藺 旋，王 娜，李長連（.中訊郵電咨詢設(shè)計(jì)院有限公司，北京 00048；.中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司，北京 00048）

1 概述

隨著現(xiàn)代社會(huì)信息化和網(wǎng)絡(luò)化的快速發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為現(xiàn)代社會(huì)政治和經(jīng)濟(jì)生活正常運(yùn)轉(zhuǎn)的重要保障，網(wǎng)絡(luò)安全也成為“十四五”規(guī)劃的重要內(nèi)容。而近年來網(wǎng)絡(luò)安全事件頻發(fā)，嚴(yán)重威脅國家安全、社會(huì)秩序和人民的財(cái)產(chǎn)安全。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計(jì)，2019 年國家信息安全漏洞共享平臺(tái)收錄通用軟硬件漏洞數(shù)達(dá)16 193 個(gè)，目前漏洞數(shù)量仍然大幅增加，影響范圍不斷擴(kuò)大［1］。境內(nèi)外的網(wǎng)絡(luò)攻擊者可利用網(wǎng)站和主機(jī)的漏洞侵入客戶系統(tǒng)進(jìn)行信息竊取和信息劫持并以此非法牟利，因此主機(jī)系統(tǒng)安全對企業(yè)來說至關(guān)重要。

通常情況下，對企業(yè)內(nèi)部網(wǎng)絡(luò)中的設(shè)備進(jìn)行系統(tǒng)漏洞掃描防護(hù)有較高的經(jīng)濟(jì)成本及操作門檻。根據(jù)內(nèi)網(wǎng)的特點(diǎn)和安全要求，目前針對內(nèi)網(wǎng)設(shè)備的漏洞掃描方案主要有2 種，一種是將漏洞掃描設(shè)備本地化部署，然后直連接入內(nèi)網(wǎng)環(huán)境進(jìn)行漏洞掃描［2］；另一種是短暫將內(nèi)網(wǎng)設(shè)備接入公網(wǎng)，然后利用異地安全能力對設(shè)備進(jìn)行漏洞掃描。上述2種方案均存在不同程度上的缺陷，前者要本地部署安全能力，這將需要較高的人力和時(shí)間成本，而針對跨地域的企業(yè)網(wǎng)絡(luò)則須要投入數(shù)倍的掃描成本；后者則要將內(nèi)網(wǎng)設(shè)備短暫暴露在公網(wǎng)上，這無疑給內(nèi)網(wǎng)系統(tǒng)帶來更大的安全隱患。因此，內(nèi)網(wǎng)設(shè)備的安全掃描防護(hù)困難重重，而借助SDWAN 的內(nèi)網(wǎng)掃描方案無疑給內(nèi)網(wǎng)設(shè)備防護(hù)提供一個(gè)新的選擇。

SD-WAN 全稱為軟件定義廣域網(wǎng)（Software Defined WAN），是將SDN 技術(shù)應(yīng)用到廣域網(wǎng)場景中所形成的一種服務(wù)。它通過虛擬化技術(shù)、應(yīng)用級(jí)的策略、Overlay 網(wǎng)絡(luò)及邊緣的CPE 設(shè)備實(shí)現(xiàn)廣域地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)連接，SDWAN 降低了客戶廣域網(wǎng)的開支并提高了網(wǎng)絡(luò)連接的靈活性［3］。

掃描類安全能力平臺(tái)結(jié)合SD-WAN 的安全業(yè)務(wù)方案可以提供便捷、安全、切換快速的內(nèi)網(wǎng)系統(tǒng)漏洞掃描［4］。該方案只須利用SD-WAN 設(shè)備在安全能力側(cè)和客戶側(cè)進(jìn)行簡單的終端設(shè)備配置便可實(shí)現(xiàn)安全能力和客戶網(wǎng)絡(luò)的靈活接入與斷開，無需進(jìn)行復(fù)雜配置，這將為客戶節(jié)省大量的時(shí)間成本，同時(shí)也降低了操作門檻。該方案還避免了內(nèi)網(wǎng)設(shè)備短暫暴露在公網(wǎng)中所帶來的安全風(fēng)險(xiǎn)，因此借助于SD-WAN 的掃描類安全業(yè)務(wù)應(yīng)用將是內(nèi)網(wǎng)設(shè)備進(jìn)行漏洞掃描防護(hù)的理想方案。

本文首先對SD-WAN 結(jié)構(gòu)及原理進(jìn)行介紹，然后以某客戶為例，介紹具體內(nèi)網(wǎng)漏洞掃描方案設(shè)計(jì)及驗(yàn)證過程，并對測試結(jié)果進(jìn)行總結(jié)和分析，為后續(xù)的內(nèi)網(wǎng)安全業(yè)務(wù)方案提供借鑒和參考。

2 SD-WAN架構(gòu)及原理

2.1 SD-WAN架構(gòu)介紹

本文介紹的安全業(yè)務(wù)方案關(guān)鍵在于如何將漏洞掃描引擎接入客戶內(nèi)部網(wǎng)絡(luò)，而這需要借助SD-WAN實(shí)現(xiàn)。

SD-WAN 主要由SD-WAN 統(tǒng)一管理平臺(tái)和部署在客戶端的SD-WAN終端設(shè)備組成。

a）統(tǒng)一管理平臺(tái)：SD-WAN 統(tǒng)一管理平臺(tái)是SDWAN系統(tǒng)的可視化管理工具，主要負(fù)責(zé)CPE設(shè)備的管理及控制，可實(shí)時(shí)查看客戶終端設(shè)備情況和網(wǎng)絡(luò)拓?fù)?。管理平臺(tái)還負(fù)責(zé)將配置文件推送給指定的終端設(shè)備及其他配套網(wǎng)絡(luò)設(shè)備完成組網(wǎng)配置。

b）CPE 設(shè)備：SD-WAN 終端設(shè)備將客戶設(shè)備接入公網(wǎng)，SD-WAN 客戶終端設(shè)備支持通過MPLS、互聯(lián)網(wǎng)、4G 以及5G 多種網(wǎng)絡(luò)接入方式，統(tǒng)一管理平臺(tái)可直接管理和配置客戶設(shè)備。

2.2 SD-WAN組網(wǎng)原理

SD-WAN 的業(yè)務(wù)模型包括組網(wǎng)過程中所涉及的網(wǎng)絡(luò)設(shè)備、接入網(wǎng)絡(luò)及承載網(wǎng)絡(luò)等。

圖1 為SD-WAN 在進(jìn)行組網(wǎng)時(shí)搭建的流程模型，客戶在組網(wǎng)完成之后，便可實(shí)現(xiàn)內(nèi)網(wǎng)環(huán)境的跨區(qū)域互訪?？蛻舻膬?nèi)網(wǎng)設(shè)備與CPE 的LAN 側(cè)地址互通；CPE通過WAN 側(cè)地址接入互聯(lián)網(wǎng)、4G/5G、MV 專線與POP點(diǎn)建立連接，由于CPE 與POP 點(diǎn)之間的鏈路可能暴露在公網(wǎng)環(huán)境中，此鏈路須建立IPsec隧道進(jìn)行數(shù)據(jù)加密傳輸，保證安全性；POP 點(diǎn)之間通過運(yùn)營商的MV 承載網(wǎng)傳遞客戶路由和數(shù)據(jù)；而后續(xù)遠(yuǎn)端POP 點(diǎn)至遠(yuǎn)端客戶內(nèi)網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)傳遞過程與上述過程相似，這里就不再贅述［5］。

圖1 SD-WAN業(yè)務(wù)模型

從上述對于SD-WAN 的整體架構(gòu)介紹以及SDWAN組網(wǎng)原理的介紹可知，SD-WAN支持混合鏈路接入，可根據(jù)客戶網(wǎng)絡(luò)狀況自適應(yīng)調(diào)整鏈路互聯(lián)網(wǎng)、4G/5G 和MV 專線。此外，SD-WAN 還支持站點(diǎn)靈活接入，通過統(tǒng)一管理平臺(tái)進(jìn)行配置實(shí)現(xiàn)站點(diǎn)新增和刪除操作，進(jìn)一步實(shí)現(xiàn)客戶的快速切換，保證了內(nèi)網(wǎng)環(huán)境下客戶業(yè)務(wù)的安全。

3 掃描方案設(shè)計(jì)

根據(jù)客戶的內(nèi)網(wǎng)設(shè)備漏洞掃描需求和現(xiàn)有的網(wǎng)絡(luò)安全能力，結(jié)合SD-WAN 的部署和使用特點(diǎn)，本文設(shè)計(jì)了針對于客戶的安全業(yè)務(wù)測試方案，如圖2所示。該方案一方面可以借助SD-WAN 將漏洞掃描引擎接入客戶設(shè)備所在的內(nèi)部網(wǎng)絡(luò)；另一方面可通過SDWAN統(tǒng)一管理平臺(tái)多次下發(fā)配置，實(shí)現(xiàn)安全能力與不同客戶網(wǎng)絡(luò)之間的快速切換接入。

圖2 方案整體設(shè)計(jì)圖

針對客戶的掃描類安全業(yè)務(wù)，整體方案實(shí)現(xiàn)了安全能力管理平臺(tái)與SD-WAN 統(tǒng)一管理平臺(tái)的聯(lián)動(dòng)，安全能力管理平臺(tái)進(jìn)行漏洞掃描任務(wù)的配置并通過SDWAN平臺(tái)打通網(wǎng)絡(luò)，從而實(shí)現(xiàn)內(nèi)網(wǎng)漏洞掃描任務(wù)的下發(fā)。

安全業(yè)務(wù)方案的具體實(shí)施過程如下：安全能力管理平臺(tái)接到客戶訂單，根據(jù)客戶網(wǎng)絡(luò)配置首先向SDWAN平臺(tái)發(fā)送請求進(jìn)行CPE設(shè)備的配置下發(fā)，打通兩側(cè)的網(wǎng)絡(luò)；然后SD-WAN 統(tǒng)一管理平臺(tái)向安全能力管理平臺(tái)發(fā)送網(wǎng)絡(luò)配置成功確認(rèn)消息，安全能力管理平臺(tái)即可開始漏洞任務(wù)的配置；安全能力平臺(tái)將漏洞掃描任務(wù)的配置參數(shù)發(fā)送給漏洞掃描設(shè)備，漏洞掃描設(shè)備即可通過客戶設(shè)備的地址進(jìn)行漏洞掃描；漏洞掃描任務(wù)結(jié)束之后，安全能力平臺(tái)隨即向SD-WAN 統(tǒng)一管理平臺(tái)發(fā)出網(wǎng)絡(luò)斷開請求，SD-WAN 平臺(tái)下發(fā)CPE 配置，斷開與安全能力的網(wǎng)絡(luò)連接；而對于其他客戶的漏洞掃描請求，SD-WAN 統(tǒng)一管理平臺(tái)通過客戶側(cè)的CPE配置下發(fā)即可實(shí)現(xiàn)客戶內(nèi)網(wǎng)與安全能力的快速打通，無需對安全能力側(cè)進(jìn)行再一次配置，這樣就實(shí)現(xiàn)了安全業(yè)務(wù)客戶的快速切換。

4 掃描方案實(shí)施

在針對客戶的內(nèi)網(wǎng)漏洞掃描方案設(shè)計(jì)完成之后需要對其實(shí)施效果進(jìn)行驗(yàn)證，而安全能力平臺(tái)和SDWAN 統(tǒng)一管理平臺(tái)未實(shí)現(xiàn)線上聯(lián)動(dòng)且測試客戶只有一個(gè)，因此方案實(shí)施過程中只進(jìn)行分步的網(wǎng)絡(luò)打通和漏洞掃描操作，方案驗(yàn)證組網(wǎng)如圖3所示。

圖3 方案組網(wǎng)示意圖

實(shí)施步驟主要分為安全能力側(cè)的漏洞掃描設(shè)備準(zhǔn)備、CPE 設(shè)備安裝及開局、SD-WAN 統(tǒng)一管理平臺(tái)配置下發(fā)、客戶設(shè)備漏洞掃描等，具體實(shí)施過程如下。

a）漏洞掃描設(shè)備準(zhǔn)備和網(wǎng)絡(luò)配置：由于項(xiàng)目處于方案設(shè)計(jì)驗(yàn)證階段，考慮到測試過程的便利性，選擇直接在個(gè)人計(jì)算機(jī)上進(jìn)行漏洞掃描設(shè)備的部署安裝，漏洞掃描引擎部署完成之后配置相應(yīng)的管理頁面以便于操作。

b）CPE 設(shè)備安裝及初始配置：以安全能力側(cè)為例，首先直連CPE 設(shè)備與管理端計(jì)算機(jī)，設(shè)置管理端計(jì)算機(jī)的IP 地址，連通CPE 與管理端計(jì)算機(jī)網(wǎng)絡(luò)，然后將CPE 設(shè)備連接公網(wǎng)交換機(jī)并自動(dòng)獲取公網(wǎng)配置，完成CPE 設(shè)備與SD-WAN 集中管理平臺(tái)的通信，最后通過管理平臺(tái)對CPE設(shè)備進(jìn)行初始配置。

c）SD-WAN 管理平臺(tái)下發(fā)配置：SD-WAN 統(tǒng)一管理平臺(tái)對安全能力側(cè)和客戶側(cè)的CPE 設(shè)備進(jìn)行最終的配置下發(fā)，漏洞掃描設(shè)備理論上已經(jīng)接入客戶內(nèi)部網(wǎng)絡(luò)，至此便完成了整個(gè)內(nèi)網(wǎng)漏洞掃描安全業(yè)務(wù)的平臺(tái)搭建和網(wǎng)絡(luò)打通。

d）客戶內(nèi)網(wǎng)設(shè)備漏洞掃描：漏洞掃描能力設(shè)備接入客戶網(wǎng)絡(luò)之后，即可通過待掃描主機(jī)內(nèi)網(wǎng)地址下發(fā)系統(tǒng)漏洞掃描任務(wù)，然后獲取掃描任務(wù)的完整漏洞掃描報(bào)告，客戶即可針對高中危漏洞進(jìn)行修復(fù)，如圖4所示。

圖4 漏洞掃描任務(wù)報(bào)告

5 方案總結(jié)

本文詳述了借助于SD-WAN 的內(nèi)網(wǎng)掃描業(yè)務(wù)平臺(tái)的搭建過程以及針對客戶內(nèi)網(wǎng)設(shè)備的漏洞掃描過程，驗(yàn)證結(jié)果充分證明了借助SD-WAN 的內(nèi)網(wǎng)設(shè)備漏洞掃描方案的可行性，該方案顯著提高了企業(yè)內(nèi)網(wǎng)設(shè)備進(jìn)行系統(tǒng)掃描的便利性。針對多個(gè)客戶對內(nèi)網(wǎng)安全能力的需求，只需要通過SD-WAN 統(tǒng)一管理平臺(tái)對不同客戶的CPE 設(shè)備進(jìn)行配置下發(fā)，即可實(shí)現(xiàn)安全能力平臺(tái)與多客戶網(wǎng)絡(luò)的實(shí)時(shí)切換接入。在此基礎(chǔ)上實(shí)現(xiàn)網(wǎng)絡(luò)安全統(tǒng)一能力平臺(tái)和SD-WAN 統(tǒng)一管理平臺(tái)的聯(lián)動(dòng)，提高安全業(yè)務(wù)和SD-WAN 的結(jié)合程度，即可進(jìn)一步提高客戶內(nèi)網(wǎng)安全服務(wù)的便利性。

除此之外，漏洞掃描設(shè)備在完成SD-WAN 快速組網(wǎng)之后即可和客戶側(cè)CPE 設(shè)備后端連接設(shè)備進(jìn)行通信，如CPE 設(shè)備后端直連客戶內(nèi)網(wǎng)服務(wù)器，漏洞掃描設(shè)備便可與服務(wù)器進(jìn)行通信。由圖4 可知，在本方案實(shí)施過程中，數(shù)據(jù)在客戶側(cè)CPE 設(shè)備與客戶設(shè)備之間還需要經(jīng)過出口交換機(jī)，而該交換機(jī)對內(nèi)網(wǎng)數(shù)據(jù)做了防火墻限制，這會(huì)使漏洞掃描設(shè)備的數(shù)據(jù)無法進(jìn)入內(nèi)網(wǎng)，從而導(dǎo)致漏洞掃描過程失敗。因此對于上述情況還須對漏洞掃描設(shè)備的地址短暫放開限制才能保證漏洞掃描任務(wù)順利進(jìn)行。此外，一些客戶的內(nèi)網(wǎng)出口還部署了入侵防御系統(tǒng)（IPS），該系統(tǒng)會(huì)對掃描流量進(jìn)行攔截和阻斷，因此在內(nèi)網(wǎng)掃描時(shí)需要IPS 對掃描流量放行。

6 結(jié)束語

本文提出了一種新的內(nèi)網(wǎng)設(shè)備的漏洞掃描方案，此外還針對指定客戶設(shè)計(jì)了具體的安全業(yè)務(wù)實(shí)施方案，方案測試結(jié)果一方面驗(yàn)證了借助SD-WAN 進(jìn)行客戶內(nèi)網(wǎng)安全業(yè)務(wù)的可行性；另一方面，該方案通過安全能力平臺(tái)與SD-WAN 統(tǒng)一管理平臺(tái)的聯(lián)動(dòng)，實(shí)現(xiàn)了內(nèi)網(wǎng)安全業(yè)務(wù)的多客戶實(shí)時(shí)切換，極大地降低安全業(yè)務(wù)的時(shí)間成本。因此，借助于SD-WAN 的內(nèi)網(wǎng)漏洞掃描方案是滿足企業(yè)內(nèi)部網(wǎng)絡(luò)掃描需求的理想途徑，具有推廣意義。