網(wǎng)際互聯(lián)話安全
——軟件定義廣域網(wǎng)及密碼應(yīng)用

天融信高級副總裁 景鴻理

網(wǎng)際互聯(lián)的現(xiàn)實(shí)需求

國務(wù)院及交通部為加快“互聯(lián)網(wǎng)+”建設(shè)，密集出臺有“行動綱要、指導(dǎo)意見、發(fā)展規(guī)劃”等，這些文件里面都講到了加快網(wǎng)絡(luò)建設(shè)。同時(shí)，交通行業(yè)的各個(gè)部門也制定了網(wǎng)絡(luò)安全相關(guān)的規(guī)范、要求、指南?？梢钥闯觯W(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)安全并重。

網(wǎng)絡(luò)建設(shè)要加強(qiáng)，同時(shí)網(wǎng)絡(luò)安全也要加強(qiáng)，現(xiàn)在的網(wǎng)際互聯(lián)有什么新的形勢出現(xiàn)呢？第一，聯(lián)網(wǎng)主體猛增；政務(wù)中心、大數(shù)據(jù)中心、企業(yè)總部、各企業(yè)分支等，均有互聯(lián)的需求；第二，云化；第三，線路多方提供，有多家運(yùn)營商可供選擇，入網(wǎng)形式也多樣化，無線/有線，4G/專網(wǎng)等；第四，網(wǎng)絡(luò)安全威脅加劇，政府的監(jiān)管力度也在提升。在網(wǎng)際互聯(lián)有這么多的需求和要求，入網(wǎng)及組網(wǎng)的形式又多樣化的情形下，相對更便捷、且安全的手段“軟件定義廣域網(wǎng)SD-WAN”應(yīng)運(yùn)而生。

SD-WAN 之網(wǎng)絡(luò)安全和密碼應(yīng)用

軟件定義廣域網(wǎng)的基本原理，就是將一個(gè)“物理網(wǎng)絡(luò)”通過高層協(xié)議的再封裝，虛擬出“邏輯網(wǎng)絡(luò)”使之“軟件可定義”。軟件定義并不懸乎，只是在原來的底層協(xié)議上再封裝一個(gè)上層協(xié)議。SD-WAN的核心技術(shù)包括：隧道技術(shù)、應(yīng)用級路由、密碼技術(shù)、多種增值服務(wù)，在增值服務(wù)當(dāng)中包括有網(wǎng)絡(luò)安全功能。軟件定義廣域網(wǎng)的特征，就是將網(wǎng)絡(luò)的控制層面和實(shí)際傳輸層面分離開來，將控制能力集中起來，使得網(wǎng)絡(luò)本身具有的能力對我們開放，為我們感知。很多特性被我們感知管理了以后，就可以靈活地進(jìn)行應(yīng)用。原來的網(wǎng)絡(luò)碰到好的線路就是好的網(wǎng)絡(luò)體驗(yàn)；碰到不好的線路你也沒招，軟件定義了以后就可以選擇了。

既然是一個(gè)廣域網(wǎng)，毫無疑問要有網(wǎng)絡(luò)接入設(shè)備，分支這邊的設(shè)備稱作CPE，中心端部的設(shè)備稱作GW。入網(wǎng)可以單線接入，也可以混合接入，可以是4G無線接入也可以是以太有線接入，其選擇“豐儉由人”。

網(wǎng)絡(luò)組網(wǎng)配置是個(gè)較為復(fù)雜的技術(shù)活，而SDWAN情況下我們則說是零配置、分鐘級開局。廣域網(wǎng)下的分支互聯(lián)對工程師的要求比較高，要去現(xiàn)場配置，調(diào)線時(shí)間也較長，如果是軟件定義廣域網(wǎng)，分支CPE設(shè)備的上線幾乎是零配置，分鐘級上線開局，無需專業(yè)IT人員到場，只需要導(dǎo)入配置文件，入網(wǎng)組網(wǎng)就完成了，過去這個(gè)事情可是要一個(gè)多月的時(shí)間。完成的組網(wǎng)結(jié)構(gòu)既可以是星型的，也可以是樹形、或者網(wǎng)型的。要知道一個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是規(guī)劃時(shí)就設(shè)計(jì)好了的，在工程實(shí)施過程中，要實(shí)施成規(guī)劃的拓?fù)浣Y(jié)構(gòu)是需要專業(yè)IT工程師到場的。但在軟件定義廣域網(wǎng)下就簡單了，配置文件下發(fā)，導(dǎo)入配置文件到CPE設(shè)備就完成了設(shè)定中的安全和組網(wǎng)。

SD-WAN還有一個(gè)好處是視圖化管理。在軟件定義廣域網(wǎng)里面，除了分支有一個(gè)CPE設(shè)備，總部中心有一個(gè)GW設(shè)備，還有一個(gè)管理中心，管理中心上面就能夠看到網(wǎng)絡(luò)各節(jié)點(diǎn)目前的各種狀態(tài)。同時(shí)管理界面上顯示的“點(diǎn)”和“線”，你的鼠標(biāo)只要懸停到點(diǎn)和線上，就有更細(xì)致的信息彈出來，還可以點(diǎn)擊進(jìn)去，看到更多的表單，相當(dāng)于整個(gè)網(wǎng)絡(luò)的狀態(tài)和能力都在你面前，這是軟件定義廣域網(wǎng)的一些特點(diǎn)。

上文提到有四個(gè)核心的技術(shù)，現(xiàn)在撿一個(gè)出來說說，就是基于應(yīng)用的智能選路，應(yīng)用級選路是四大核心技術(shù)之一。我們線路上會跑著各種各樣的數(shù)據(jù)，PPT左側(cè)中間的動圖是業(yè)務(wù)流量，同時(shí)線路上肯定還有威脅流量和垃圾流量。PPT中間的圖是網(wǎng)絡(luò)線路圖，線路有專線、5G、因特網(wǎng)等多種可能，線路質(zhì)量各有不同，可以看到有延遲、丟包率，有帶寬等。相對于傳統(tǒng)的第三層路由選擇，軟件定義廣域網(wǎng)的路由選擇是支持應(yīng)用級選路的。第一，基于業(yè)務(wù)應(yīng)用的識別，看你是哪種應(yīng)用；第二，基于鏈路質(zhì)量的感知，鏈路延遲怎么樣，鏈路的丟包程度，以及帶寬等，CPE可以智能給你選擇最優(yōu)路線。比如說我們指定某業(yè)務(wù)走最小延遲、帶寬足夠的那條線，它就會走那條線路，獲得最佳的網(wǎng)絡(luò)體驗(yàn)。

再來看看安全防護(hù)，在開放式互聯(lián)網(wǎng)環(huán)境下，要想安全保密的傳輸數(shù)據(jù)，一個(gè)有效的手段就是“建隧道”。通過隧道傳輸數(shù)據(jù)，以達(dá)到安全保密的目的。同時(shí)廣域網(wǎng)絡(luò)里面所說的安全，毫無疑問地包括基礎(chǔ)設(shè)施本身要安全，以及操作系統(tǒng)要安全等；運(yùn)維要安全，運(yùn)維人員的身份要認(rèn)證，所產(chǎn)生的數(shù)據(jù)要加密存儲；再就是網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全從兩個(gè)方面看：一方面就是廣泛使用的一些網(wǎng)絡(luò)安全功能，如網(wǎng)絡(luò)訪問控制、入侵檢測防御等，同時(shí)，還要有密碼技術(shù)，如簽名認(rèn)證、加密隧道等。這里的“隧道”前面說過，就是在一個(gè)公用的網(wǎng)絡(luò)空間，用密碼技術(shù)虛擬出來一個(gè)專用的通路，這個(gè)通道里只有你，別人用不了看不見。網(wǎng)絡(luò)安全功能是在SD-WAN的增值服務(wù)里面完成的，隧道是它本身建立完成的。

說到密碼應(yīng)用，SD-WAN的核心技術(shù)之一是“加密隧道”，完成數(shù)據(jù)傳輸加密；控制中心產(chǎn)生的各種配置文件，要實(shí)施存儲加密；人員接入到SD-WAN控制中心和網(wǎng)關(guān)，要做數(shù)字身份認(rèn)證；這些都要用到密碼算法。即：至少有傳輸加密、存儲加密、身份認(rèn)證，要應(yīng)用到密碼。

借此機(jī)會也簡單地宣傳下《密碼法》。我國原頒發(fā)有《商用密碼管理?xiàng)l例》，現(xiàn)已頒發(fā)了《密碼法》，《密碼法》對“核/普/商”都進(jìn)行了明確的法律規(guī)定。《密碼法》要求，關(guān)鍵信息及系統(tǒng)應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，應(yīng)當(dāng)使用《網(wǎng)絡(luò)安全專用產(chǎn)品目錄》中的密碼產(chǎn)品，應(yīng)自行或者委托第三方評估機(jī)構(gòu)開展密碼應(yīng)用安全性評估。使用商用密碼要采用SM2、SM3、SM4等國家主管部門批準(zhǔn)的商用密碼算法。

再回到主題談點(diǎn)SD-WAN的工程經(jīng)驗(yàn)。一是SD-WAN定位于多分支異地互聯(lián)，沒有網(wǎng)絡(luò)安全的附加，機(jī)關(guān)/企業(yè)不敢用；二是SD-WAN不是一個(gè)產(chǎn)品事，是“成對”產(chǎn)品和一個(gè)管理中心的組合；再有就是SD-WAN不僅適合分支與中心的互聯(lián)，還適合“中心-中心”和“云際”間的互聯(lián)。