如今，SD-WAN 作为一款适用性极强的数据通讯服务，已然走进千行百业。SD-WAN 为企业跨区域组建广域网带来极大的灵活性，可以随企业 IT 应用的需求快速地增减业务节点甚至带宽；同时，通过 NFV（Network Function Virtualization）技术，可以在 SD-WAN 网络中方便植入网络加速、网络监控等一系列增值功能。

然而，如果您是一名网络架构师或企业的 IT 信息化负责人，您是否想过，您使用的 SD-WAN 是安全的吗？现实的情况是，网络越复杂，其中的潜在的安全漏洞就越多，这也是为什么近年来越来越多的企业加大了对网络安全的投入。

既然网络安全如此重要，本期就和大家一起探讨 SD-WAN 的网络安全问题。将从用户、运营商和安全服务商三个维度进行阐述。

用户

许多中小企业，出于运营成本考虑，企业本身的 IT 力量通常比较薄弱，因此很容易“自然地”将网络安全部分外包出去，由网络服务供应商或安全服务供应商来完成。笔者在与这类中小企业交流的 SD-WAN 业务的过程中，是常会被问到类似问题：“如果我使用了 SD-WAN，SD-WAN 如何保障我们企业的网络安全？”这个问题反映了当下不少中小企业对于引入 SD-WAN 的担心，同时也折射出这些企业对网络安全认知方面的偏差。

事实上，企业对于自身的网络安全，负有直接责任。

1、权限管理

网络权限的分配是否合理？是否满足“最小权限原则”？

2、密码管理

对于机密数据，是否引入辅助安全套件（如 USB Key、数字证证书）？密码是否设计了强制定期更新的机制？

3、行为规范

企业内部是否制订了切实可行的网络安全规章制度？内部宣贯是否到位？

运营商

谈谈运营商在 SD-WAN 网络安全方面的责任界面和技术手段。在 SD-WAN 的服务架构中，运营商主要承担的是数据在广域网传输的环节，包括私网和公网。通常来讲，SD-WAN 运营商会通过以下几个方面来规避数据在 SD-WAN 传输中的信息安全风险。

1、传输通道

传输通道好比是网络通信的公路，如果公路的设计本身有安全缺陷，交通安全将无法得到保障。因此，传输通道的安全性是网络安全的重要前提。运营商通常会通过以下手段，来提升 SD-WAN 网络的安全性。

私网专线：在 SD-WAN 骨干引入传输专线，实现与公网间的物理隔离，以提升传输通道的安全性。

公网加密：对于 SD-WAN 骨干中的公网部分，使用加密技术（如较常用的 IPSec）对其作加密处理，以规避数据汇露。

2、数据隔离

网络通信的公路上同时跑着不同客户的数据，如何保证两个客户之间的数据无法互通，常用的做法有如下两种。

VRF（Virtual Routing Forwarding）：如果 SD-WAN 的骨干采用的是运营商的 MPLS VPN 网络，那么运营商会通过不同的虚拟路由表（VRF）来隔离不同客户的路由信息。打个比喻，让 A 客户的信使只知道 A 客户各个办公地点的地址，同理让 B 客户的信使只知道 B 客户各个办公地点的地址，两位信使送信时，就不会将信息外泄了。

隧道技术：隧道技术常常与加密技术结合使用，其目的是在底层基础网络（Underlay）之上建立一个逻辑网络（Overlay），通过对逻辑网络的精确设计，使得信息只能在预设的逻辑网络内流通。

3、互查机制

在 SD-WAN 业务开通或变更的过程中，或多或少地需要运营商的技术人员参与。以业务变更为例，运营商技术人员在配置操作过程中的一个疏忽，将有可能导致的客户信息的泄露。因此，操作互查机制可以在很大程度规避这类风险。

变更计划：运营商技术人员提前制订变更计划，并与部门内的同事/主管交叉审核。

配置验证：变更配置完成后，由部门内的同事/主管对配置结果进行验证。

安全服务商

长期以来，安全服务商提供的更多是网络安全相关的技术。近年来，NFV 技术的兴起，使得许多传统网络安全厂商的功能可以像安装软件一样被集成到 SD-WAN 中，例如以下几个方面。

1、入侵检测

对网络入侵事件进行记录，并向 IT 人员发出警告信息。

2、漏洞扫描

侦测网络中存在的风险和潜在漏洞，供 IT 人员作为查漏的依据。

3、防火墙

作为网络防御的一道屏障，保护企业内部网络。

4、安全策略

根据用户的需求，划分网络区域（例如 DMZ 区域、内网区域），并制定流量放行机制。

网络安全体系建设不仅仅是供应商的事，它是一项系统性的工程，需要用户、运营商和安全服务商等多方共同努力才有可能达成。