升業務上線的速度，提高運維的效率，降低運維的成本。

2.2? 企業網絡面臨的安全風險的驅動力

當前，企業網絡面臨的安全風險越來越高，各種新型的企業網絡攻擊方式也讓各企業的安全人員防不勝防。據Cybersecurity Insider機構發布的“2018年企業網絡內部威脅報告”，90%的企業CIO擔心自己網絡受到內部攻擊，53%的企業確認在2018年曾受到過5次以內的內部攻擊，而27%的企業則受到超過5次的內部攻擊。

（1）企業網絡內部容易受到攻擊的主要原因包括：擁有過度訪問權的用戶太多，訪問敏感數據的設備數量過多，以及網絡和IT連接越來越復雜。

（2）越來越多的網絡攻擊、惡意訪問的目標都集中到企業內部的關鍵業務系統和敏感數據，日益增多的企業用戶信息泄露、企業經濟數據泄露以及其它的惡意病毒、勒索病毒等，嚴重影響了企業正常的經營和辦公活動。

（3）一些中小企業的辦公設備及操作系統較為老舊，且升級更新周期長，存在漏洞多，容易被惡意病毒或代碼感染，成為企業網絡中最脆弱的失陷點。

（4）企業內部網絡攻擊的源頭58%來源于企業內部雇員的失陷主機、云端服務平臺，或者是連接到公司分支的供應商系統的一部分。

2.3? 企業網絡對安全SD-WAN的需求

據Gartner預測，到2019年底將有30%的企業在其分支機構中部署SD-WAN，5年內出現規模商用。Doyle研究公司預測，到2022年，全球企業托管的SD-WAN服務的支出將超過100億美元。

作為企業IT系統的基礎設施，企業網絡對于引入安全SD-WAN的新技術和新型網絡架構具有迫切的需求，一方面SD-WAN既能支持企業在總部、分支機構、數據中心和云平臺之間分鐘級快速組網，還能高效利用專線網絡、互聯網、4G/5G等多種廣域網資源，通過多維智能選路、數據遙測及智能切換等技術，提升廣域網的質量、可用性和可靠性，同時大大降低企業廣域網絡的總擁有成本TCO。另一方面，企業在引入SD-WAN新架構的同時，會從接入安全、傳輸安全、訪問安全、數據安全等多個維度提升和優化基礎安全能力和安全防護能力，在網絡架構中直接融入安全的元素，讓網絡從規劃、建設、運營階段都充分支持全面的安全防護。

3? ? 安全SD-WAN的核心架構

3.1? 安全SD-WAN的技術架構

安全SD-WAN的技術架構，是基于軟件定義SDX的一系列新型技術以及網絡功能虛擬化NFV技術，從組網和安全兩個角度提出的一體化技術架構。

安全SD-WAN一體化架構中包含3個技術組件：SD-WAN技術、SD-SEC技術以及SDP技術。安全SD-WAN的技術架構如圖1所示。

（1）SD-WAN技術

在安全SD-WAN技術架構中最核心的還是SD-WAN技術本身，也就是企業網絡組網的技術方案。SD-WAN是將SDN技術應用到廣域網場景中所形成的一種服務，這種服務用于連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及云服務。這種服務的典型特征是將網絡控制能力通過軟件方式“云化”，支持應用可感知的網絡能力開放。

SD-WAN繼承SDN控制與轉發分離、集中控制等核心技術方案，通過在企業WAN中部署軟件控制系統，提供業務快速部署、網絡智能控制等功能，幫助企業應對云服務及辦公移動化所帶來的挑戰。

（2）SD-SEC技術

軟件定義安全（SD-SEC， Software Defined Security）是從軟件定義網絡引申而來的，原理是將物理及虛擬的網絡安全設備與其接入模式、部署方式、實現功能進行了解耦，底層抽象為安全資源池里的資源，頂層統一通過軟件定義的方式進行智能化、自動化的業務編排和管理，以完成相應的安全功能，從而實現一種靈活的安全防護。

軟件定義安全作為一種安全模型，由軟件而非硬件實現計算環境中的信息安全和網絡安全的控制及管理，軟件定義安全的五大優勢包括簡單、靈活可擴展、自動化、成本高效以及可持續改進。

（3）SDP技術

軟件定義邊界（SDP， Software Defined Perimeter）由云安全聯盟（CSA）于2013年提出，該技術框架的核心是根據身份控制對資源的訪問，即每個終端在連接服務器前必須進行驗證，確保每臺設備都是被允許接入的，這樣的話，企業核心網絡的資產與設施不直接暴露在互聯網下，使得網絡資產與設施免受外來安全威脅。

在SDP架構中，首先對用戶接入的終端進行多因素認證，認證設備的可靠性等，認證通過之后，才進入用戶登錄階段。在這個過程中，用戶接入的終端需要與控制器（Controller）進行交互，由控制器進行設備認證和身份認證，并基于認證結果設置用戶訪問服務的權限，只有認證通過的用戶終端才能對應用的基礎設施進行訪問。因此，SDP通過三種方式對抗基于網絡的攻擊：透明多因素認證可以抵抗用戶憑據丟失，服務器隔離可以抵抗服務器利用，TLS雙向認證可以抵抗連接劫持。

3.2? 安全SD-WAN的功能架構

由于安全SD-WAN繼承了SDN技術，所以在安全SD-WAN架構中，同樣繼承了SDN技術的功能架構，功能層次分為轉發層、控制層、編排層以及開放層。

（1）轉發層

轉發層是安全SD-WAN網絡中的網元部署層，通常由總部或者分支機構的CPE網關設備，以及SD-WAN骨干網中的POP點組成。其核心的功能是與安全SD-WAN控制器對接，通過控制器下發的指令進行數據轉發、配置實施、策略執行等。

（2）控制層

安全SD-WAN架構中的控制層是各層面中最重要的一層，也是轉發層中所有網關設備、POP點的集中控制大腦，負責各網關設備的鑒權認證、智能組網、遠程管理、集中監控、策略統一管理等。

控制層的主要組成包括安全SD-WAN控制器，以及配置管理、監控運維、數據分析等模塊中涉及到的與網關設備、POP點需要交互的功能，如監控運維中的網絡設備狀態采集功能、數據分析中的網絡與業務數據采集功能等。控制層中特別的功能包括IAM（鑒權認證）和SDP（軟件定義安全），主要是對網關設備、POP點進行鑒權認證并給這些網絡轉發層單元下發授權訪問的策略等功能。

（3）編排層

安全SD-WAN的編排層主體上包括兩個模塊：網絡編排模塊、安全編排模塊。除此之外，還有配置管理、監控運維、數據分析模塊中的與策略制定和與上層開放層協同的相關功能，包括各類配置模板的定義和更新、監控狀態采集的統一處理、網絡和業務數據分析的模型定義等。

網絡編排模塊和安全編排模塊需協同進行，其主要功能是基于安全SD-WAN控制器可以支持的組網和安全功能，對網絡的鏈路資源、帶寬資源、業務策略、訪問控制策略、安全防護策略等統一管理，對網絡流量進行全面可視化調度，以保障企業網絡的關鍵業務系統的網絡訪問質量，實現對網絡資源的精細控制、靈活調整。同時，基于安全SD-WAN分支的網關設備、POP點等轉發層的全路徑故障檢測能力，進行網絡狀態的實時采集和分析，通過故障智能切換、業務智能路徑選擇、質量保障Q0S機制等提升全網的可靠性、穩定性和服務質量。

（4）開放層

安全SD-WAN架構中的開放層主要提供人機交互的界面，以及可支持應用開放的北向API，實現面向上層應用平臺的網絡能力開放。開放層一方面為網絡運營管理人員提供可視化展示的管理界面，也為不同的企業客戶提供自助服務的服務界面。另一方面，可以為企業的IT系統以及各類云服務系統提供網絡級的拓撲抽象和路由可編程調用，使上層應用平臺更方便容易地使用、管理和集成網絡服務，從而提升安全SD-WAN網絡的價值。

3.3? 安全SD-WAN的增強型安全功能

安全SD-WAN之所以稱為“安全”，需要從兩個方面來考慮，即安全SD-WAN的自身安全以及企業網絡安全兩個方面。

從安全SD-WAN自身安全方面來說，SD-WAN控制層的各系統，以及CPE網關設備、POP點這些軟件硬件，本身就需要進行安全加固，包括操作系統安全、防漏掃及防暴力破解、防DDoS/CC攻擊等。同時SD-WAN的控制層就好像人的神經中樞，必須通過終端接入安全認證、授權訪問等保證神經中樞的安全，不會被惡意的攻擊或者病毒侵害。只有SD-WAN本身的安全防護做好，才能稱基于SD-WAN的企業網絡基礎架構具備安全性。

從企業網絡安全方面來說，基于安全滑動標尺模型，網絡安全分為五個層面：基礎架構、被動防御、主動防御、威脅情報、反制進攻。作為安全基礎設施的架構，安全SD-WAN需要基于SDN控制技術實現集中的安全策略控制，在企業網絡邊界的各網關設備保持一致的安全管控策略，包括基于終端的認證、用戶的認證、基于業務的訪問控制等，讓網絡邊界沒有安全短板。同時，作為被動防御和主動防御的能力，SD-WAN控制平臺需要在第一時間對網關設備的惡意訪問、惡意流量進行發現和處置，減少安全事件對企業網絡的影響，將危害控制在盡量小的范圍內。而更高階的安全能力威脅情報等，則需要SD-WAN網關設備基于威脅情報進行網絡的實時或者準實時的情報發現和搜集，并針對威脅情報核實的網絡威脅事件進行實時的上報處理。

除了以上兩個方面之外，本安全SD-WAN解決方案還引入了安全功能虛擬化技術，通過集中安全策略控制與虛擬化安全功能相結合，當分支機構的網關設備無法及時處理疑似惡意訪問或者惡意流量時，可以將網絡流量引導到集中的安全資源池中進行處置，讓企業網絡全境范圍的安全能力達到統一水平。

4? ?安全SD-WAN方案的應用實踐

安全SD-WAN解決方案適用于不同的企業客戶場景，典型的應用場景分為大型企業、中小型企業。

4.1? 大型企業的安全SD-WAN應用場景

如圖3所示，大型企業的應用場景中，由于其總部、分支的數量較多，通常會分成總部、區域中心（區域數據中心）、分支機構等三、四個網絡層級，且在總部和區域中心之間采用MPLS VPN或者傳輸專網方式進行組網，在較邊遠的分支機構采用互聯網聯網的方式。

在此應用場景中，總部和區域中心之間通常會綜合利用企業自有的MPLS VPN網絡及Internet的網絡資源，構建虛擬化的私有企業網絡，形成廣域的企業IT系統的核心SD-WAN骨干網。同時，企業的三、四級單位或者其它非區域中心的分支機構，以多種接入方式，如Internet、4G/5G等接入區域中心，形成層次化的組網架構。在分支機構、區域中心與總部之間，構建安全的保密隧道，支持企業內部IT系統的安全訪問和業務數據的安全傳送。企業總部部署的安全SD-WAN管控平臺，通過專用隧道與總部、區域中心以及分支機構的CPE網關設備互聯，基于認證授權的方式實現控制策略下發、網絡狀態采集、網絡集中監控等功能，確保網絡控制大腦的安全可控。

在此應用場景中，大型客戶通常在總部或者總部數據中心自建一套安全SD-WAN管控平臺，通過企業自有的IT或者網絡運維人員來自助登錄客戶服務的Portal，實現可視化的監控和遠程的運維管理。

4.2? 中小型企業的安全SD-WAN應用場景

如圖4所示，中小型企業的應用場景中，由于其總部、分支的數量較大型企業少，且通常為一級的扁平化組網方式，即分支機構與總部或者總部數據中心，構建星型或者雙星型的組網架構。考慮到成本問題，中小型企業的組網資源通常為Internet，也有部分直接采用4G/5G組網的場景。

在此應用場景中，總部與分支機構之間直接通過Internet或者4G/5G網絡構建虛擬化的SD-WAN骨干網，在總部與分支機構間構建安全的保密隧道，支持企業內部IT系統的安全訪問和業務數據的安全傳送。由于各網關設備和控制平臺都是直接接入互聯網，所以在總部控制平臺以及網關設備上都啟用安全防護功能，針對其自身的暴力破解、DDoS攻擊、漏洞掃描，以及針對其下連接的終端設備的僵木蠕攻擊、病毒滲透等惡意行為進行識別和阻斷，確保整個網絡的安全可控。

在此應用場景中，中小型客戶通常愿意由網絡運營企業提供托管的安全SD-WAN管控平臺，通過企業自有的IT運維人員或者委托運營企業的管理人員來自助登錄客戶服務的Portal，實現可視化的監控和遠程的運維管理。

5? ?結束語

安全SD-WAN作為一種新型的SD-WAN技術和解決方案，不僅支持企業IT基礎設施更加靈活、智能地承載在SD-WAN網絡架構上，更通過安全可控的技術方案和部署實踐提升了企業網絡的可靠性、安全性和私密性。與傳統的企業網絡相比，安全SD-WAN提升了企業網絡的五大能力，助力企業網絡的不斷演進。

（1）提升企業網絡的自動化組建能力：通過零配置快部署、網關準入控制、自主安全組網等功能，安全SD-WAN實現企業分支網絡的自動化上線，加快業務上線速度。

（2）提升異構網絡的數據互通能力：通過支持多種網絡接入方式，支持物理設備及虛擬化等多種部署方式，安全SD-WAN實現企業不同位置不同環境下的網絡互連，增強跨異構網絡的數據互通能力。

（3）提升高可靠、高性能傳輸能力：通過全網多級路徑的智能路徑優選、故障路徑切換、動態流量調度，以及網關設備和終端設備認證接入、網關及POP點HA部署等功能，安全SD-WAN支持企業網絡的高可靠、高質量的數據傳輸能力。

（4）提升企業網絡的安全防護能力：通過各類安全防護能力的智能化編排，如攻擊防護、入侵防御、病毒防護等，安全SD-WAN可以同步解決自身的安全防護，也助力企業網絡提升其終端、網絡、業務、數據等的安全防護水平。

（5）提升企業網絡的智能化運維能力：通過對網絡的分權分域管理、拓撲全網繪制、路徑狀態監控、業務全景可視、威脅全網可視、統一日志審計等功能，安全SD-WAN可以幫助企業IT運維人員實現可視化管理和智能化運維，提升運維整體效率。

綜上所述，安全SD-WAN將演進為現有的企業IT基礎設施中的組網和安全的一體化解決方案，逐步成為企業網絡的新一代發展目標和演進方向。

參考文獻：

[1] ITU-T Y.2301. Network Intelligence Capability Enhancement-Requirements and Capabilities[S]. 2013.

[2] ITU-T Y.S-NICE-reqts. Requirements and capability framework for NICE implementation making usage of software defined networking technologies （S-NICE）[S]. 2013.

[3] ONF White Paper. Software-Defined Networking： The New Norm for Networks[S]. 2012.

[4] ETSI NFV： Network Functions Virtualisation Introductory White Paper. Network Functions Virtualisation， An introdution， benefits， enablers， challenges， & call for action[S]. 2012.

[5] ONUG SD-WAN use case white paper. Open Network User Group[S]. 2014.

[6] CCSA行標YD-T 2636-2013. 智能型通信網絡 總體框架和要求[S]. 2013.