天融信科技集團高級副總裁  景鴻理 主旨演講 

我是天融信公司的鴻理，今天我講述的題目叫“網(wǎng)際互聯(lián)話安全”。講的是SD-WAN及密碼應用，SD-WAN就是現(xiàn)在所說的軟件定義廣域網(wǎng)。簡單做一下自我介紹，我叫景鴻理，是天融信科技集團的，曾經(jīng)在科研工作當中也取得過一些成績，獲得過國家的一些獎勵，同時在本職工作以外還兼任著一些社會的商業(yè)密碼類的相關工作，個人介紹就這么多。今天我要匯報的題目有三個：

一、網(wǎng)際互聯(lián)的現(xiàn)實需求;

二、SD-WAN之網(wǎng)絡安全和密碼應用;

三、安全的SD-WAN務實經(jīng)驗分享。

我們來看看這一頁有左邊和右邊，這一頁的左邊國務院包括交通部委等都發(fā)文，剛才各位領導也有說要加快互聯(lián)網(wǎng)的行動，要有行動綱要和指導意見、發(fā)展規(guī)劃等等，這里面都講到了網(wǎng)絡安全的建設。我們再看一下圖的右邊，交通行業(yè)的各個部門也發(fā)了很多的文件和精神，包括有網(wǎng)絡安全的規(guī)范、等保的規(guī)范、通用要求等等，都講的是安全。國家在推動網(wǎng)絡建設，我們自己也在注重安全，所以在政策驅(qū)動上一方面網(wǎng)絡要加強，同時安全要加強。

要加強這些網(wǎng)絡建設的情況下，現(xiàn)在有什么新的形勢出現(xiàn)了呢?

第一，聯(lián)網(wǎng)主體猛增;有政務中心、大數(shù)據(jù)中心、企業(yè)總部、各企業(yè)分支等，均有互聯(lián)的需求。

第二，云化;

第三，線路多方提供，線路方面有若干個運營商可以選擇，包括路網(wǎng)形式多樣化，有無線/有線，因特網(wǎng)等等。

第四，同時聯(lián)絡網(wǎng)絡的時候安全威脅加劇，政府的監(jiān)管也在提升，包括出了很多《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《等級保護》等等。在網(wǎng)絡互聯(lián)有這么多的要求，同時連接的形式又很多，這個時候呼喚相對便捷、安全的手段出來，我們定義為軟件定義廣域網(wǎng)，這個時候安全的軟件定義廣域網(wǎng)就出現(xiàn)了。

網(wǎng)絡定義廣域網(wǎng)是將一個“物理網(wǎng)絡”通過高層協(xié)議的再封裝，虛擬處“邏輯網(wǎng)絡”使之“軟件可定義”。軟件定義并不懸乎，只是在原來高層協(xié)議上再封裝，軟件定義廣域網(wǎng)的核心技術，一個是隧道技術、應用級路由、密碼技術、多種的增值服務，在增值服務當中就有它的安全功能了，軟件定義廣域網(wǎng)的特征就是將網(wǎng)絡的控制層面和實際傳輸層面分離開來，讓控制集中起來，使得網(wǎng)絡本身具有的能力對我們開放，對我們?nèi)烁兄�，很多好處被我們管理了以后，可以靈活的進行應用。原來的網(wǎng)絡碰見的線路好就是線路好，線路不好也沒有招，網(wǎng)絡定義了以后可以調(diào)的。

既然是一個軟件定義廣域網(wǎng)毫無疑問要有網(wǎng)絡接入設備，分支這邊有設備，我們叫CPE，中心端部有設備我們叫GW設備。可以單線接入，可以混合接入，豐儉由人選擇。

分支機構(gòu)既可以是4G的接入，也可以是無線、有線、立體接入，總而言之混合式的接入。

我們說零配置、分鐘級開局，廣域網(wǎng)的互聯(lián)在過去對工程師的要求比較高，要去配置、要掉線時間很長，現(xiàn)在如果是軟件定義廣域網(wǎng)設備的上線幾乎是零配置，分鐘級上線，無需IT人員到場，只需要到入就可以了。總部下發(fā)的配置文件，一直到最后導入入網(wǎng)就完成了。要知道過去這個事情可是要一個多月的時間。

完成的配置既可以組成心型的，也可以組成網(wǎng)型的，也可以組成樹型的，要知道一個網(wǎng)絡的拓撲設計當時規(guī)劃時就規(guī)劃好了，在工程實施過程中要實施成這樣很費勁，但是在軟件定義廣域網(wǎng)的就簡單了，配置文件下發(fā)了，導入就可以了，在SD-WAN下面導入就完成了安全的組網(wǎng)。

還有一個好處是視圖化管理，在軟件定義廣域網(wǎng)里面，除了分支有一個設備，中心有一個設備，還有一個管理中心。管理中心上面就能夠看到網(wǎng)絡目前的各種狀態(tài)，列入的狀態(tài)可以看，管理狀態(tài)可以看，同時上面有點有線，你的鼠標只要選到點和線上，就有更細致的東西彈出來，而且點進去以后有更多的表單，相當于整個網(wǎng)絡的能力都在你面前了，這是軟件定義廣域網(wǎng)的一些好處。

剛才我們說有四個核心的技術，現(xiàn)在我撿一個出來說，一個是基于應用的智能選路，應用及選路是四大核心技術之一。我們線路上會跑各種各樣的數(shù)據(jù)，中間動的我們認為是業(yè)務流量，同時線路上肯定還有威脅流量和垃圾流量，中間圖線路上有可能連的是專業(yè)網(wǎng)、5G網(wǎng)、因特網(wǎng)等，線路質(zhì)量是有各式各樣的，比方說有延遲、丟包率，有帶寬等。相對于傳統(tǒng)的路由選擇在第三層，軟件定義廣域網(wǎng)的路由選擇是支持應用級的。

第一，基于業(yè)務應用的識別，你看是哪種應用。

第二，基于鏈路質(zhì)量的感知，鏈路怎么樣，以及鏈路的程度，我可以智能給你選擇最優(yōu)路線。比如說我們指定業(yè)務系統(tǒng)走最小延遲的那條線，它就會走這一條線，有若干種選擇。當把業(yè)務和中間的線路質(zhì)量結(jié)合起來以后，就得到了最后這一張圖選擇路，線路里還有威脅流量，威脅流量我們趕緊阻斷，還有垃圾流量，限時限量讓它走一走。這是SD-WAN基于應用的智能選路，它為你提供了一種流暢的感覺。

剛才說完了軟件定義廣域網(wǎng)，我們再來看看網(wǎng)絡防護。先看左邊這個圖，有一個動圖走的東西是代表數(shù)據(jù)，數(shù)據(jù)從一條線路走過去了。這是建隧道，然后建完隧道以后把數(shù)據(jù)鏈路接通，這是一個基本的東西。因為它是一個廣域網(wǎng)絡，廣域網(wǎng)絡里面說的安全毫無疑問基礎設施要安全，要支持本身的安全，基礎設施要安全，運維要安全，運維要產(chǎn)生很多的數(shù)據(jù)，那些數(shù)據(jù)要加密。再就是網(wǎng)絡安全，網(wǎng)絡安全里面有兩大部分：

一大部分就是傳統(tǒng)的一些網(wǎng)絡功能，那些網(wǎng)絡安全功能叫做網(wǎng)絡訪問控制、網(wǎng)絡監(jiān)測這方面的功能是網(wǎng)絡安全的基本功能。同時，還要有隧道，隧道就是網(wǎng)絡這邊建立一個隧道，在網(wǎng)絡里面的隧道是個什么概念?就是在一個公用的網(wǎng)絡空間虛擬出來一個專用的通路，這個通道只能有你不能有別人。這個里面用到國家密碼管理局的密碼算法，整個安全防護就是這張圖，本身它有設施安全、運維安全以及網(wǎng)絡安全。網(wǎng)絡安全是在SD-WAN的附加值里面完成的，隧道是它本身建立完成的。

因為我今天要講的題目是SD-WAN和密碼應用，這里講的密碼可不是銀行口令卡上的密碼，也不是登陸的密碼，講的是密碼算法，密碼算法保證機密性、完整性等。SD-WAN的核心技術是“隧道”，隧道里面主要做的事情是傳輸加密。SD-WAN控制中心產(chǎn)生的各種各樣配置的數(shù)據(jù)要存儲加密，這些都要用到加密算法。人員接入到SD-WAN控制中心和網(wǎng)關，要做身份認證，身份認證也要用到密碼。用到密碼的應用至少有網(wǎng)絡傳輸、數(shù)據(jù)存儲、身份認證，同時使用了密碼也必須要符合《密碼法》，必須符合國密局的管理，必須符合若干國家標準。過去沒有《密碼法》叫做《商用密碼管理條例》，《商用密碼管理條例》只管商用密碼，《密碼法》和普商都有規(guī)定了，據(jù)說今年要發(fā)布一個新的管理條例。《密碼法》要求關鍵信息及系統(tǒng)應當使用商用密碼進行保護。《密碼法》還要求應當使用《網(wǎng)絡安全專用產(chǎn)品目錄》中的密碼產(chǎn)品。

同時，《密碼法》還要求應該委托第三方評估機構(gòu)，開展你的密碼應用的安全性評估。要采用SM2、SM3、SM4，這是算法的代號，沒有提SM1，因為SM1大量應用在黨政機關的公文流轉(zhuǎn)當中，我們講的是商用密碼。

最后講一下經(jīng)驗分享，SD-WAN的定位于多分支異地和總部相連的，用于多分支異地互聯(lián)的。如果沒有網(wǎng)絡安全的附加，你去跟別人說這個，別人都不敢上，因為它是通過互聯(lián)網(wǎng)。同時，SD-WAN的設備是成對的，因為要進隧道，這里說的是一對，有的時候是多對，但一定是一對，不是一個產(chǎn)品的事兒，它特別適合多分支機構(gòu)，以及新建及網(wǎng)絡擴展，對非IT企業(yè)非常的適合。不僅是能夠作為分支到中心的各種組網(wǎng)，還特別適應“數(shù)據(jù)中心和數(shù)據(jù)中心”直接互聯(lián)，以及云際互聯(lián)。隧道技術/認證技術用了國產(chǎn)密碼，在國產(chǎn)化密碼加持底下，落實了自主可控、安全可靠。

(新媒體責編：news)