SD-WAN：回归安全的本心

也许，2006年，在斯坦福研究Clean Slate项目的Nick教授并没有想到，在他们团队提出OpenFlow的概念之后的这十几年后， 会引起互联网络发生如此巨大的改变，也不会想到，在这13年后的2019年，历史的车轮又不忘初心地回到了其正确的轨道上。

一、当WAN遇见SDN

2006年，SDN 技术还不叫这个名字，这个概念只是存在于斯坦福大学的Clean Slate研究项目中，但是在其陆续发表的论文中，都逐渐有了SDN技术架构的雏形。2009年，SDN入选麻省理工科技评论的 “未来十大突破性技术”，这个时候才有了真正意义上的DC（Domain Controller）和Openflow1.0。但是，直到2011年开放网络基金会ONF的诞生，SDN才向产业界宣布了自己的名字: 软件定义网络（Software Defined Networking）以及标准的概念定义。 但是，SDN技术最初的应用场景，并没有按照设计的使用在企业网络，而是因为其云原生（Cloud-Native）的技术特点，被应用在数据中心内的云网络架构（称之为DCN）以及数据中心间的广域网架构（称之为DCI）中。同时，随着Google在2012年发布的SIGCOMM论文，产业界才逐渐认可并接受了SDN应用于广域网的可行性和有效性，但这个时候，被应用的场景叫做SD-DCN和SD-DCI。

2014年，一家前身为投资公司的ONUG（Open Network User Group）咨询企业，在与其企业用户展开对未来企业网络需求的研讨会上，提出了若干个SDN技术的应用场景，由此SDN与企业WAN网络真正相遇了，这才有了SD-WAN的新组合。同期在networkcomputing.com发表的一篇文章“Software-Defined WAN: A Primer”，将这个名字引入了大众的视野。无需详述，大家也会明白WAN与SDN的结合是必然的， 但是产业界对于SD-WAN到底是什么，到底能做什么，对于企业网络的进化能起到什么样的作用，并没有一致的认识，甚至在很长一段时间里，连SD-WAN的定义都没有。

但是，创业公司和投资圈看到了网络界这十几年来难得的新机会，美国的3家创业公司Velocloud、Viptela以及Versa成为了创业公司中的领军者，虽然前两家先后被Vmware以及Cisco收购，但是其对企业网络市场的影响和推动SD-WAN在企业网络中的落地起到了非常重要的作用。正是因为这几次的并购，除了真正以SDN技术为基础的创业公司发展迅速以外，很多老牌的网络优化公司、网络运营公司也都纷纷加入SD-WAN的阵营，一时间在网必谈SD-WAN，给客户推荐方案也必提SD-WAN，作为与网络相关的设备厂家和网络运营者们，如果说自己不能提供SD-WAN的产品或服务，都不好意思跟同行打招呼。

百花齐放的结果是，到了2018年，企业客户，尤其是有较多分支机构或者IT系统上云需求的企业客户，成为了SD-WAN在中国落地的先行者（虽然最开始引入其应用的，多是外企在中国的分支和办事机构）。据Gartner预测，到2019年底将有30％的企业在其分支机构中部署SD-WAN，5年内出现规模商用。同时，各门各派的SD-WAN解决方案也逐步趋于一致，为企业客户提供其分支机构与总部、与数据中心以及与云平台之间的灵活、高效、智能的企业内部虚拟组网服务。而SD-WAN相对于传统企业网络的主要提升的功能，则集中在降本增效的多个方面：

• 可以支持企业网络、数据中心、云等环境的动态实时的连接建立，支持ZTP零配置部署的业务上线，包括高效、安全、可靠地开通到公有云的云服务，缩短TTM的时间，提升业务的实现效率；
• 可以支持网络应用的深度识别和智能调度，能够基于应用进行智能的选路和路径优化，保障关键业务的SLA服务质量，同时可以支持带宽、质量等业务可定义的自助服务；
• 可以支持多种企业网络出口，包括专线、互联网、4G/LTE等，从上帝视角对网络资源进行虚拟化抽象，以网络云化为基础进行多种网络资源的管理和调度，提升网络的整体利用效率，降低网络建设和扩容的成本；
• 可以提供可视化的集中控制的服务界面，可以像申请云资源一样方便地申请网络连接资源，管理网络连接状态和监测业务质量，降低原有分布式运维的复杂度，提升运维效率；
• 可以支持网络端到端的全局视图，将网络服务纳入到Devops的持续运营体系，从持续集成测试、持续交付直到持续运营，将资深网络工程师、研发工程师的经验转化为自动化的新业务发布和运维服务一体化流程，提升网络整体的智能性。

二、当SD-WAN遇见网络安全

当SD-WAN的新技术理念和网络架构引入企业网络时，另一件同等重要的事项涌入CIO或者CTO的脑海。虽然网络的智能性提升了，网络对业务的支持能力更加灵活，但是随着企业的大型化和连锁化，SD-WAN让企业的内网不断延伸，让企业网络的边界变得模糊，随之而来的安全问题不容忽视。

据Cybersecurity Insider机构最新发布的“2018年企业网络内部威胁报告”，90%的企业认为自己容易受到内部攻击，53%的企业确认在2018年曾受到过5次以内的内部攻击，而27%的企业甚至更加频繁地受到内部攻击。而企业网络内部容易受到攻击的主要原因包括，拥有过度访问权的用户太多（37%），访问敏感数据的设备数量过多（36%），以及网络和IT连接越来越复杂（35%）。随着近年来勒索软件的数量以及攻击频率的不断增加，预计2019年仅勒索事件造成的损失成本将高达115 亿美元。

回到SDN技术提出之初，Nick教授的学生的最初期的SANE项目的核心思想，就是在企业网络的架构中融入安全原生的思想，希望提出一种Security Architecture of Networked Enterprise， 从根源上解决网络与安全的协同发展的问题。 但是， 当SD-WAN与网络安全真正在企业网络广场相遇时，会产生什么样的化学反应？

首先，SD-WAN作为IT基础设施的网络架构，需要从自身安全及网络安全两个方面考虑。一方面SD-WAN的核心组成部分：SDN控制平台和各种软硬件的CPE网关设备，本身就需要进行安全加固，包括操作系统安全、防漏扫及防暴力破解、防DDoS/CC攻击等；另一方面，SD-WAN的控制平面就好像人的神经中枢，必须要保证神经中枢的安全，不会被恶意的攻击或者病毒的侵害。只有SD-WAN本身的安全防护做好，才能说基于SD-WAN的网络基础架构才具备安全性。

其次，在SD-WAN的技术架构基础上， 可以为企业网络的能力添砖加瓦。基于SDN的集中安全策略控制，在企业网络边界的各个网关设备都保持一致的安全管控策略，包括基于终端的认证、用户的认证、基于业务的访问控制等，让网络的边界没有安全短板。同时，经过SD-WAN网关设备的恶意访问、恶意流量可以在第一时间得以发现和处置，减少安全的攻击面和恶意软件的影响，将危害控制在尽量小的范围内。将SDN集中安全策略控制与NFV的安全功能虚拟化技术结合，还可以支持按需的安全功能部署，当边缘分支机构的网关设备无法及时处理疑似恶意访问或者恶意流量时，可以将网络流量引导到集中的安全资源池中进行统一处置，让企业网络全境范围内的安全功能水平达到相同水平。对于企业客户而言，其可感知的将是SD-WAN网络端到端的安全防护能力，以及按需可定制的安全功能，进一步的简化其运维复杂度，并提升网络支持核心业务的能力。

由此，可以说，当安全SD-WAN出现在企业IT基础设施中时，企业网络一定不会再是网络设备与安全设备堆叠起来的错综复杂的各种策略，相反，则是更加简单、高效、快捷和智能的组网安全的一体化部署和运维，真正将SD-WAN的优势发挥到极致！

三、当安全SD-WAN遇见360企业安全

2019年，SD-WAN的行业圈里出现了一个新的身影，360企业安全集团正式发布了360天境安全SD-WAN产品和解决方案。正是因为秉承着“让网络更安全，让世界更美好”的企业使命，当SD-WAN与安全必然相遇的时候，360企业安全集团非常自然的站在了领跑的阵营中。

安全SD-WAN解决方案将回到安全的本质，也就是将安全能力与信息化系统同步规划、建设，实现安全与网络和信息化的全面覆盖和深度结合，这也是360企业安全集团一直主张的“关口前移“的思想。传统企业网络正处在一场大型代际更迭之中，SD-WAN是其中一个重要的技术驱动力，而网络安全也将成为另一个重要的推动者。在360企业安全的网关安全、终端安全、网站安全、云安全、无线安全、大数据安全等安全全线产品和解决方案的家族中，增加安全SD-WAN产品作为企业网络安全解决方案中的重要一环是必然的选择。

360天境安全SD-WAN在技术架构上纳入了SD-SEC（软件定义安全）、SDP（软件定义边界）等SDN技术框架下的多种新型技术，从基础架构、被动防御两个层面进行了安全能力的增强。同时，借助“数据驱动安全”的理念，与威胁情报、态势感知等高位安全能力联动，助力于主动防御的解决方案，真正做到“端-网-云“一体的端到端的安全防护。虽然是新产品形态，但是安全SD-WAN是架构在360企业安全集团的核心技术优势：鲲鹏网络操作系统平台（以下简称鲲鹏平台）之上的。鲲鹏平台以其高性能、高稳定性的特点已经在企业客户的网络中运行了十余年，是360企业安全集团网关类产品公共的安全操作系统。鲲鹏平台集成了基本的二层交换、静态路由、动态路由、策略路由等网络技术，并支持了链路探测、QoS保障、运营级NAT等SD-WAN必需的核心技术。

现阶段，360天境安全SD-WAN不仅具备了SD-WAN的能力优势（包括采用PrivateEX增强隔离技术为企业客户按需组建虚拟化企业网络，支持hub-spoke/partial mesh/full mesh等全模式组网场景；支持专线网络、Internet、4G/5G等多种网络资源的负载分担或主备，支持基于业务识别的SLA保障、流量智能调度、故障快速恢复等网络优化能力），同时，在网络基础架构中支持终端认证、用户认证、访问控制、安全审计等基础安全功能，以及针对企业网络的入侵防御、病毒防护、威胁情报等高级安全功能。更重要的是，通过安全网络管控平台，360天境可以实现自动化的远程控制，便捷、高效、智能地完成网络编排、安全编排、业务管理、安全能力按需部署等一体化的组网安全能力。

回顾2006年，Nick教授团队提出的SANE模型的思想，可以说，走到今天的安全SD-WAN才是回归了科技创新人员的本心，将网络架构的进化与安全基因结合起来，未来的SD-WAN一定是 Security-Defined Wide Area Network。

作者： 360企业安全集团智能安全网络事业部总经理  王茜