網際互聯話安全
——軟件定義廣域網及密碼應用

天融信高級副總裁 景鴻理

網際互聯的現實需求

國務院及交通部為加快“互聯網+”建設，密集出臺有“行動綱要、指導意見、發展規劃”等，這些文件里面都講到了加快網絡建設。同時，交通行業的各個部門也制定了網絡安全相關的規范、要求、指南。可以看出，網絡建設與網絡安全并重。

網絡建設要加強，同時網絡安全也要加強，現在的網際互聯有什么新的形勢出現呢？第一，聯網主體猛增；政務中心、大數據中心、企業總部、各企業分支等，均有互聯的需求；第二，云化；第三，線路多方提供，有多家運營商可供選擇，入網形式也多樣化，無線/有線，4G/專網等；第四，網絡安全威脅加劇，政府的監管力度也在提升。在網際互聯有這么多的需求和要求，入網及組網的形式又多樣化的情形下，相對更便捷、且安全的手段“軟件定義廣域網SD-WAN”應運而生。

SD-WAN 之網絡安全和密碼應用

軟件定義廣域網的基本原理，就是將一個“物理網絡”通過高層協議的再封裝，虛擬出“邏輯網絡”使之“軟件可定義”。軟件定義并不懸乎，只是在原來的底層協議上再封裝一個上層協議。SD-WAN的核心技術包括：隧道技術、應用級路由、密碼技術、多種增值服務，在增值服務當中包括有網絡安全功能。軟件定義廣域網的特征，就是將網絡的控制層面和實際傳輸層面分離開來，將控制能力集中起來，使得網絡本身具有的能力對我們開放，為我們感知。很多特性被我們感知管理了以后，就可以靈活地進行應用。原來的網絡碰到好的線路就是好的網絡體驗；碰到不好的線路你也沒招，軟件定義了以后就可以選擇了。

既然是一個廣域網，毫無疑問要有網絡接入設備，分支這邊的設備稱作CPE，中心端部的設備稱作GW。入網可以單線接入，也可以混合接入，可以是4G無線接入也可以是以太有線接入，其選擇“豐儉由人”。

網絡組網配置是個較為復雜的技術活，而SDWAN情況下我們則說是零配置、分鐘級開局。廣域網下的分支互聯對工程師的要求比較高，要去現場配置，調線時間也較長，如果是軟件定義廣域網，分支CPE設備的上線幾乎是零配置，分鐘級上線開局，無需專業IT人員到場，只需要導入配置文件，入網組網就完成了，過去這個事情可是要一個多月的時間。完成的組網結構既可以是星型的，也可以是樹形、或者網型的。要知道一個網絡的拓撲結構是規劃時就設計好了的，在工程實施過程中，要實施成規劃的拓撲結構是需要專業IT工程師到場的。但在軟件定義廣域網下就簡單了，配置文件下發，導入配置文件到CPE設備就完成了設定中的安全和組網。

SD-WAN還有一個好處是視圖化管理。在軟件定義廣域網里面，除了分支有一個CPE設備，總部中心有一個GW設備，還有一個管理中心，管理中心上面就能夠看到網絡各節點目前的各種狀態。同時管理界面上顯示的“點”和“線”，你的鼠標只要懸停到點和線上，就有更細致的信息彈出來，還可以點擊進去，看到更多的表單，相當于整個網絡的狀態和能力都在你面前，這是軟件定義廣域網的一些特點。

上文提到有四個核心的技術，現在撿一個出來說說，就是基于應用的智能選路，應用級選路是四大核心技術之一。我們線路上會跑著各種各樣的數據，PPT左側中間的動圖是業務流量，同時線路上肯定還有威脅流量和垃圾流量。PPT中間的圖是網絡線路圖，線路有專線、5G、因特網等多種可能，線路質量各有不同，可以看到有延遲、丟包率，有帶寬等。相對于傳統的第三層路由選擇，軟件定義廣域網的路由選擇是支持應用級選路的。第一，基于業務應用的識別，看你是哪種應用；第二，基于鏈路質量的感知，鏈路延遲怎么樣，鏈路的丟包程度，以及帶寬等，CPE可以智能給你選擇最優路線。比如說我們指定某業務走最小延遲、帶寬足夠的那條線，它就會走那條線路，獲得最佳的網絡體驗。

再來看看安全防護，在開放式互聯網環境下，要想安全保密的傳輸數據，一個有效的手段就是“建隧道”。通過隧道傳輸數據，以達到安全保密的目的。同時廣域網絡里面所說的安全，毫無疑問地包括基礎設施本身要安全，以及操作系統要安全等；運維要安全，運維人員的身份要認證，所產生的數據要加密存儲；再就是網絡安全，網絡安全從兩個方面看：一方面就是廣泛使用的一些網絡安全功能，如網絡訪問控制、入侵檢測防御等，同時，還要有密碼技術，如簽名認證、加密隧道等。這里的“隧道”前面說過，就是在一個公用的網絡空間，用密碼技術虛擬出來一個專用的通路，這個通道里只有你，別人用不了看不見。網絡安全功能是在SD-WAN的增值服務里面完成的，隧道是它本身建立完成的。

說到密碼應用，SD-WAN的核心技術之一是“加密隧道”，完成數據傳輸加密；控制中心產生的各種配置文件，要實施存儲加密；人員接入到SD-WAN控制中心和網關，要做數字身份認證；這些都要用到密碼算法。即：至少有傳輸加密、存儲加密、身份認證，要應用到密碼。

借此機會也簡單地宣傳下《密碼法》。我國原頒發有《商用密碼管理條例》，現已頒發了《密碼法》，《密碼法》對“核/普/商”都進行了明確的法律規定。《密碼法》要求，關鍵信息及系統應當使用商用密碼進行保護，應當使用《網絡安全專用產品目錄》中的密碼產品，應自行或者委托第三方評估機構開展密碼應用安全性評估。使用商用密碼要采用SM2、SM3、SM4等國家主管部門批準的商用密碼算法。

再回到主題談點SD-WAN的工程經驗。一是SD-WAN定位于多分支異地互聯，沒有網絡安全的附加，機關/企業不敢用；二是SD-WAN不是一個產品事，是“成對”產品和一個管理中心的組合；再有就是SD-WAN不僅適合分支與中心的互聯，還適合“中心-中心”和“云際”間的互聯。