深信服黄航：深信服SD-WAN2.0的创新及实践分享

2018中国SD-WAN峰会已经圆满落幕，深信服SD-WAN运营总监黄航先生分享深信服SD-WAN2.0的创新及实践。

黄航：各位来宾、各位领导、各位同行大家下午好！
前面讲之前李老师提到有几个关键词，今天来了很多做作的同行和专家学者，大家提了几个点，第一个如何定位我们自己，第二个如何做攻防，第三个大家早上听了那么多的演讲有没有焦虑，我下午的PPT可能会让大家更加焦虑，我下面讲的是深信服SD-WAN的创新点和实际的内容。

今天早上主论坛听了各个厂家提SD-WAN的解决方案，在这里面深信服做安全比较早，前面可能也有一些厂家在介绍安全怎么做的，在座的同行还不理解，包括听不太清楚安全怎么做的，在这里给大家非常详细的介绍深信服的安全怎么做。

开始之前给大家举个简单的例子，在坐的很多是从外地过来的，我昨天从上海虹桥过来的，我个人理解成一个数据，从上海到北京参加一个会，要做传输，或者要考虑怎么到北京，在这里考虑做复星号、高铁、飞机、大巴等等都有可能，我昨天人在虹桥有几种方式，第一种先到虹桥坐高铁过来，第二种在虹桥机场坐飞机到北京机场，另外一个到浦东坐飞机过来，甚至还有一种比较蠢的办法先到浦东回到虹桥坐飞机，大家理解SD-WAN通道传输的一个概念，昨天做了一个比较蠢的办法，我坐错飞机了，大家可以看到我比较蠢的案例，在整个骨干网络传输里面有专线、NPS和4G的传输，类似于现在出行的通道可能是坐飞机、高铁。还有一个问题，昨天只是解决了我从上海来到北京的问题，大家还得考虑一个问题，如果昨天从上海到北京出了事到不了这里，我凌晨两点钟到这儿，买错飞机了，同事打电话说你怎么还没有到？今天主要给大家分享的点是深信服在SD-WAN安全领域怎么做的，还有在商业案例的实践分享，今天大部分的内容同行在介绍核心的技术，介绍案例比较少。

首先介绍深信服在SD-WAN安全领域怎么做一些创新？大家知道我们在国内企业做云网互联和管网建设的时候首先考虑合规，大家可以看一下深信服怎么解决安全合规的问题，网络安全法出来之后大家关注几个点，大家会发现今年企业有两个趋势，一个趋势是安全的要求越来越高，第二个合规性要求越来越高，基于这个背景之下，我们来看一下现在企业面临哪些安全的问题？早上在主论坛的时候我同事简单介绍过一些安全问题，其实大家可以看到，每一年都有不同类型的安全风险，或者说安全攻击方式攻击我们自己的用户，甚至我们自己，甚至我们自己的2C端，大家可以看到在整个全球每一年接近1000亿左右的资产受攻击损失，中国一般是占10%左右，100亿左右美金受损，下面大家也可以看到，这两年比较火的一个攻击方式就是勒索病毒，去年5月份的时候进入大家眼球，今年又重新卷土归来，去年发生的事件影响非常大，去年5月份的时候那个时候刚好在江西，晚上发生事件，客户跟我说早上的交流取消了，想解决现在的勒索病毒问题。

大家可以看到，我们讲了安全的问题主要先举个例子，大家可以看到勒索病毒，勒索病毒对于中国，或者亚太地区影响是非常明显的，大家知道在国内最主要的受灾区来自于医疗和企业两个行业，某个台企在今年8月份的时候三大厂商所有的终端都被攻击了，损失了十几个亿，损失是非常巨大的，大家可以看到在这种新型的安全风险出现的时候，SD-WAN怎么去解决？

简单跟大家一起回顾，勒索病毒怎么去造成的这种攻击和危险？我们想一下我们有什么办法和解决方案去解决SD-WAN互联的安全问题。

简单回顾一下，勒索病毒主要通过几个方式，比如说U盘的插拔，或者是插邮件，或者是通过端口的扫描，通过某一台PC，通过漏洞扫描局域网其他的漏洞，通过这个可以获取系统的权限，对文件进行加密，主要加密其中的一些文件头，这个时候我们只能支付一些比特币才能做解绑，这个风险现在很多在座的企业都有可能面临这种风险，我们深信服自己也提出了自己的解决方案，这里只是简单给大家举个例子，面向勒索病毒解决方案怎么做的。

这里是两个真实的客户案例，前面很多企业在提，我们SD-WAN主要解决互联，但是我们安全问题怎么解决的？前面也有一些企业提到我的安全通过VPN和SSL隧道去解决安全，但是没有提到安全怎么解决的？昨天是某一个央企的客户，它是SSL VPN介入，登录进来会出现内部的业务网络，SSL VPN连接进来之后，一旦受攻击整个全网都会受攻击。右手的案例之前跟客户做交流，在南非跨国的点影响了整个国内的点，风险非常高，损失比较重要，后面做网络改造的时候也在考虑把安全互联考虑进来。

这个是举两个例子，后面我们在解决方案里面给大家介绍如何去解决安全互联。

在这里我们一直在想个问题，我们做SD-WAN最早在2015年的时候已经在着手做SD-WAN这个内容，前面有家在提PE设备，我们这两年已经商用了，在PE设备的时候考虑如何建立安全隧道。我们讲的安全很多认为只是简单的边界安全，早上祝总也提到了几个点，SD-WAN未来有几个点，第一个是移动办公，这个有可能成为安全风险点。第二个如何利用SD-WAN进行整合，第三个整网安全如何解决，SD-WAN未来已经到来，深信服已经有了非常完善的解决方案，我们有几个安全问题，第一个就是边界的问题，边界以前是传统的路由，或者交换机，大家可以看到报告，SD-WAN市场在逐渐的上升，SD-WAN带有安全特性，其实我们市场，或者说我们友商自己也在关注这块。第二点终端的安全，第三点是我们自己使用的手机安全问题，相信在座的大家会看到网上流传的小故事，自己在操作高级酒店，这个就是移动终端的安全问题怎么解决。

深信服现在连续9年一直是市场的第一位，SD-WAN是从SDN延伸进来，但是我们会包含多种的组网，比如VPN、专线，还有4G、5G基础上做安全的互联。深信服提出自己的解决方案，我们更多会关注安全。

我们重构安全的解决方案，大家可以看到几个点，第一个点面对移动终端的解决方案，面对终端边界的解决方案，还有面对全网的安全风险怎么解决，或者面向自己的办公安全怎么解决？左边是面对PC、手机终端有加密的隧道，中间传输的时候可以利用VPN隧道和专线的隧道，我们还有自己UCPE的设备，其实深信服上面有防火墙、行为管理、加速、负载均衡，甚至上面可以做边缘计算承载业务计算，还有存储，把网络计算存储从数据中心挪到整个边缘来，我们已经做了这步的改变。我们会分为几个点，一个是终端的边界安全，还有打造内网的终端安全，第三个是定义多种组件实现管网的安全。

下面我们来看一下端点的安全怎么解决，前面我们提了一个点，现在大家都在讲万物互联，就会有几个点，分支机构是一个端点，移动办公也是一个端点，手机是个端点，然后我的多DC互联也是个端点，这里通过勒索病毒，比如说黑客从外部通过防火墙到达终端，大家知道勒索病毒窃取，扫描我们终端自己的端口，其实我们做的第一个事情要对整个终端进行加密，第二点我们要做边界防御，第三点我们会去做检测，一旦中病毒，或者说我自己会做漏扫和检测，如果一旦发现中病毒之后要去做阻断，或者做安全响应，这个是我们在面向SD-WAN解决方案立体的融合方案。包含预防、防御、检测、响应这四个点，现在大家看的勒索病毒只是其中一种，我们能够提供的SD-WAN解决方案安全方案里面会从融合、立体的角度,面向新型的风险提供更加完善的解决方案。

在座的今天应该会有一些终端用户，我们提供了不同的解决方案，不同用户需要的解决方案不一样，我们有基础版、标准版和豪华版，基础版主要是现在很多企业都在做的从传统的防火墙，或者从边界的路由器升级到下一代防火墙解决应用层的攻击，标准版基于终端的安全，通过插件以及上端的安全感知，在安全感知这块把人工智能、机器学习整合到整个SD-WAN大脑里面，我们打造运维中心和安全中心解决方案。我们会提供更加详细的响应方案，包含线上的工程师，来源于30落后家的服务商，或者自己在线的专家，这个是我们安全的解决方案。

前面比较大的篇幅给大家介绍深信服安全在SD-WAN里面怎么体现和保护用户资产的安全。第二个创新点，介绍深信服UCPE设备，我们有VAF、VAC、VWOC等等的设备，用户端用的设备不一样，在中小型的机构会用UCPE设备比较多，中大型的运营商更加偏向于服务型的，在这里我并不认可这种方案，用户同时关注全网互联的安全。

最后两页给大家介绍深信服真正在商用实践里面哪些用户用得到？今天在这里和分享的是我最近在做的一些SD-WAN方案介绍，前面已经和很多用户做方案交流，这两年也做了很多SD-WAN商用案例的实践，大家可以看到它有分公司的接入，会打造两个安全中心，大家能够看到左上角，如果没有安全风险的话，接入进来病毒全网会攻陷，SD-WAN在安全的基础上建立隧道，只是单纯的去建立一个互联互通，没有解决用户真实的需求。这个是第一个商用的案例。

第二个商用案例来源于企业，这个用户做的是全球组网，大家可以看到我们的方案，现在业界在提SD-WAN有两种类型，一种是产品型和服务型，这个用户就是产品型和服务型的整合，大家可以看到POP点有加速的功能，还有流量清洗的功能，深信服整体的解决方案怎么做的，就是这张图，我们深信服一直在做管网加速和上行管理，作这里我们把方案整合进来，比如说有一个客户分支进来的话，流量可以把上网的流量连接到POP点，通过上网行为管理、审计对接网关，同时清洗完之后传到公网上。对于内网的应用，对于访问数据中心的应用，我关注最大的点就是安全以及加速访问，提高访问体验，这个时候我们会通过智能选路和加速POP点降低时延，抖动丢包，达到数据中心，通过全网的集中管理和运维，跨境的场景更多会关注于合规和防务企业这两块。这个企业用的比较全，有不同的点，有数据中心的流量和业务的流量等等，这个是企业的一个安全组网的案例。

今天就跟大家简单分享一下深信服SD-WAN安全怎么做的，UCPE怎么实现的，深信服主打的方案包含产品型、运营型能够实现安全合规，并且能够实现可视化运维和安全体验，以上就是我的分享，谢谢大家。