网际互联话安全
——软件定义广域网及密码应用

天融信高级副总裁 景鸿理

网际互联的现实需求

国务院及交通部为加快“互联网+”建设，密集出台有“行动纲要、指导意见、发展规划”等，这些文件里面都讲到了加快网络建设。同时，交通行业的各个部门也制定了网络安全相关的规范、要求、指南。可以看出，网络建设与网络安全并重。

网络建设要加强，同时网络安全也要加强，现在的网际互联有什么新的形势出现呢？第一，联网主体猛增；政务中心、大数据中心、企业总部、各企业分支等，均有互联的需求；第二，云化；第三，线路多方提供，有多家运营商可供选择，入网形式也多样化，无线/有线，4G/专网等；第四，网络安全威胁加剧，政府的监管力度也在提升。在网际互联有这么多的需求和要求，入网及组网的形式又多样化的情形下，相对更便捷、且安全的手段“软件定义广域网SD-WAN”应运而生。

SD-WAN 之网络安全和密码应用

软件定义广域网的基本原理，就是将一个“物理网络”通过高层协议的再封装，虚拟出“逻辑网络”使之“软件可定义”。软件定义并不悬乎，只是在原来的底层协议上再封装一个上层协议。SD-WAN的核心技术包括：隧道技术、应用级路由、密码技术、多种增值服务，在增值服务当中包括有网络安全功能。软件定义广域网的特征，就是将网络的控制层面和实际传输层面分离开来，将控制能力集中起来，使得网络本身具有的能力对我们开放，为我们感知。很多特性被我们感知管理了以后，就可以灵活地进行应用。原来的网络碰到好的线路就是好的网络体验；碰到不好的线路你也没招，软件定义了以后就可以选择了。

既然是一个广域网，毫无疑问要有网络接入设备，分支这边的设备称作CPE，中心端部的设备称作GW。入网可以单线接入，也可以混合接入，可以是4G无线接入也可以是以太有线接入，其选择“丰俭由人”。

网络组网配置是个较为复杂的技术活，而SDWAN情况下我们则说是零配置、分钟级开局。广域网下的分支互联对工程师的要求比较高，要去现场配置，调线时间也较长，如果是软件定义广域网，分支CPE设备的上线几乎是零配置，分钟级上线开局，无需专业IT人员到场，只需要导入配置文件，入网组网就完成了，过去这个事情可是要一个多月的时间。完成的组网结构既可以是星型的，也可以是树形、或者网型的。要知道一个网络的拓扑结构是规划时就设计好了的，在工程实施过程中，要实施成规划的拓扑结构是需要专业IT工程师到场的。但在软件定义广域网下就简单了，配置文件下发，导入配置文件到CPE设备就完成了设定中的安全和组网。

SD-WAN还有一个好处是视图化管理。在软件定义广域网里面，除了分支有一个CPE设备，总部中心有一个GW设备，还有一个管理中心，管理中心上面就能够看到网络各节点目前的各种状态。同时管理界面上显示的“点”和“线”，你的鼠标只要悬停到点和线上，就有更细致的信息弹出来，还可以点击进去，看到更多的表单，相当于整个网络的状态和能力都在你面前，这是软件定义广域网的一些特点。

上文提到有四个核心的技术，现在捡一个出来说说，就是基于应用的智能选路，应用级选路是四大核心技术之一。我们线路上会跑着各种各样的数据，PPT左侧中间的动图是业务流量，同时线路上肯定还有威胁流量和垃圾流量。PPT中间的图是网络线路图，线路有专线、5G、因特网等多种可能，线路质量各有不同，可以看到有延迟、丢包率，有带宽等。相对于传统的第三层路由选择，软件定义广域网的路由选择是支持应用级选路的。第一，基于业务应用的识别，看你是哪种应用；第二，基于链路质量的感知，链路延迟怎么样，链路的丢包程度，以及带宽等，CPE可以智能给你选择最优路线。比如说我们指定某业务走最小延迟、带宽足够的那条线，它就会走那条线路，获得最佳的网络体验。

再来看看安全防护，在开放式互联网环境下，要想安全保密的传输数据，一个有效的手段就是“建隧道”。通过隧道传输数据，以达到安全保密的目的。同时广域网络里面所说的安全，毫无疑问地包括基础设施本身要安全，以及操作系统要安全等；运维要安全，运维人员的身份要认证，所产生的数据要加密存储；再就是网络安全，网络安全从两个方面看：一方面就是广泛使用的一些网络安全功能，如网络访问控制、入侵检测防御等，同时，还要有密码技术，如签名认证、加密隧道等。这里的“隧道”前面说过，就是在一个公用的网络空间，用密码技术虚拟出来一个专用的通路，这个通道里只有你，别人用不了看不见。网络安全功能是在SD-WAN的增值服务里面完成的，隧道是它本身建立完成的。

说到密码应用，SD-WAN的核心技术之一是“加密隧道”，完成数据传输加密；控制中心产生的各种配置文件，要实施存储加密；人员接入到SD-WAN控制中心和网关，要做数字身份认证；这些都要用到密码算法。即：至少有传输加密、存储加密、身份认证，要应用到密码。

借此机会也简单地宣传下《密码法》。我国原颁发有《商用密码管理条例》，现已颁发了《密码法》，《密码法》对“核/普/商”都进行了明确的法律规定。《密码法》要求，关键信息及系统应当使用商用密码进行保护，应当使用《网络安全专用产品目录》中的密码产品，应自行或者委托第三方评估机构开展密码应用安全性评估。使用商用密码要采用SM2、SM3、SM4等国家主管部门批准的商用密码算法。

再回到主题谈点SD-WAN的工程经验。一是SD-WAN定位于多分支异地互联，没有网络安全的附加，机关/企业不敢用；二是SD-WAN不是一个产品事，是“成对”产品和一个管理中心的组合；再有就是SD-WAN不仅适合分支与中心的互联，还适合“中心-中心”和“云际”间的互联。