王茜 王岩 樊俊诚 张蒙蒙 曹金

摘要：在企业网络升级换代的新需求以及SDN/NFV等新技术涌现的双重驱动下，企业网络对高可靠、高质量、自动化、智能化等方面提出新的需求，从技术架构和功能架构两个方面探讨了一种新型的安全SD-WAN网络的架构和主要功能，并对其主要应用场景的实践方案进行了阐述。具备安全能力的SD-WAN的网络架构将在企业网络中逐步成熟和商用部署。

关键词：软件定义网络;软件定义广域网;网络安全

1   引言

作为下一代网络演进的目标之一，软件定义网络（SDN）技术正在日益影响着互联网的发展。SDN技术因为其“云原生”的特点，首先被应用在新型云数据中心网络中，被称为SD-DCN，以及被应用在跨数据中心互联的场景，被称为SD-DCI。随着SDN的逐步成熟和商用部署，一个新的应用场景出现在行业专家的视野里，这就是企业组网的场景，由此产生了SD-WAN的新型技术和解决方案。

当SD-WAN的新技术理念和网络架构引入企业网络时，另一件同等重要的事情越来越受到行业人士的关注，即随着企业的大型化和连锁化发展，SD-WAN让企业的内网不断延伸，让企业网络的边界变得不清晰，随之而来的安全问题成为了SD-WAN技术架构中的重要关注点。

本文基于SD-WAN在企業网络中部署所面临的安全问题出发，从技术架构和功能架构两个层面探讨了安全SD-WAN的目标架构，并通过应用场景的示例来探讨企业网络引入安全SD-WAN后的部署方式和实践落地方案。

2   企业网络引入安全SD-WAN的驱动力

2.1  企业网络发展的新需求

在当前经济高速发展和企业竞争加剧的环境下，企业大型化、连锁化的趋势日益明显，大型企业收购或并购中小企业，使得企业覆盖的范围从原来的一级城市延伸到二、三级城市，甚至县乡。同时，企业内部的人员、终端、应用日益增加，使得这些企业单元之间的连接关系也越来越复杂，企业IT人员对于网络的自动化、智能性、容错性以及可扩展性都提出了新的需求，包括：

（1）企业网络不仅仅是位于企业总部的一幢或者几幢大楼内的局域网络，而且成为分布在企业总部、分支机构、企业数据中心、企业私有云甚至公有云平台之间的广域网络，企业希望在总部、分支机构、数据中心和云平台之间快速灵活地按需组网。

（2）当前广域组网可以选用多种广域网资源，包括专线网络、互联网、4G/5G等，企业希望合理高效地使用这些网络资源，同时又不增加网络管理和运维的复杂度。

（3）越来越多的企业IT应用向云平台迁移，企业的分支机构访问这些企业云应用希望跟过去在企业局域网一样，具备高可用、高可靠、低时延等网络服务能力。

（4）对于日益增加的分布在边远地区、移动性强的分支机构，企业希望能进行快速的网络连接、自动化的故障恢复、远程可视化运维等，提升业务上线的速度，提高运维的效率，降低运维的成本。

2.2  企业网络面临的安全风险的驱动力

当前，企业网络面临的安全风险越来越高，各种新型的企业网络攻击方式也让各企业的安全人员防不胜防。据Cybersecurity Insider机构发布的“2018年企业网络内部威胁报告”，90%的企业CIO担心自己网络受到内部攻击，53%的企业确认在2018年曾受到过5次以内的内部攻击，而27%的企业则受到超过5次的内部攻击。

（1）企业网络内部容易受到攻击的主要原因包括：拥有过度访问权的用户太多，访问敏感数据的设备数量过多，以及网络和IT连接越来越复杂。

（2）越来越多的网络攻击、恶意访问的目标都集中到企业内部的关键业务系统和敏感数据，日益增多的企业用户信息泄露、企业经济数据泄露以及其它的恶意病毒、勒索病毒等，严重影响了企业正常的经营和办公活动。

（3）一些中小企业的办公设备及操作系统较为老旧，且升级更新周期长，存在漏洞多，容易被恶意病毒或代码感染，成为企业网络中最脆弱的失陷点。

（4）企业内部网络攻击的源头58%来源于企业内部雇员的失陷主机、云端服务平台，或者是连接到公司分支的供应商系统的一部分。

2.3  企业网络对安全SD-WAN的需求

据Gartner预测，到2019年底将有30%的企业在其分支机构中部署SD-WAN，5年内出现规模商用。Doyle研究公司预测，到2022年，全球企业托管的SD-WAN服务的支出将超过100亿美元。

作为企业IT系统的基础设施，企业网络对于引入安全SD-WAN的新技术和新型网络架构具有迫切的需求，一方面SD-WAN既能支持企业在总部、分支机构、数据中心和云平台之间分钟级快速组网，还能高效利用专线网络、互联网、4G/5G等多种广域网资源，通过多维智能选路、数据遥测及智能切换等技术，提升广域网的质量、可用性和可靠性，同时大大降低企业广域网络的总拥有成本TCO。另一方面，企业在引入SD-WAN新架构的同时，会从接入安全、传输安全、访问安全、数据安全等多个维度提升和优化基础安全能力和安全防护能力，在网络架构中直接融入安全的元素，让网络从规划、建设、运营阶段都充分支持全面的安全防护。

3    安全SD-WAN的核心架构

3.1  安全SD-WAN的技术架构

安全SD-WAN的技术架构，是基于软件定义SDX的一系列新型技术以及网络功能虚拟化NFV技术，从组网和安全两个角度提出的一体化技术架构。

安全SD-WAN一体化架构中包含3个技术组件：SD-WAN技术、SD-SEC技术以及SDP技术。安全SD-WAN的技术架构如图1所示。

（1）SD-WAN技术

在安全SD-WAN技术架构中最核心的还是SD-WAN技术本身，也就是企业网络组网的技术方案。SD-WAN是将SDN技术应用到广域网场景中所形成的一种服务，这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。这种服务的典型特征是将网络控制能力通过软件方式“云化”，支持应用可感知的网络能力开放。

SD-WAN继承SDN控制与转发分离、集中控制等核心技术方案，通过在企业WAN中部署软件控制系统，提供业务快速部署、网络智能控制等功能，帮助企业应对云服务及办公移动化所带来的挑战。

（2）SD-SEC技术

软件定义安全（SD-SEC， Software Defined Security）是从软件定义网络引申而来的，原理是将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件定义的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。

软件定义安全作为一种安全模型，由软件而非硬件实现计算环境中的信息安全和网络安全的控制及管理，软件定义安全的五大优势包括简单、灵活可扩展、自动化、成本高效以及可持续改进。

（3）SDP技术

软件定义边界（SDP， Software Defined Perimeter）由云安全聯盟（CSA）于2013年提出，该技术框架的核心是根据身份控制对资源的访问，即每个终端在连接服务器前必须进行验证，确保每台设备都是被允许接入的，这样的话，企业核心网络的资产与设施不直接暴露在互联网下，使得网络资产与设施免受外来安全威胁。

在SDP架构中，首先对用户接入的终端进行多因素认证，认证设备的可靠性等，认证通过之后，才进入用户登录阶段。在这个过程中，用户接入的终端需要与控制器（Controller）进行交互，由控制器进行设备认证和身份认证，并基于认证结果设置用户访问服务的权限，只有认证通过的用户终端才能对应用的基础设施进行访问。因此，SDP通过三种方式对抗基于网络的攻击：透明多因素认证可以抵抗用户凭据丢失，服务器隔离可以抵抗服务器利用，TLS双向认证可以抵抗连接劫持。

3.2  安全SD-WAN的功能架构

由于安全SD-WAN继承了SDN技术，所以在安全SD-WAN架构中，同样继承了SDN技术的功能架构，功能层次分为转发层、控制层、编排层以及开放层。

（1）转发层

转发层是安全SD-WAN网络中的网元部署层，通常由总部或者分支机构的CPE网关设备，以及SD-WAN骨干网中的POP点组成。其核心的功能是与安全SD-WAN控制器对接，通过控制器下发的指令进行数据转发、配置实施、策略执行等。

（2）控制层

安全SD-WAN架构中的控制层是各层面中最重要的一层，也是转发层中所有网关设备、POP点的集中控制大脑，负责各网关设备的鉴权认证、智能组网、远程管理、集中监控、策略统一管理等。

控制层的主要组成包括安全SD-WAN控制器，以及配置管理、监控运维、数据分析等模块中涉及到的与网关设备、POP点需要交互的功能，如监控运维中的网络设备状态采集功能、数据分析中的网络与业务数据采集功能等。控制层中特别的功能包括IAM（鉴权认证）和SDP（软件定义安全），主要是对网关设备、POP点进行鉴权认证并给这些网络转发层单元下发授权访问的策略等功能。

（3）编排层

安全SD-WAN的编排层主体上包括两个模块：网络编排模块、安全编排模块。除此之外，还有配置管理、监控运维、数据分析模块中的与策略制定和与上层开放层协同的相关功能，包括各类配置模板的定义和更新、监控状态采集的统一处理、网络和业务数据分析的模型定义等。

网络编排模块和安全编排模块需协同进行，其主要功能是基于安全SD-WAN控制器可以支持的组网和安全功能，对网络的链路资源、带宽资源、业务策略、访问控制策略、安全防护策略等统一管理，对网络流量进行全面可视化调度，以保障企业网络的关键业务系统的网络访问质量，实现对网络资源的精细控制、灵活调整。同时，基于安全SD-WAN分支的网关设备、POP点等转发层的全路径故障检测能力，进行网络状态的实时采集和分析，通过故障智能切换、业务智能路径选择、质量保障Q0S机制等提升全网的可靠性、稳定性和服务质量。

（4）开放层

安全SD-WAN架构中的开放层主要提供人机交互的界面，以及可支持应用开放的北向API，实现面向上层应用平台的网络能力开放。开放层一方面为网络运营管理人员提供可视化展示的管理界面，也为不同的企业客户提供自助服务的服务界面。另一方面，可以为企业的IT系统以及各类云服务系统提供网络级的拓扑抽象和路由可编程调用，使上层应用平台更方便容易地使用、管理和集成网络服务，从而提升安全SD-WAN网络的价值。

3.3  安全SD-WAN的增强型安全功能

安全SD-WAN之所以称为“安全”，需要从两个方面来考虑，即安全SD-WAN的自身安全以及企业网络安全两个方面。

从安全SD-WAN自身安全方面来说，SD-WAN控制层的各系统，以及CPE网关设备、POP点这些软件硬件，本身就需要进行安全加固，包括操作系统安全、防漏扫及防暴力破解、防DDoS/CC攻击等。同时SD-WAN的控制层就好像人的神经中枢，必须通过终端接入安全认证、授权访问等保证神经中枢的安全，不会被恶意的攻击或者病毒侵害。只有SD-WAN本身的安全防护做好，才能称基于SD-WAN的企业网络基础架构具备安全性。

从企业网络安全方面来说，基于安全滑动标尺模型，网络安全分为五个层面：基础架构、被动防御、主动防御、威胁情报、反制进攻。作为安全基础设施的架构，安全SD-WAN需要基于SDN控制技术实现集中的安全策略控制，在企业网络边界的各网关设备保持一致的安全管控策略，包括基于终端的认证、用户的认证、基于业务的访问控制等，让网络边界没有安全短板。同时，作为被动防御和主动防御的能力，SD-WAN控制平台需要在第一时间对网关设备的恶意访问、恶意流量进行发现和处置，减少安全事件对企业网络的影响，将危害控制在尽量小的范围内。而更高阶的安全能力威胁情报等，则需要SD-WAN网关设备基于威胁情报进行网络的实时或者准实时的情报发现和搜集，并针对威胁情报核实的网络威胁事件进行实时的上报处理。

除了以上两个方面之外，本安全SD-WAN解决方案还引入了安全功能虚拟化技术，通过集中安全策略控制与虚拟化安全功能相结合，当分支机构的网关设备无法及时处理疑似恶意访问或者恶意流量时，可以将网络流量引导到集中的安全资源池中进行处置，让企业网络全境范围的安全能力达到统一水平。

4   安全SD-WAN方案的应用实践

安全SD-WAN解决方案适用于不同的企业客户场景，典型的应用场景分为大型企业、中小型企业。

4.1  大型企业的安全SD-WAN应用场景

如图3所示，大型企业的应用场景中，由于其总部、分支的数量较多，通常会分成总部、区域中心（区域数据中心）、分支机构等三、四个网络层级，且在总部和区域中心之间采用MPLS VPN或者传输专网方式进行组网，在较边远的分支机构采用互联网联网的方式。

在此应用场景中，总部和区域中心之间通常会综合利用企业自有的MPLS VPN网络及Internet的网络资源，构建虚拟化的私有企业网络，形成广域的企业IT系统的核心SD-WAN骨干网。同时，企业的三、四级单位或者其它非区域中心的分支机构，以多种接入方式，如Internet、4G/5G等接入区域中心，形成层次化的组网架构。在分支机构、区域中心与总部之间，构建安全的保密隧道，支持企业内部IT系统的安全访问和业务数据的安全传送。企业总部部署的安全SD-WAN管控平台，通过专用隧道与总部、区域中心以及分支机构的CPE网关设备互联，基于认证授权的方式实现控制策略下发、网络状态采集、网络集中监控等功能，确保网络控制大脑的安全可控。

在此应用场景中，大型客户通常在总部或者总部数据中心自建一套安全SD-WAN管控平台，通过企业自有的IT或者网络运维人员来自助登录客户服务的Portal，实现可视化的监控和远程的运维管理。

4.2  中小型企业的安全SD-WAN应用场景

如图4所示，中小型企业的应用场景中，由于其总部、分支的数量较大型企业少，且通常为一级的扁平化组网方式，即分支机构与总部或者总部数据中心，构建星型或者双星型的组网架构。考虑到成本问题，中小型企业的组网资源通常为Internet，也有部分直接采用4G/5G组网的场景。

在此应用场景中，总部与分支机构之间直接通过Internet或者4G/5G网络构建虚拟化的SD-WAN骨干网，在总部与分支机构间构建安全的保密隧道，支持企业内部IT系统的安全访问和业务数据的安全传送。由于各网关设备和控制平台都是直接接入互联网，所以在总部控制平台以及网关设备上都启用安全防护功能，针对其自身的暴力破解、DDoS攻击、漏洞扫描，以及针对其下连接的终端设备的僵木蠕攻击、病毒渗透等恶意行为进行识别和阻断，确保整个网络的安全可控。

在此应用场景中，中小型客户通常愿意由网络运营企业提供托管的安全SD-WAN管控平台，通过企业自有的IT运维人员或者委托运营企业的管理人员来自助登录客户服务的Portal，实现可视化的监控和远程的运维管理。

5   结束语

安全SD-WAN作为一种新型的SD-WAN技术和解决方案，不仅支持企业IT基础设施更加灵活、智能地承载在SD-WAN网络架构上，更通过安全可控的技术方案和部署实践提升了企业网络的可靠性、安全性和私密性。与传统的企业网络相比，安全SD-WAN提升了企业网络的五大能力，助力企业网络的不断演进。

（1）提升企业网络的自动化组建能力：通过零配置快部署、网关准入控制、自主安全组网等功能，安全SD-WAN实现企业分支网络的自动化上线，加快业务上线速度。

（2）提升异构网络的数据互通能力：通过支持多种网络接入方式，支持物理设备及虚拟化等多種部署方式，安全SD-WAN实现企业不同位置不同环境下的网络互连，增强跨异构网络的数据互通能力。

（3）提升高可靠、高性能传输能力：通过全网多级路径的智能路径优选、故障路径切换、动态流量调度，以及网关设备和终端设备认证接入、网关及POP点HA部署等功能，安全SD-WAN支持企业网络的高可靠、高质量的数据传输能力。

（4）提升企业网络的安全防护能力：通过各类安全防护能力的智能化编排，如攻击防护、入侵防御、病毒防护等，安全SD-WAN可以同步解决自身的安全防护，也助力企业网络提升其终端、网络、业务、数据等的安全防护水平。

（5）提升企业网络的智能化运维能力：通过对网络的分权分域管理、拓扑全网绘制、路径状态监控、业务全景可视、威胁全网可视、统一日志审计等功能，安全SD-WAN可以帮助企业IT运维人员实现可视化管理和智能化运维，提升运维整体效率。

综上所述，安全SD-WAN将演进为现有的企业IT基础设施中的组网和安全的一体化解决方案，逐步成为企业网络的新一代发展目标和演进方向。

参考文献：

[1] ITU-T Y.2301. Network Intelligence Capability Enhancement-Requirements and Capabilities[S]. 2013.

[2] ITU-T Y.S-NICE-reqts. Requirements and capability framework for NICE implementation making usage of software defined networking technologies （S-NICE）[S]. 2013.

[3] ONF White Paper. Software-Defined Networking： The New Norm for Networks[S]. 2012.

[4] ETSI NFV： Network Functions Virtualisation Introductory White Paper. Network Functions Virtualisation， An introdution， benefits， enablers， challenges， & call for action[S]. 2012.

[5] ONUG SD-WAN use case white paper. Open Network User Group[S]. 2014.

[6] CCSA行标YD-T 2636-2013. 智能型通信网络 总体框架和要求[S]. 2013.