天融信科技集團高級副總裁 景鴻理 主旨演講
我是天融信公司的鴻理,今天我講述的題目叫“網(wǎng)際互聯(lián)話安全”�。講的是SD-WAN及密碼應用,SD-WAN就是現(xiàn)在所說的軟件定義廣域網(wǎng)�。簡單做一下自我介紹,我叫景鴻理,是天融信科技集團的����,曾經(jīng)在科研工作當中也取得過一些成績,獲得過國家的一些獎勵�����,同時在本職工作以外還兼任著一些社會的商業(yè)密碼類的相關(guān)工作���,個人介紹就這么多����。今天我要匯報的題目有三個:
一�、網(wǎng)際互聯(lián)的現(xiàn)實需求;
二、SD-WAN之網(wǎng)絡(luò)安全和密碼應用;
三���、安全的SD-WAN務實經(jīng)驗分享��。
我們來看看這一頁有左邊和右邊����,這一頁的左邊國務院包括交通部委等都發(fā)文�����,剛才各位領(lǐng)導也有說要加快互聯(lián)網(wǎng)的行動,要有行動綱要和指導意見����、發(fā)展規(guī)劃等等,這里面都講到了網(wǎng)絡(luò)安全的建設(shè)����。我們再看一下圖的右邊�,交通行業(yè)的各個部門也發(fā)了很多的文件和精神,包括有網(wǎng)絡(luò)安全的規(guī)范�����、等保的規(guī)范��、通用要求等等����,都講的是安全。國家在推動網(wǎng)絡(luò)建設(shè)���,我們自己也在注重安全�,所以在政策驅(qū)動上一方面網(wǎng)絡(luò)要加強,同時安全要加強����。
要加強這些網(wǎng)絡(luò)建設(shè)的情況下,現(xiàn)在有什么新的形勢出現(xiàn)了呢?
第一���,聯(lián)網(wǎng)主體猛增;有政務中心���、大數(shù)據(jù)中心、企業(yè)總部�����、各企業(yè)分支等���,均有互聯(lián)的需求���。
第二,云化;
第三��,線路多方提供�����,線路方面有若干個運營商可以選擇,包括路網(wǎng)形式多樣化����,有無線/有線,因特網(wǎng)等等�。
第四,同時聯(lián)絡(luò)網(wǎng)絡(luò)的時候安全威脅加劇����,政府的監(jiān)管也在提升,包括出了很多《網(wǎng)絡(luò)安全法》�、《數(shù)據(jù)安全法》、《等級保護》等等����。在網(wǎng)絡(luò)互聯(lián)有這么多的要求���,同時連接的形式又很多����,這個時候呼喚相對便捷���、安全的手段出來���,我們定義為軟件定義廣域網(wǎng)�����,這個時候安全的軟件定義廣域網(wǎng)就出現(xiàn)了��。
網(wǎng)絡(luò)定義廣域網(wǎng)是將一個“物理網(wǎng)絡(luò)”通過高層協(xié)議的再封裝���,虛擬處“邏輯網(wǎng)絡(luò)”使之“軟件可定義”。軟件定義并不懸乎�,只是在原來高層協(xié)議上再封裝,軟件定義廣域網(wǎng)的核心技術(shù)��,一個是隧道技術(shù)�、應用級路由、密碼技術(shù)���、多種的增值服務�����,在增值服務當中就有它的安全功能了�,軟件定義廣域網(wǎng)的特征就是將網(wǎng)絡(luò)的控制層面和實際傳輸層面分離開來��,讓控制集中起來,使得網(wǎng)絡(luò)本身具有的能力對我們開放���,對我們?nèi)烁兄�,很多好處被我們管理了以后�����,可以靈活的進行應用�����。原來的網(wǎng)絡(luò)碰見的線路好就是線路好���,線路不好也沒有招�,網(wǎng)絡(luò)定義了以后可以調(diào)的��。
既然是一個軟件定義廣域網(wǎng)毫無疑問要有網(wǎng)絡(luò)接入設(shè)備����,分支這邊有設(shè)備�,我們叫CPE,中心端部有設(shè)備我們叫GW設(shè)備��������?梢詥尉接入����,可以混合接入,豐儉由人選擇���。
分支機構(gòu)既可以是4G的接入����,也可以是無線�、有線、立體接入��,總而言之混合式的接入�。
我們說零配置、分鐘級開局��,廣域網(wǎng)的互聯(lián)在過去對工程師的要求比較高�,要去配置、要掉線時間很長,現(xiàn)在如果是軟件定義廣域網(wǎng)設(shè)備的上線幾乎是零配置���,分鐘級上線���,無需IT人員到場,只需要到入就可以了����?偛肯掳l(fā)的配置文件����,一直到最后導入入網(wǎng)就完成了。要知道過去這個事情可是要一個多月的時間����。
完成的配置既可以組成心型的,也可以組成網(wǎng)型的�����,也可以組成樹型的����,要知道一個網(wǎng)絡(luò)的拓撲設(shè)計當時規(guī)劃時就規(guī)劃好了��,在工程實施過程中要實施成這樣很費勁,但是在軟件定義廣域網(wǎng)的就簡單了�����,配置文件下發(fā)了���,導入就可以了�����,在SD-WAN下面導入就完成了安全的組網(wǎng)����。
還有一個好處是視圖化管理���,在軟件定義廣域網(wǎng)里面�����,除了分支有一個設(shè)備��,中心有一個設(shè)備����,還有一個管理中心。管理中心上面就能夠看到網(wǎng)絡(luò)目前的各種狀態(tài)��,列入的狀態(tài)可以看�����,管理狀態(tài)可以看�,同時上面有點有線,你的鼠標只要選到點和線上����,就有更細致的東西彈出來,而且點進去以后有更多的表單����,相當于整個網(wǎng)絡(luò)的能力都在你面前了,這是軟件定義廣域網(wǎng)的一些好處���。
剛才我們說有四個核心的技術(shù)�����,現(xiàn)在我撿一個出來說����,一個是基于應用的智能選路�,應用及選路是四大核心技術(shù)之一。我們線路上會跑各種各樣的數(shù)據(jù)����,中間動的我們認為是業(yè)務流量,同時線路上肯定還有威脅流量和垃圾流量�����,中間圖線路上有可能連的是專業(yè)網(wǎng)�����、5G網(wǎng)���、因特網(wǎng)等�,線路質(zhì)量是有各式各樣的���,比方說有延遲��、丟包率��,有帶寬等�����。相對于傳統(tǒng)的路由選擇在第三層���,軟件定義廣域網(wǎng)的路由選擇是支持應用級的�����。
第一�,基于業(yè)務應用的識別�����,你看是哪種應用�����。
第二�,基于鏈路質(zhì)量的感知,鏈路怎么樣��,以及鏈路的程度�,我可以智能給你選擇最優(yōu)路線�����。比如說我們指定業(yè)務系統(tǒng)走最小延遲的那條線�,它就會走這一條線��,有若干種選擇���。當把業(yè)務和中間的線路質(zhì)量結(jié)合起來以后,就得到了最后這一張圖選擇路����,線路里還有威脅流量,威脅流量我們趕緊阻斷��,還有垃圾流量�����,限時限量讓它走一走�。這是SD-WAN基于應用的智能選路,它為你提供了一種流暢的感覺�����。
剛才說完了軟件定義廣域網(wǎng),我們再來看看網(wǎng)絡(luò)防護����。先看左邊這個圖,有一個動圖走的東西是代表數(shù)據(jù)�,數(shù)據(jù)從一條線路走過去了。這是建隧道����,然后建完隧道以后把數(shù)據(jù)鏈路接通,這是一個基本的東西�。因為它是一個廣域網(wǎng)絡(luò),廣域網(wǎng)絡(luò)里面說的安全毫無疑問基礎(chǔ)設(shè)施要安全�����,要支持本身的安全��,基礎(chǔ)設(shè)施要安全���,運維要安全�,運維要產(chǎn)生很多的數(shù)據(jù)�����,那些數(shù)據(jù)要加密。再就是網(wǎng)絡(luò)安全����,網(wǎng)絡(luò)安全里面有兩大部分:
一大部分就是傳統(tǒng)的一些網(wǎng)絡(luò)功能,那些網(wǎng)絡(luò)安全功能叫做網(wǎng)絡(luò)訪問控制����、網(wǎng)絡(luò)監(jiān)測這方面的功能是網(wǎng)絡(luò)安全的基本功能。同時����,還要有隧道��,隧道就是網(wǎng)絡(luò)這邊建立一個隧道�����,在網(wǎng)絡(luò)里面的隧道是個什么概念?就是在一個公用的網(wǎng)絡(luò)空間虛擬出來一個專用的通路���,這個通道只能有你不能有別人��。這個里面用到國家密碼管理局的密碼算法����,整個安全防護就是這張圖,本身它有設(shè)施安全��、運維安全以及網(wǎng)絡(luò)安全��。網(wǎng)絡(luò)安全是在SD-WAN的附加值里面完成的�,隧道是它本身建立完成的。
因為我今天要講的題目是SD-WAN和密碼應用����,這里講的密碼可不是銀行口令卡上的密碼,也不是登陸的密碼��,講的是密碼算法�,密碼算法保證機密性、完整性等�。SD-WAN的核心技術(shù)是“隧道”,隧道里面主要做的事情是傳輸加密��。SD-WAN控制中心產(chǎn)生的各種各樣配置的數(shù)據(jù)要存儲加密�����,這些都要用到加密算法���。人員接入到SD-WAN控制中心和網(wǎng)關(guān)�����,要做身份認證�,身份認證也要用到密碼。用到密碼的應用至少有網(wǎng)絡(luò)傳輸�、數(shù)據(jù)存儲、身份認證��,同時使用了密碼也必須要符合《密碼法》����,必須符合國密局的管理,必須符合若干國家標準�����。過去沒有《密碼法》叫做《商用密碼管理條例》�����,《商用密碼管理條例》只管商用密碼�,《密碼法》和普商都有規(guī)定了����,據(jù)說今年要發(fā)布一個新的管理條例��!睹艽a法》要求關(guān)鍵信息及系統(tǒng)應當使用商用密碼進行保護���!睹艽a法》還要求應當使用《網(wǎng)絡(luò)安全專用產(chǎn)品目錄》中的密碼產(chǎn)品��。
同時�����,《密碼法》還要求應該委托第三方評估機構(gòu)�,開展你的密碼應用的安全性評估�����。要采用SM2����、SM3、SM4�,這是算法的代號,沒有提SM1�,因為SM1大量應用在黨政機關(guān)的公文流轉(zhuǎn)當中�����,我們講的是商用密碼����。
最后講一下經(jīng)驗分享��,SD-WAN的定位于多分支異地和總部相連的����,用于多分支異地互聯(lián)的。如果沒有網(wǎng)絡(luò)安全的附加���,你去跟別人說這個����,別人都不敢上�����,因為它是通過互聯(lián)網(wǎng)����。同時,SD-WAN的設(shè)備是成對的����,因為要進隧道,這里說的是一對��,有的時候是多對�����,但一定是一對�����,不是一個產(chǎn)品的事兒�����,它特別適合多分支機構(gòu)�����,以及新建及網(wǎng)絡(luò)擴展����,對非IT企業(yè)非常的適合����。不僅是能夠作為分支到中心的各種組網(wǎng)���,還特別適應“數(shù)據(jù)中心和數(shù)據(jù)中心”直接互聯(lián)�,以及云際互聯(lián)���。隧道技術(shù)/認證技術(shù)用了國產(chǎn)密碼�����,在國產(chǎn)化密碼加持底下����,落實了自主可控�、安全可靠。
(新媒體責編:news)
京公網(wǎng)安備 11010602130064號
