基于SD-WAN的內網漏洞掃描方案研究

藺 旋，王 娜，李長連（.中訊郵電咨詢設計院有限公司，北京 00048；.中國聯合網絡通信集團有限公司，北京 00048）

1 概述

隨著現代社會信息化和網絡化的快速發展，網絡安全已經成為現代社會政治和經濟生活正常運轉的重要保障，網絡安全也成為“十四五”規劃的重要內容。而近年來網絡安全事件頻發，嚴重威脅國家安全、社會秩序和人民的財產安全。據國家互聯網應急中心統計，2019 年國家信息安全漏洞共享平臺收錄通用軟硬件漏洞數達16 193 個，目前漏洞數量仍然大幅增加，影響范圍不斷擴大［1］。境內外的網絡攻擊者可利用網站和主機的漏洞侵入客戶系統進行信息竊取和信息劫持并以此非法牟利，因此主機系統安全對企業來說至關重要。

通常情況下，對企業內部網絡中的設備進行系統漏洞掃描防護有較高的經濟成本及操作門檻。根據內網的特點和安全要求，目前針對內網設備的漏洞掃描方案主要有2 種，一種是將漏洞掃描設備本地化部署，然后直連接入內網環境進行漏洞掃描［2］；另一種是短暫將內網設備接入公網，然后利用異地安全能力對設備進行漏洞掃描。上述2種方案均存在不同程度上的缺陷，前者要本地部署安全能力，這將需要較高的人力和時間成本，而針對跨地域的企業網絡則須要投入數倍的掃描成本；后者則要將內網設備短暫暴露在公網上，這無疑給內網系統帶來更大的安全隱患。因此，內網設備的安全掃描防護困難重重，而借助SDWAN 的內網掃描方案無疑給內網設備防護提供一個新的選擇。

SD-WAN 全稱為軟件定義廣域網（Software Defined WAN），是將SDN 技術應用到廣域網場景中所形成的一種服務。它通過虛擬化技術、應用級的策略、Overlay 網絡及邊緣的CPE 設備實現廣域地理范圍的企業網絡、數據中心、互聯網應用及云服務連接，SDWAN 降低了客戶廣域網的開支并提高了網絡連接的靈活性［3］。

掃描類安全能力平臺結合SD-WAN 的安全業務方案可以提供便捷、安全、切換快速的內網系統漏洞掃描［4］。該方案只須利用SD-WAN 設備在安全能力側和客戶側進行簡單的終端設備配置便可實現安全能力和客戶網絡的靈活接入與斷開，無需進行復雜配置，這將為客戶節省大量的時間成本，同時也降低了操作門檻。該方案還避免了內網設備短暫暴露在公網中所帶來的安全風險，因此借助于SD-WAN 的掃描類安全業務應用將是內網設備進行漏洞掃描防護的理想方案。

本文首先對SD-WAN 結構及原理進行介紹，然后以某客戶為例，介紹具體內網漏洞掃描方案設計及驗證過程，并對測試結果進行總結和分析，為后續的內網安全業務方案提供借鑒和參考。

2 SD-WAN架構及原理

2.1 SD-WAN架構介紹

本文介紹的安全業務方案關鍵在于如何將漏洞掃描引擎接入客戶內部網絡，而這需要借助SD-WAN實現。

SD-WAN 主要由SD-WAN 統一管理平臺和部署在客戶端的SD-WAN終端設備組成。

a）統一管理平臺：SD-WAN 統一管理平臺是SDWAN系統的可視化管理工具，主要負責CPE設備的管理及控制，可實時查看客戶終端設備情況和網絡拓撲。管理平臺還負責將配置文件推送給指定的終端設備及其他配套網絡設備完成組網配置。

b）CPE 設備：SD-WAN 終端設備將客戶設備接入公網，SD-WAN 客戶終端設備支持通過MPLS、互聯網、4G 以及5G 多種網絡接入方式，統一管理平臺可直接管理和配置客戶設備。

2.2 SD-WAN組網原理

SD-WAN 的業務模型包括組網過程中所涉及的網絡設備、接入網絡及承載網絡等。

圖1 為SD-WAN 在進行組網時搭建的流程模型，客戶在組網完成之后，便可實現內網環境的跨區域互訪。客戶的內網設備與CPE 的LAN 側地址互通；CPE通過WAN 側地址接入互聯網、4G/5G、MV 專線與POP點建立連接，由于CPE 與POP 點之間的鏈路可能暴露在公網環境中，此鏈路須建立IPsec隧道進行數據加密傳輸，保證安全性；POP 點之間通過運營商的MV 承載網傳遞客戶路由和數據；而后續遠端POP 點至遠端客戶內網網關的數據傳遞過程與上述過程相似，這里就不再贅述［5］。

圖1 SD-WAN業務模型

從上述對于SD-WAN 的整體架構介紹以及SDWAN組網原理的介紹可知，SD-WAN支持混合鏈路接入，可根據客戶網絡狀況自適應調整鏈路互聯網、4G/5G 和MV 專線。此外，SD-WAN 還支持站點靈活接入，通過統一管理平臺進行配置實現站點新增和刪除操作，進一步實現客戶的快速切換，保證了內網環境下客戶業務的安全。

3 掃描方案設計

根據客戶的內網設備漏洞掃描需求和現有的網絡安全能力，結合SD-WAN 的部署和使用特點，本文設計了針對于客戶的安全業務測試方案，如圖2所示。該方案一方面可以借助SD-WAN 將漏洞掃描引擎接入客戶設備所在的內部網絡；另一方面可通過SDWAN統一管理平臺多次下發配置，實現安全能力與不同客戶網絡之間的快速切換接入。

圖2 方案整體設計圖

針對客戶的掃描類安全業務，整體方案實現了安全能力管理平臺與SD-WAN 統一管理平臺的聯動，安全能力管理平臺進行漏洞掃描任務的配置并通過SDWAN平臺打通網絡，從而實現內網漏洞掃描任務的下發。

安全業務方案的具體實施過程如下：安全能力管理平臺接到客戶訂單，根據客戶網絡配置首先向SDWAN平臺發送請求進行CPE設備的配置下發，打通兩側的網絡；然后SD-WAN 統一管理平臺向安全能力管理平臺發送網絡配置成功確認消息，安全能力管理平臺即可開始漏洞任務的配置；安全能力平臺將漏洞掃描任務的配置參數發送給漏洞掃描設備，漏洞掃描設備即可通過客戶設備的地址進行漏洞掃描；漏洞掃描任務結束之后，安全能力平臺隨即向SD-WAN 統一管理平臺發出網絡斷開請求，SD-WAN 平臺下發CPE 配置，斷開與安全能力的網絡連接；而對于其他客戶的漏洞掃描請求，SD-WAN 統一管理平臺通過客戶側的CPE配置下發即可實現客戶內網與安全能力的快速打通，無需對安全能力側進行再一次配置，這樣就實現了安全業務客戶的快速切換。

4 掃描方案實施

在針對客戶的內網漏洞掃描方案設計完成之后需要對其實施效果進行驗證，而安全能力平臺和SDWAN 統一管理平臺未實現線上聯動且測試客戶只有一個，因此方案實施過程中只進行分步的網絡打通和漏洞掃描操作，方案驗證組網如圖3所示。

圖3 方案組網示意圖

實施步驟主要分為安全能力側的漏洞掃描設備準備、CPE 設備安裝及開局、SD-WAN 統一管理平臺配置下發、客戶設備漏洞掃描等，具體實施過程如下。

a）漏洞掃描設備準備和網絡配置：由于項目處于方案設計驗證階段，考慮到測試過程的便利性，選擇直接在個人計算機上進行漏洞掃描設備的部署安裝，漏洞掃描引擎部署完成之后配置相應的管理頁面以便于操作。

b）CPE 設備安裝及初始配置：以安全能力側為例，首先直連CPE 設備與管理端計算機，設置管理端計算機的IP 地址，連通CPE 與管理端計算機網絡，然后將CPE 設備連接公網交換機并自動獲取公網配置，完成CPE 設備與SD-WAN 集中管理平臺的通信，最后通過管理平臺對CPE設備進行初始配置。

c）SD-WAN 管理平臺下發配置：SD-WAN 統一管理平臺對安全能力側和客戶側的CPE 設備進行最終的配置下發，漏洞掃描設備理論上已經接入客戶內部網絡，至此便完成了整個內網漏洞掃描安全業務的平臺搭建和網絡打通。

d）客戶內網設備漏洞掃描：漏洞掃描能力設備接入客戶網絡之后，即可通過待掃描主機內網地址下發系統漏洞掃描任務，然后獲取掃描任務的完整漏洞掃描報告，客戶即可針對高中危漏洞進行修復，如圖4所示。

圖4 漏洞掃描任務報告

5 方案總結

本文詳述了借助于SD-WAN 的內網掃描業務平臺的搭建過程以及針對客戶內網設備的漏洞掃描過程，驗證結果充分證明了借助SD-WAN 的內網設備漏洞掃描方案的可行性，該方案顯著提高了企業內網設備進行系統掃描的便利性。針對多個客戶對內網安全能力的需求，只需要通過SD-WAN 統一管理平臺對不同客戶的CPE 設備進行配置下發，即可實現安全能力平臺與多客戶網絡的實時切換接入。在此基礎上實現網絡安全統一能力平臺和SD-WAN 統一管理平臺的聯動，提高安全業務和SD-WAN 的結合程度，即可進一步提高客戶內網安全服務的便利性。

除此之外，漏洞掃描設備在完成SD-WAN 快速組網之后即可和客戶側CPE 設備后端連接設備進行通信，如CPE 設備后端直連客戶內網服務器，漏洞掃描設備便可與服務器進行通信。由圖4 可知，在本方案實施過程中，數據在客戶側CPE 設備與客戶設備之間還需要經過出口交換機，而該交換機對內網數據做了防火墻限制，這會使漏洞掃描設備的數據無法進入內網，從而導致漏洞掃描過程失敗。因此對于上述情況還須對漏洞掃描設備的地址短暫放開限制才能保證漏洞掃描任務順利進行。此外，一些客戶的內網出口還部署了入侵防御系統（IPS），該系統會對掃描流量進行攔截和阻斷，因此在內網掃描時需要IPS 對掃描流量放行。

6 結束語

本文提出了一種新的內網設備的漏洞掃描方案，此外還針對指定客戶設計了具體的安全業務實施方案，方案測試結果一方面驗證了借助SD-WAN 進行客戶內網安全業務的可行性；另一方面，該方案通過安全能力平臺與SD-WAN 統一管理平臺的聯動，實現了內網安全業務的多客戶實時切換，極大地降低安全業務的時間成本。因此，借助于SD-WAN 的內網漏洞掃描方案是滿足企業內部網絡掃描需求的理想途徑，具有推廣意義。