程曉軒，劉 冬，吳承康

（中通服咨詢設(shè)計研究院有限公司，江蘇 南京 210009）

0 引 言

傳統(tǒng)的廣域網(wǎng)環(huán)境中，分支節(jié)點通過MPLS專線與總部互聯(lián)、訪問總部來開展業(yè)務(wù)，在總部實施安全策略就可以對分支行為進行安全管控。傳統(tǒng)廣域網(wǎng)屬于較封閉的網(wǎng)絡(luò)架構(gòu)，在一定程度上保證了網(wǎng)絡(luò)的安全性[1]。SD-WAN屬于開放式架構(gòu)，導(dǎo)致新的安全風(fēng)險。因此，有必要采用多種安全技術(shù)提高SD-WAN系統(tǒng)防護能力。

1 SD-WAN概述

SD-WAN即軟件定義廣域網(wǎng)，通過將傳統(tǒng)的網(wǎng)絡(luò)控制和數(shù)據(jù)轉(zhuǎn)發(fā)進行分離，實現(xiàn)為用戶提供按需分配的網(wǎng)絡(luò)資源。用戶部署于自己單獨租賃的IP-VPN（含MPLS）/專線/互聯(lián)網(wǎng)網(wǎng)絡(luò)上，以實現(xiàn)SD-WAN功能；提供包括客戶端軟硬件設(shè)備、控制器平臺的部署和運維、IP-VPN（含MPLS）/專線/互聯(lián)網(wǎng)等線路資源。

如表1所示，SD-WAN與傳統(tǒng)專線、光纖點對點相比，通信質(zhì)量、成本、開通周期等多方面存在明顯優(yōu)勢。

表1 SD-WAN和專線優(yōu)缺點對比表

SD-WAN可作為傳統(tǒng)專線的有效補充和備份，拓展傳統(tǒng)專線的業(yè)務(wù)。通過提高或者虛擬化設(shè)備控制應(yīng)用層代替?zhèn)鹘y(tǒng)的分支路由器，從而使價格變得相對低廉，屬于消費級的互聯(lián)網(wǎng)鏈接，而其服務(wù)質(zhì)量和能力則向?qū)＞€靠攏，讓普通鏈路也能達到或接近專線的網(wǎng)絡(luò)質(zhì)量。

2 遇到的挑戰(zhàn)

SD-WAN引入混合鏈路，業(yè)務(wù)流量會在Internet上傳輸，安全性難以保證；在應(yīng)用云化的趨勢下，分支業(yè)務(wù)直接通過Internet 接入云，給攻擊者提供了可趁之機，帶來新的安全挑戰(zhàn)。

2.1 分支安全挑戰(zhàn)

廣域網(wǎng)邊緣設(shè)備安全能力不足，傳統(tǒng)VPN或傳統(tǒng)分支出口路由器安全防護能力薄弱，對分支安全威脅無法做到立體防護，難以滿足國家監(jiān)管合規(guī)要求。分支節(jié)點在SD-WAN扮演著重要角色，可能使整個網(wǎng)絡(luò)面臨來自外部的安全威脅。分支節(jié)點能夠主動發(fā)現(xiàn)部分安全問題，實現(xiàn)基于遠程指導(dǎo)的被動應(yīng)急，但是各節(jié)點安全防護缺乏全局統(tǒng)籌，前后端聯(lián)動效率低，難以達到安全實效。

2.2 總部安全挑戰(zhàn)

總部節(jié)點作為核心組件，連接分支節(jié)點、控制器等，自身以及多組件之間的通信都會受到安全威脅。如果缺少身份認證、數(shù)據(jù)加密、權(quán)限控制等措施，則可能會出現(xiàn)非法接入、信息泄露、數(shù)據(jù)篡改等問題。特別是針對分支接入總部、總部接入控制器的場景，極易發(fā)生身份仿冒，因此需要嚴格核驗雙方身份信息，只有合法可信的設(shè)備才能接入。

2.3 運維安全挑戰(zhàn)

傳統(tǒng)模式下，需要專人到現(xiàn)場對設(shè)備進行維護，但隨著分支跨地域分布越來越廣泛，設(shè)備類型越來越多，設(shè)備數(shù)量激增，導(dǎo)致維護難度大、成本高。此外隨著業(yè)務(wù)不斷增多和業(yè)務(wù)云化，分支到分支、公有云、私有云的流向更加復(fù)雜，手工命令行配置低效易錯，運維效率低下[2]。

2.4 邊界安全挑戰(zhàn)

隨著網(wǎng)絡(luò)范圍不斷延展，一旦外來用戶不加阻攔的接入到網(wǎng)絡(luò)中來，就有可能破壞網(wǎng)絡(luò)的安全邊界，因此需要對非法客戶端實現(xiàn)禁入[3]。

來自互聯(lián)網(wǎng)、其他非可信網(wǎng)絡(luò)的各類網(wǎng)絡(luò)攻擊同樣需要通過安全措施實現(xiàn)主動阻斷，如間諜軟件、可疑代碼、端口掃描、DDoS等。

安全技術(shù)措施不可能萬無一失，發(fā)生網(wǎng)絡(luò)安全事件需要進行事件的追蹤與分析，針對網(wǎng)絡(luò)的攻擊行為和非授權(quán)訪問等行為，需要在網(wǎng)絡(luò)邊界開展針對網(wǎng)絡(luò)行為的審計分析。

3 解決方案

為解決以上4大問題，本文提出安全架構(gòu)采用基于云原生的統(tǒng)一底盤，支持分支節(jié)點、數(shù)據(jù)中心、廣域網(wǎng)的融合，打造管、控、析的立體化安全體系，完成跨域網(wǎng)絡(luò)打通、跨域運維統(tǒng)一管理，實現(xiàn)端到端業(yè)務(wù)協(xié)同，詳見圖1。

圖1 SD-WAN安全架構(gòu)

3.1 分支節(jié)點安全

CPE 的系統(tǒng)架構(gòu)基于3層3面安全隔離機制，將控制平面、管理平面和轉(zhuǎn)發(fā)平面進行隔離，一個平面遭受攻擊，其余平面依舊照常運行[4]。

隨著數(shù)字化轉(zhuǎn)型不斷深入，分支節(jié)點支持對接云安全網(wǎng)關(guān)，利用云端情報、AI、大數(shù)據(jù)等能力增強檢出能力。分支節(jié)點側(cè)部署安全網(wǎng)關(guān)，能夠提供漏洞掃描、自動化安全滲透測試服務(wù)、節(jié)點監(jiān)測、終端安全響應(yīng)服務(wù)、網(wǎng)絡(luò)誘捕服務(wù)等多種基于云平臺的安全能力；其次可以采集安全日志并通過加密通道發(fā)送至安全云平臺；然后對網(wǎng)絡(luò)中的流量數(shù)據(jù)進行深度安全檢測，基于AI技術(shù)對安全日志和取證文件關(guān)聯(lián)分析，準確、快速發(fā)現(xiàn)并阻攔攻擊流量及惡意文件，執(zhí)行IP封禁動作。

3.2 總部節(jié)點安全

總部節(jié)點作為核心組件，最重要是解決各個通道之間的安全。如圖2所示，SD-WAN組件之間的通信連接分為管理通道、控制通道和數(shù)據(jù)通道，使用安全通信協(xié)議保證數(shù)據(jù)安全。

圖2 多組件通道連接

管理通道采用雙向證書認證，例如總部節(jié)點和控制器之間的連接，總部節(jié)點使用設(shè)備證書，控制器使用南向NETCONF證書。總部節(jié)點驗證控制器證書時，檢驗控制器證書的合法性、證書是否在有效期內(nèi)，防止接入到仿冒的控制器；控制器同樣驗證總部節(jié)點的證書合法性和有效期。控制通道采用傳輸層安全性協(xié)議，通過加解密實現(xiàn)數(shù)據(jù)的完整性。數(shù)據(jù)通道依賴于IPSec協(xié)議建立Overlay 隧道，保證數(shù)據(jù)在傳輸過程中的機密性。

3.3 運維安全

運維安全的核心要素有4個，包括便捷部署、智能選路、安全防護、可視化管控，具體見圖3。

圖3 運維安全的核心四要素

3.3.1 零配置上線

新建分支節(jié)點遠程集中配置即可開通，不需要現(xiàn)場配置調(diào)試。每個分支節(jié)點可以建立直接連接到云平臺，即使不斷增加功能和業(yè)務(wù)，也能實現(xiàn)批量上線。彈性靈活的組網(wǎng)結(jié)構(gòu)，支持安全能力的按需部署和擴展。

3.3.2 智能選路

SD-WAN的網(wǎng)絡(luò)傳輸可以是光纖專線、以太網(wǎng)、MPLS VPN、WiFi、4G/5G網(wǎng)絡(luò)等?；ヂ?lián)網(wǎng)接入帶寬的成本較低，過去主要用來承載非關(guān)鍵業(yè)務(wù)數(shù)據(jù)。SD-WAN具有實時探測多條線路傳輸速率和質(zhì)量的能力，結(jié)合業(yè)務(wù)和鏈路質(zhì)量監(jiān)控，按需進行路徑優(yōu)選和流量調(diào)度，支持用戶自定義業(yè)務(wù)優(yōu)先級和帶寬要求，保障關(guān)鍵應(yīng)用網(wǎng)絡(luò)質(zhì)量，同時極大降低鏈路成本。

3.3.3 安全防護

SD-WAN根據(jù)對應(yīng)簽名現(xiàn)網(wǎng)表現(xiàn)評估可信度，使用告警攜帶信息構(gòu)建告警自動確認模型，通過匹配模型準確識別攻擊，威脅發(fā)生及時隔離阻斷。

3.3.4 可視化管控

通過SD-WAN控制器和編排器對廣域節(jié)點進行集中管理與控制，從而根據(jù)全網(wǎng)的資源狀態(tài)集中調(diào)度基于應(yīng)用的轉(zhuǎn)發(fā)及QOS策略，提供站點、鏈路、應(yīng)用的可視化管理，可快速定位故障，實現(xiàn)全局視角的安全策略，提升運維效率。

3.4 邊界安全

3.4.1 邊界隔離與訪問控制

針對新的邊界安全威脅，邊界訪問控制已經(jīng)成為基本安全措施，必不可少，但為了更加有效地應(yīng)對當(dāng)前的網(wǎng)絡(luò)威脅，防火墻設(shè)備應(yīng)當(dāng)更加智能化、聯(lián)動化，以滿足安全有效性和防御實時性的切實需求。下一代防火墻和網(wǎng)閘技術(shù)已經(jīng)逐步成熟，通過相關(guān)功能實現(xiàn)及策略配置，可實現(xiàn)上述要求。

3.4.2 邊界入侵防御

在網(wǎng)絡(luò)區(qū)域的邊界處，需要通過部署入侵防御設(shè)備對網(wǎng)絡(luò)攻擊行為進行檢測與阻斷，增強邊界防御能力，及時產(chǎn)生報警和報告。

入侵防御設(shè)備需要具備檢測分析技術(shù)，能結(jié)合異常檢測與攻擊特征數(shù)據(jù)庫檢測的技術(shù)，同時也包含了深層數(shù)據(jù)包檢查能力，以解決加密流量中的隱匿威脅，且不影響正常程序的工作。還能檢測多層多種類型攻擊，如普通常見攻擊、應(yīng)用型攻擊、流量性攻擊、蠕蟲連接型攻擊等。

3.4.3 網(wǎng)絡(luò)安全審計

網(wǎng)絡(luò)安全審計系統(tǒng)通過鏡像獲取通過核心設(shè)備流量數(shù)據(jù)，可對整個網(wǎng)絡(luò)的流量進行審計分析，可對用戶的行為進行審計。包括對用戶的HTTP、郵件、FTP、TELNET等應(yīng)用進行審計；對遠程桌面訪問、用戶互聯(lián)網(wǎng)訪問行為進行審計。

4 結(jié) 論

SD-WAN提供分支上云、分支與分支、分支與總部的全場景隨需互聯(lián)，通過安全加固可以獲取更優(yōu)秀的體驗。隨著關(guān)鍵技術(shù)自主可控，核心軟硬件建立起國產(chǎn)化、安全可靠的通信系統(tǒng)，能夠降低基礎(chǔ)設(shè)施采購成本，進一步提升系統(tǒng)的安全性能。