安全SD-WAN的架構(gòu)與應(yīng)用實(shí)踐

王茜 王巖 樊俊誠(chéng) 張蒙蒙 曹金

摘要：在企業(yè)網(wǎng)絡(luò)升級(jí)換代的新需求以及SDN/NFV等新技術(shù)涌現(xiàn)的雙重驅(qū)動(dòng)下，企業(yè)網(wǎng)絡(luò)對(duì)高可靠、高質(zhì)量、自動(dòng)化、智能化等方面提出新的需求，從技術(shù)架構(gòu)和功能架構(gòu)兩個(gè)方面探討了一種新型的安全SD-WAN網(wǎng)絡(luò)的架構(gòu)和主要功能，并對(duì)其主要應(yīng)用場(chǎng)景的實(shí)踐方案進(jìn)行了闡述。具備安全能力的SD-WAN的網(wǎng)絡(luò)架構(gòu)將在企業(yè)網(wǎng)絡(luò)中逐步成熟和商用部署。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò);軟件定義廣域網(wǎng);網(wǎng)絡(luò)安全

1? ?引言

作為下一代網(wǎng)絡(luò)演進(jìn)的目標(biāo)之一，軟件定義網(wǎng)絡(luò)（SDN）技術(shù)正在日益影響著互聯(lián)網(wǎng)的發(fā)展。SDN技術(shù)因?yàn)槠洹霸圃钡奶攸c(diǎn)，首先被應(yīng)用在新型云數(shù)據(jù)中心網(wǎng)絡(luò)中，被稱為SD-DCN，以及被應(yīng)用在跨數(shù)據(jù)中心互聯(lián)的場(chǎng)景，被稱為SD-DCI。隨著SDN的逐步成熟和商用部署，一個(gè)新的應(yīng)用場(chǎng)景出現(xiàn)在行業(yè)專家的視野里，這就是企業(yè)組網(wǎng)的場(chǎng)景，由此產(chǎn)生了SD-WAN的新型技術(shù)和解決方案。

當(dāng)SD-WAN的新技術(shù)理念和網(wǎng)絡(luò)架構(gòu)引入企業(yè)網(wǎng)絡(luò)時(shí)，另一件同等重要的事情越來(lái)越受到行業(yè)人士的關(guān)注，即隨著企業(yè)的大型化和連鎖化發(fā)展，SD-WAN讓企業(yè)的內(nèi)網(wǎng)不斷延伸，讓企業(yè)網(wǎng)絡(luò)的邊界變得不清晰，隨之而來(lái)的安全問(wèn)題成為了SD-WAN技術(shù)架構(gòu)中的重要關(guān)注點(diǎn)。

本文基于SD-WAN在企業(yè)網(wǎng)絡(luò)中部署所面臨的安全問(wèn)題出發(fā)，從技術(shù)架構(gòu)和功能架構(gòu)兩個(gè)層面探討了安全SD-WAN的目標(biāo)架構(gòu)，并通過(guò)應(yīng)用場(chǎng)景的示例來(lái)探討企業(yè)網(wǎng)絡(luò)引入安全SD-WAN后的部署方式和實(shí)踐落地方案。

2? ?企業(yè)網(wǎng)絡(luò)引入安全SD-WAN的驅(qū)動(dòng)力

2.1? 企業(yè)網(wǎng)絡(luò)發(fā)展的新需求

在當(dāng)前經(jīng)濟(jì)高速發(fā)展和企業(yè)競(jìng)爭(zhēng)加劇的環(huán)境下，企業(yè)大型化、連鎖化的趨勢(shì)日益明顯，大型企業(yè)收購(gòu)或并購(gòu)中小企業(yè)，使得企業(yè)覆蓋的范圍從原來(lái)的一級(jí)城市延伸到二、三級(jí)城市，甚至縣鄉(xiāng)。同時(shí)，企業(yè)內(nèi)部的人員、終端、應(yīng)用日益增加，使得這些企業(yè)單元之間的連接關(guān)系也越來(lái)越復(fù)雜，企業(yè)IT人員對(duì)于網(wǎng)絡(luò)的自動(dòng)化、智能性、容錯(cuò)性以及可擴(kuò)展性都提出了新的需求，包括：

（1）企業(yè)網(wǎng)絡(luò)不僅僅是位于企業(yè)總部的一幢或者幾幢大樓內(nèi)的局域網(wǎng)絡(luò)，而且成為分布在企業(yè)總部、分支機(jī)構(gòu)、企業(yè)數(shù)據(jù)中心、企業(yè)私有云甚至公有云平臺(tái)之間的廣域網(wǎng)絡(luò)，企業(yè)希望在總部、分支機(jī)構(gòu)、數(shù)據(jù)中心和云平臺(tái)之間快速靈活地按需組網(wǎng)。

（2）當(dāng)前廣域組網(wǎng)可以選用多種廣域網(wǎng)資源，包括專線網(wǎng)絡(luò)、互聯(lián)網(wǎng)、4G/5G等，企業(yè)希望合理高效地使用這些網(wǎng)絡(luò)資源，同時(shí)又不增加網(wǎng)絡(luò)管理和運(yùn)維的復(fù)雜度。

（3）越來(lái)越多的企業(yè)IT應(yīng)用向云平臺(tái)遷移，企業(yè)的分支機(jī)構(gòu)訪問(wèn)這些企業(yè)云應(yīng)用希望跟過(guò)去在企業(yè)局域網(wǎng)一樣，具備高可用、高可靠、低時(shí)延等網(wǎng)絡(luò)服務(wù)能力。

（4）對(duì)于日益增加的分布在邊遠(yuǎn)地區(qū)、移動(dòng)性強(qiáng)的分支機(jī)構(gòu)，企業(yè)希望能進(jìn)行快速的網(wǎng)絡(luò)連接、自動(dòng)化的故障恢復(fù)、遠(yuǎn)程可視化運(yùn)維等，提升業(yè)務(wù)上線的速度，提高運(yùn)維的效率，降低運(yùn)維的成本。

2.2? 企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)的驅(qū)動(dòng)力

當(dāng)前，企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)越來(lái)越高，各種新型的企業(yè)網(wǎng)絡(luò)攻擊方式也讓各企業(yè)的安全人員防不勝防。據(jù)Cybersecurity Insider機(jī)構(gòu)發(fā)布的“2018年企業(yè)網(wǎng)絡(luò)內(nèi)部威脅報(bào)告”，90%的企業(yè)CIO擔(dān)心自己網(wǎng)絡(luò)受到內(nèi)部攻擊，53%的企業(yè)確認(rèn)在2018年曾受到過(guò)5次以內(nèi)的內(nèi)部攻擊，而27%的企業(yè)則受到超過(guò)5次的內(nèi)部攻擊。

（1）企業(yè)網(wǎng)絡(luò)內(nèi)部容易受到攻擊的主要原因包括：擁有過(guò)度訪問(wèn)權(quán)的用戶太多，訪問(wèn)敏感數(shù)據(jù)的設(shè)備數(shù)量過(guò)多，以及網(wǎng)絡(luò)和IT連接越來(lái)越復(fù)雜。

（2）越來(lái)越多的網(wǎng)絡(luò)攻擊、惡意訪問(wèn)的目標(biāo)都集中到企業(yè)內(nèi)部的關(guān)鍵業(yè)務(wù)系統(tǒng)和敏感數(shù)據(jù)，日益增多的企業(yè)用戶信息泄露、企業(yè)經(jīng)濟(jì)數(shù)據(jù)泄露以及其它的惡意病毒、勒索病毒等，嚴(yán)重影響了企業(yè)正常的經(jīng)營(yíng)和辦公活動(dòng)。

（3）一些中小企業(yè)的辦公設(shè)備及操作系統(tǒng)較為老舊，且升級(jí)更新周期長(zhǎng)，存在漏洞多，容易被惡意病毒或代碼感染，成為企業(yè)網(wǎng)絡(luò)中最脆弱的失陷點(diǎn)。

（4）企業(yè)內(nèi)部網(wǎng)絡(luò)攻擊的源頭58%來(lái)源于企業(yè)內(nèi)部雇員的失陷主機(jī)、云端服務(wù)平臺(tái)，或者是連接到公司分支的供應(yīng)商系統(tǒng)的一部分。

2.3? 企業(yè)網(wǎng)絡(luò)對(duì)安全SD-WAN的需求

據(jù)Gartner預(yù)測(cè)，到2019年底將有30%的企業(yè)在其分支機(jī)構(gòu)中部署SD-WAN，5年內(nèi)出現(xiàn)規(guī)模商用。Doyle研究公司預(yù)測(cè)，到2022年，全球企業(yè)托管的SD-WAN服務(wù)的支出將超過(guò)100億美元。

作為企業(yè)IT系統(tǒng)的基礎(chǔ)設(shè)施，企業(yè)網(wǎng)絡(luò)對(duì)于引入安全SD-WAN的新技術(shù)和新型網(wǎng)絡(luò)架構(gòu)具有迫切的需求，一方面SD-WAN既能支持企業(yè)在總部、分支機(jī)構(gòu)、數(shù)據(jù)中心和云平臺(tái)之間分鐘級(jí)快速組網(wǎng)，還能高效利用專線網(wǎng)絡(luò)、互聯(lián)網(wǎng)、4G/5G等多種廣域網(wǎng)資源，通過(guò)多維智能選路、數(shù)據(jù)遙測(cè)及智能切換等技術(shù)，提升廣域網(wǎng)的質(zhì)量、可用性和可靠性，同時(shí)大大降低企業(yè)廣域網(wǎng)絡(luò)的總擁有成本TCO。另一方面，企業(yè)在引入SD-WAN新架構(gòu)的同時(shí)，會(huì)從接入安全、傳輸安全、訪問(wèn)安全、數(shù)據(jù)安全等多個(gè)維度提升和優(yōu)化基礎(chǔ)安全能力和安全防護(hù)能力，在網(wǎng)絡(luò)架構(gòu)中直接融入安全的元素，讓網(wǎng)絡(luò)從規(guī)劃、建設(shè)、運(yùn)營(yíng)階段都充分支持全面的安全防護(hù)。

3? ? 安全SD-WAN的核心架構(gòu)

3.1? 安全SD-WAN的技術(shù)架構(gòu)

安全SD-WAN的技術(shù)架構(gòu)，是基于軟件定義SDX的一系列新型技術(shù)以及網(wǎng)絡(luò)功能虛擬化NFV技術(shù)，從組網(wǎng)和安全兩個(gè)角度提出的一體化技術(shù)架構(gòu)。

安全SD-WAN一體化架構(gòu)中包含3個(gè)技術(shù)組件：SD-WAN技術(shù)、SD-SEC技術(shù)以及SDP技術(shù)。安全SD-WAN的技術(shù)架構(gòu)如圖1所示。

（1）SD-WAN技術(shù)

在安全SD-WAN技術(shù)架構(gòu)中最核心的還是SD-WAN技術(shù)本身，也就是企業(yè)網(wǎng)絡(luò)組網(wǎng)的技術(shù)方案。SD-WAN是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場(chǎng)景中所形成的一種服務(wù)，這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)。這種服務(wù)的典型特征是將網(wǎng)絡(luò)控制能力通過(guò)軟件方式“云化”，支持應(yīng)用可感知的網(wǎng)絡(luò)能力開(kāi)放。

SD-WAN繼承SDN控制與轉(zhuǎn)發(fā)分離、集中控制等核心技術(shù)方案，通過(guò)在企業(yè)WAN中部署軟件控制系統(tǒng)，提供業(yè)務(wù)快速部署、網(wǎng)絡(luò)智能控制等功能，幫助企業(yè)應(yīng)對(duì)云服務(wù)及辦公移動(dòng)化所帶來(lái)的挑戰(zhàn)。

（2）SD-SEC技術(shù)

軟件定義安全（SD-SEC， Software Defined Security）是從軟件定義網(wǎng)絡(luò)引申而來(lái)的，原理是將物理及虛擬的網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實(shí)現(xiàn)功能進(jìn)行了解耦，底層抽象為安全資源池里的資源，頂層統(tǒng)一通過(guò)軟件定義的方式進(jìn)行智能化、自動(dòng)化的業(yè)務(wù)編排和管理，以完成相應(yīng)的安全功能，從而實(shí)現(xiàn)一種靈活的安全防護(hù)。

軟件定義安全作為一種安全模型，由軟件而非硬件實(shí)現(xiàn)計(jì)算環(huán)境中的信息安全和網(wǎng)絡(luò)安全的控制及管理，軟件定義安全的五大優(yōu)勢(shì)包括簡(jiǎn)單、靈活可擴(kuò)展、自動(dòng)化、成本高效以及可持續(xù)改進(jìn)。

（3）SDP技術(shù)

軟件定義邊界（SDP， Software Defined Perimeter）由云安全聯(lián)盟（CSA）于2013年提出，該技術(shù)框架的核心是根據(jù)身份控制對(duì)資源的訪問(wèn)，即每個(gè)終端在連接服務(wù)器前必須進(jìn)行驗(yàn)證，確保每臺(tái)設(shè)備都是被允許接入的，這樣的話，企業(yè)核心網(wǎng)絡(luò)的資產(chǎn)與設(shè)施不直接暴露在互聯(lián)網(wǎng)下，使得網(wǎng)絡(luò)資產(chǎn)與設(shè)施免受外來(lái)安全威脅。

在SDP架構(gòu)中，首先對(duì)用戶接入的終端進(jìn)行多因素認(rèn)證，認(rèn)證設(shè)備的可靠性等，認(rèn)證通過(guò)之后，才進(jìn)入用戶登錄階段。在這個(gè)過(guò)程中，用戶接入的終端需要與控制器（Controller）進(jìn)行交互，由控制器進(jìn)行設(shè)備認(rèn)證和身份認(rèn)證，并基于認(rèn)證結(jié)果設(shè)置用戶訪問(wèn)服務(wù)的權(quán)限，只有認(rèn)證通過(guò)的用戶終端才能對(duì)應(yīng)用的基礎(chǔ)設(shè)施進(jìn)行訪問(wèn)。因此，SDP通過(guò)三種方式對(duì)抗基于網(wǎng)絡(luò)的攻擊：透明多因素認(rèn)證可以抵抗用戶憑據(jù)丟失，服務(wù)器隔離可以抵抗服務(wù)器利用，TLS雙向認(rèn)證可以抵抗連接劫持。

3.2? 安全SD-WAN的功能架構(gòu)

由于安全SD-WAN繼承了SDN技術(shù)，所以在安全SD-WAN架構(gòu)中，同樣繼承了SDN技術(shù)的功能架構(gòu)，功能層次分為轉(zhuǎn)發(fā)層、控制層、編排層以及開(kāi)放層。

（1）轉(zhuǎn)發(fā)層

轉(zhuǎn)發(fā)層是安全SD-WAN網(wǎng)絡(luò)中的網(wǎng)元部署層，通常由總部或者分支機(jī)構(gòu)的CPE網(wǎng)關(guān)設(shè)備，以及SD-WAN骨干網(wǎng)中的POP點(diǎn)組成。其核心的功能是與安全SD-WAN控制器對(duì)接，通過(guò)控制器下發(fā)的指令進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)、配置實(shí)施、策略執(zhí)行等。

（2）控制層

安全SD-WAN架構(gòu)中的控制層是各層面中最重要的一層，也是轉(zhuǎn)發(fā)層中所有網(wǎng)關(guān)設(shè)備、POP點(diǎn)的集中控制大腦，負(fù)責(zé)各網(wǎng)關(guān)設(shè)備的鑒權(quán)認(rèn)證、智能組網(wǎng)、遠(yuǎn)程管理、集中監(jiān)控、策略統(tǒng)一管理等。

控制層的主要組成包括安全SD-WAN控制器，以及配置管理、監(jiān)控運(yùn)維、數(shù)據(jù)分析等模塊中涉及到的與網(wǎng)關(guān)設(shè)備、POP點(diǎn)需要交互的功能，如監(jiān)控運(yùn)維中的網(wǎng)絡(luò)設(shè)備狀態(tài)采集功能、數(shù)據(jù)分析中的網(wǎng)絡(luò)與業(yè)務(wù)數(shù)據(jù)采集功能等?？刂茖又刑貏e的功能包括IAM（鑒權(quán)認(rèn)證）和SDP（軟件定義安全），主要是對(duì)網(wǎng)關(guān)設(shè)備、POP點(diǎn)進(jìn)行鑒權(quán)認(rèn)證并給這些網(wǎng)絡(luò)轉(zhuǎn)發(fā)層單元下發(fā)授權(quán)訪問(wèn)的策略等功能。

（3）編排層

安全SD-WAN的編排層主體上包括兩個(gè)模塊：網(wǎng)絡(luò)編排模塊、安全編排模塊。除此之外，還有配置管理、監(jiān)控運(yùn)維、數(shù)據(jù)分析模塊中的與策略制定和與上層開(kāi)放層協(xié)同的相關(guān)功能，包括各類配置模板的定義和更新、監(jiān)控狀態(tài)采集的統(tǒng)一處理、網(wǎng)絡(luò)和業(yè)務(wù)數(shù)據(jù)分析的模型定義等。

網(wǎng)絡(luò)編排模塊和安全編排模塊需協(xié)同進(jìn)行，其主要功能是基于安全SD-WAN控制器可以支持的組網(wǎng)和安全功能，對(duì)網(wǎng)絡(luò)的鏈路資源、帶寬資源、業(yè)務(wù)策略、訪問(wèn)控制策略、安全防護(hù)策略等統(tǒng)一管理，對(duì)網(wǎng)絡(luò)流量進(jìn)行全面可視化調(diào)度，以保障企業(yè)網(wǎng)絡(luò)的關(guān)鍵業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)質(zhì)量，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的精細(xì)控制、靈活調(diào)整。同時(shí)，基于安全SD-WAN分支的網(wǎng)關(guān)設(shè)備、POP點(diǎn)等轉(zhuǎn)發(fā)層的全路徑故障檢測(cè)能力，進(jìn)行網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)采集和分析，通過(guò)故障智能切換、業(yè)務(wù)智能路徑選擇、質(zhì)量保障Q0S機(jī)制等提升全網(wǎng)的可靠性、穩(wěn)定性和服務(wù)質(zhì)量。

（4）開(kāi)放層

安全SD-WAN架構(gòu)中的開(kāi)放層主要提供人機(jī)交互的界面，以及可支持應(yīng)用開(kāi)放的北向API，實(shí)現(xiàn)面向上層應(yīng)用平臺(tái)的網(wǎng)絡(luò)能力開(kāi)放。開(kāi)放層一方面為網(wǎng)絡(luò)運(yùn)營(yíng)管理人員提供可視化展示的管理界面，也為不同的企業(yè)客戶提供自助服務(wù)的服務(wù)界面。另一方面，可以為企業(yè)的IT系統(tǒng)以及各類云服務(wù)系統(tǒng)提供網(wǎng)絡(luò)級(jí)的拓?fù)涑橄蠛吐酚煽删幊陶{(diào)用，使上層應(yīng)用平臺(tái)更方便容易地使用、管理和集成網(wǎng)絡(luò)服務(wù)，從而提升安全SD-WAN網(wǎng)絡(luò)的價(jià)值。

3.3? 安全SD-WAN的增強(qiáng)型安全功能

安全SD-WAN之所以稱為“安全”，需要從兩個(gè)方面來(lái)考慮，即安全SD-WAN的自身安全以及企業(yè)網(wǎng)絡(luò)安全兩個(gè)方面。

從安全SD-WAN自身安全方面來(lái)說(shuō)，SD-WAN控制層的各系統(tǒng)，以及CPE網(wǎng)關(guān)設(shè)備、POP點(diǎn)這些軟件硬件，本身就需要進(jìn)行安全加固，包括操作系統(tǒng)安全、防漏掃及防暴力破解、防DDoS/CC攻擊等。同時(shí)SD-WAN的控制層就好像人的神經(jīng)中樞，必須通過(guò)終端接入安全認(rèn)證、授權(quán)訪問(wèn)等保證神經(jīng)中樞的安全，不會(huì)被惡意的攻擊或者病毒侵害。只有SD-WAN本身的安全防護(hù)做好，才能稱基于SD-WAN的企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)具備安全性。

從企業(yè)網(wǎng)絡(luò)安全方面來(lái)說(shuō)，基于安全滑動(dòng)標(biāo)尺模型，網(wǎng)絡(luò)安全分為五個(gè)層面：基礎(chǔ)架構(gòu)、被動(dòng)防御、主動(dòng)防御、威脅情報(bào)、反制進(jìn)攻。作為安全基礎(chǔ)設(shè)施的架構(gòu)，安全SD-WAN需要基于SDN控制技術(shù)實(shí)現(xiàn)集中的安全策略控制，在企業(yè)網(wǎng)絡(luò)邊界的各網(wǎng)關(guān)設(shè)備保持一致的安全管控策略，包括基于終端的認(rèn)證、用戶的認(rèn)證、基于業(yè)務(wù)的訪問(wèn)控制等，讓網(wǎng)絡(luò)邊界沒(méi)有安全短板。同時(shí)，作為被動(dòng)防御和主動(dòng)防御的能力，SD-WAN控制平臺(tái)需要在第一時(shí)間對(duì)網(wǎng)關(guān)設(shè)備的惡意訪問(wèn)、惡意流量進(jìn)行發(fā)現(xiàn)和處置，減少安全事件對(duì)企業(yè)網(wǎng)絡(luò)的影響，將危害控制在盡量小的范圍內(nèi)。而更高階的安全能力威脅情報(bào)等，則需要SD-WAN網(wǎng)關(guān)設(shè)備基于威脅情報(bào)進(jìn)行網(wǎng)絡(luò)的實(shí)時(shí)或者準(zhǔn)實(shí)時(shí)的情報(bào)發(fā)現(xiàn)和搜集，并針對(duì)威脅情報(bào)核實(shí)的網(wǎng)絡(luò)威脅事件進(jìn)行實(shí)時(shí)的上報(bào)處理。

除了以上兩個(gè)方面之外，本安全SD-WAN解決方案還引入了安全功能虛擬化技術(shù)，通過(guò)集中安全策略控制與虛擬化安全功能相結(jié)合，當(dāng)分支機(jī)構(gòu)的網(wǎng)關(guān)設(shè)備無(wú)法及時(shí)處理疑似惡意訪問(wèn)或者惡意流量時(shí)，可以將網(wǎng)絡(luò)流量引導(dǎo)到集中的安全資源池中進(jìn)行處置，讓企業(yè)網(wǎng)絡(luò)全境范圍的安全能力達(dá)到統(tǒng)一水平。

4? ?安全SD-WAN方案的應(yīng)用實(shí)踐

安全SD-WAN解決方案適用于不同的企業(yè)客戶場(chǎng)景，典型的應(yīng)用場(chǎng)景分為大型企業(yè)、中小型企業(yè)。

4.1? 大型企業(yè)的安全SD-WAN應(yīng)用場(chǎng)景

如圖3所示，大型企業(yè)的應(yīng)用場(chǎng)景中，由于其總部、分支的數(shù)量較多，通常會(huì)分成總部、區(qū)域中心（區(qū)域數(shù)據(jù)中心）、分支機(jī)構(gòu)等三、四個(gè)網(wǎng)絡(luò)層級(jí)，且在總部和區(qū)域中心之間采用MPLS VPN或者傳輸專網(wǎng)方式進(jìn)行組網(wǎng)，在較邊遠(yuǎn)的分支機(jī)構(gòu)采用互聯(lián)網(wǎng)聯(lián)網(wǎng)的方式。

在此應(yīng)用場(chǎng)景中，總部和區(qū)域中心之間通常會(huì)綜合利用企業(yè)自有的MPLS VPN網(wǎng)絡(luò)及Internet的網(wǎng)絡(luò)資源，構(gòu)建虛擬化的私有企業(yè)網(wǎng)絡(luò)，形成廣域的企業(yè)IT系統(tǒng)的核心SD-WAN骨干網(wǎng)。同時(shí)，企業(yè)的三、四級(jí)單位或者其它非區(qū)域中心的分支機(jī)構(gòu)，以多種接入方式，如Internet、4G/5G等接入?yún)^(qū)域中心，形成層次化的組網(wǎng)架構(gòu)。在分支機(jī)構(gòu)、區(qū)域中心與總部之間，構(gòu)建安全的保密隧道，支持企業(yè)內(nèi)部IT系統(tǒng)的安全訪問(wèn)和業(yè)務(wù)數(shù)據(jù)的安全傳送。企業(yè)總部部署的安全SD-WAN管控平臺(tái)，通過(guò)專用隧道與總部、區(qū)域中心以及分支機(jī)構(gòu)的CPE網(wǎng)關(guān)設(shè)備互聯(lián)，基于認(rèn)證授權(quán)的方式實(shí)現(xiàn)控制策略下發(fā)、網(wǎng)絡(luò)狀態(tài)采集、網(wǎng)絡(luò)集中監(jiān)控等功能，確保網(wǎng)絡(luò)控制大腦的安全可控。

在此應(yīng)用場(chǎng)景中，大型客戶通常在總部或者總部數(shù)據(jù)中心自建一套安全SD-WAN管控平臺(tái)，通過(guò)企業(yè)自有的IT或者網(wǎng)絡(luò)運(yùn)維人員來(lái)自助登錄客戶服務(wù)的Portal，實(shí)現(xiàn)可視化的監(jiān)控和遠(yuǎn)程的運(yùn)維管理。

4.2? 中小型企業(yè)的安全SD-WAN應(yīng)用場(chǎng)景

如圖4所示，中小型企業(yè)的應(yīng)用場(chǎng)景中，由于其總部、分支的數(shù)量較大型企業(yè)少，且通常為一級(jí)的扁平化組網(wǎng)方式，即分支機(jī)構(gòu)與總部或者總部數(shù)據(jù)中心，構(gòu)建星型或者雙星型的組網(wǎng)架構(gòu)?？紤]到成本問(wèn)題，中小型企業(yè)的組網(wǎng)資源通常為Internet，也有部分直接采用4G/5G組網(wǎng)的場(chǎng)景。

在此應(yīng)用場(chǎng)景中，總部與分支機(jī)構(gòu)之間直接通過(guò)Internet或者4G/5G網(wǎng)絡(luò)構(gòu)建虛擬化的SD-WAN骨干網(wǎng)，在總部與分支機(jī)構(gòu)間構(gòu)建安全的保密隧道，支持企業(yè)內(nèi)部IT系統(tǒng)的安全訪問(wèn)和業(yè)務(wù)數(shù)據(jù)的安全傳送。由于各網(wǎng)關(guān)設(shè)備和控制平臺(tái)都是直接接入互聯(lián)網(wǎng)，所以在總部控制平臺(tái)以及網(wǎng)關(guān)設(shè)備上都啟用安全防護(hù)功能，針對(duì)其自身的暴力破解、DDoS攻擊、漏洞掃描，以及針對(duì)其下連接的終端設(shè)備的僵木蠕攻擊、病毒滲透等惡意行為進(jìn)行識(shí)別和阻斷，確保整個(gè)網(wǎng)絡(luò)的安全可控。

在此應(yīng)用場(chǎng)景中，中小型客戶通常愿意由網(wǎng)絡(luò)運(yùn)營(yíng)企業(yè)提供托管的安全SD-WAN管控平臺(tái)，通過(guò)企業(yè)自有的IT運(yùn)維人員或者委托運(yùn)營(yíng)企業(yè)的管理人員來(lái)自助登錄客戶服務(wù)的Portal，實(shí)現(xiàn)可視化的監(jiān)控和遠(yuǎn)程的運(yùn)維管理。

5? ?結(jié)束語(yǔ)

安全SD-WAN作為一種新型的SD-WAN技術(shù)和解決方案，不僅支持企業(yè)IT基礎(chǔ)設(shè)施更加靈活、智能地承載在SD-WAN網(wǎng)絡(luò)架構(gòu)上，更通過(guò)安全可控的技術(shù)方案和部署實(shí)踐提升了企業(yè)網(wǎng)絡(luò)的可靠性、安全性和私密性。與傳統(tǒng)的企業(yè)網(wǎng)絡(luò)相比，安全SD-WAN提升了企業(yè)網(wǎng)絡(luò)的五大能力，助力企業(yè)網(wǎng)絡(luò)的不斷演進(jìn)。

（1）提升企業(yè)網(wǎng)絡(luò)的自動(dòng)化組建能力：通過(guò)零配置快部署、網(wǎng)關(guān)準(zhǔn)入控制、自主安全組網(wǎng)等功能，安全SD-WAN實(shí)現(xiàn)企業(yè)分支網(wǎng)絡(luò)的自動(dòng)化上線，加快業(yè)務(wù)上線速度。

（2）提升異構(gòu)網(wǎng)絡(luò)的數(shù)據(jù)互通能力：通過(guò)支持多種網(wǎng)絡(luò)接入方式，支持物理設(shè)備及虛擬化等多種部署方式，安全SD-WAN實(shí)現(xiàn)企業(yè)不同位置不同環(huán)境下的網(wǎng)絡(luò)互連，增強(qiáng)跨異構(gòu)網(wǎng)絡(luò)的數(shù)據(jù)互通能力。

（3）提升高可靠、高性能傳輸能力：通過(guò)全網(wǎng)多級(jí)路徑的智能路徑優(yōu)選、故障路徑切換、動(dòng)態(tài)流量調(diào)度，以及網(wǎng)關(guān)設(shè)備和終端設(shè)備認(rèn)證接入、網(wǎng)關(guān)及POP點(diǎn)HA部署等功能，安全SD-WAN支持企業(yè)網(wǎng)絡(luò)的高可靠、高質(zhì)量的數(shù)據(jù)傳輸能力。

（4）提升企業(yè)網(wǎng)絡(luò)的安全防護(hù)能力：通過(guò)各類安全防護(hù)能力的智能化編排，如攻擊防護(hù)、入侵防御、病毒防護(hù)等，安全SD-WAN可以同步解決自身的安全防護(hù)，也助力企業(yè)網(wǎng)絡(luò)提升其終端、網(wǎng)絡(luò)、業(yè)務(wù)、數(shù)據(jù)等的安全防護(hù)水平。

（5）提升企業(yè)網(wǎng)絡(luò)的智能化運(yùn)維能力：通過(guò)對(duì)網(wǎng)絡(luò)的分權(quán)分域管理、拓?fù)淙W(wǎng)繪制、路徑狀態(tài)監(jiān)控、業(yè)務(wù)全景可視、威脅全網(wǎng)可視、統(tǒng)一日志審計(jì)等功能，安全SD-WAN可以幫助企業(yè)IT運(yùn)維人員實(shí)現(xiàn)可視化管理和智能化運(yùn)維，提升運(yùn)維整體效率。

綜上所述，安全SD-WAN將演進(jìn)為現(xiàn)有的企業(yè)IT基礎(chǔ)設(shè)施中的組網(wǎng)和安全的一體化解決方案，逐步成為企業(yè)網(wǎng)絡(luò)的新一代發(fā)展目標(biāo)和演進(jìn)方向。

參考文獻(xiàn)：

[1] ITU-T Y.2301. Network Intelligence Capability Enhancement-Requirements and Capabilities[S]. 2013.

[2] ITU-T Y.S-NICE-reqts. Requirements and capability framework for NICE implementation making usage of software defined networking technologies （S-NICE）[S]. 2013.

[3] ONF White Paper. Software-Defined Networking： The New Norm for Networks[S]. 2012.

[4] ETSI NFV： Network Functions Virtualisation Introductory White Paper. Network Functions Virtualisation， An introdution， benefits， enablers， challenges， & call for action[S]. 2012.

[5] ONUG SD-WAN use case white paper. Open Network User Group[S]. 2014.

[6] CCSA行標(biāo)YD-T 2636-2013. 智能型通信網(wǎng)絡(luò) 總體框架和要求[S]. 2013.