英特尔：SDWAN +安全赋能企业网络创新

第二届中国SD-WAN峰会于11月16日在北京盛大开幕，英特尔平台方案架构师刘明璋，上元信安高级产品经理高燕为大家分享了主题为《SDWAN +安全赋能企业网络创新》的演讲。

今天的演讲主要分2个部分，第一部分是刘明璋先生会从英特尔的角度介绍SD-WAN的未来趋势，第二部分是高燕女士分享了英特尔和上元在SD-WAN上的实践。

刘明璋先生说在企业网络热门技术方向，除了SD-WAN，还有边缘计算。在过去的十多年中，由于虚拟化、存储、AI技术的推动，服务器越来越强大，计算模式一直在以数据中心主导的集中化方向进行。越来越多的企业将业务端放到公有云上，到一个集中的地方处理，这是由技术和商业模式驱动的，也是由一些需求来带动的。同时随着技术的发展以前用在服务器上虚拟化的技术、分布式存储技术、AI分析能力，今天在企业设备平台或智能设备里面也开始具备，所以更为有效的计算模式出现了，推动集中化走向了集中化和分布式相结合方式，满足更为广泛的用户体验需求。

在新的模式中，云、网络、还有边缘和智能设备中都有虚拟化能力可以更好的支持多业务，存储、AI分析的能力又可以更好的加速新业务创新，这是一个非常大的趋势。刘明璋先生认为这种趋势会影响未来网络的演进。 SD-WAN和边缘计算、 uCPE到底是什么关系？边缘计算很多时候跟垂直行业、应用场景相关。表面上看每一个行业，比如零售，工业互联网、交通、医疗，需求都不一样。但是我们如果仔细分析就能发现行业里面的共同需求。比如这些行业都有大数据的需求，大数据不仅仅是意味着AI和数据分析，还意味着数据传输，以及数据传输带来的成本。这些垂直行业的企业用户永远都需要端到端的安全，这些用户一直在优化应用体验，用户需要更快的响应速度更低低延时去开发更新的应用。这些需求其实完美地匹配今天的承载SD-WAN和安全应用的uCPE平台方案特性，可以说，“uCPE+SD-WAN+安全“就是一个边缘计算平台需要的基本能力。也为SD-WAN的演进提供新的方向。

随着AI和大数据的兴起，新应用新创新层出不穷，如果每一个新的需求给用户一个新的设备，并不是解决用户问题的根本方法。设备越来越多，用户的拥有成本（TCO）会越来越高。一个有效降低TCO的方法是提供一个支持多种企业应用的智能边缘设备，这样可以降低用户拥有成本，和智能手机融合了电话，PDA,照相机，和游戏机功能一样。在云网融合的市场机遇里，基于英特尔架构设计的方案优势体现在何处？刘明璋先生认为：SD-WAN以及边缘计算需要提供的是一个端到端的解决方案。只有英特尔架构在编排器、控制器、云，边缘（PoP）,包括企业侧，可以提供一个统一的计算架构，统一的开发平台，统一的应用部署平台供方案提供商选择，资源的重用可以有效降低降低方案的开发成本。第二是英特尔平台架构提供从入门级到高端平台一致的运行环境，可以让方案具备强水平扩展能力，用户可以按照性能的需求快速灵活的选择合适的硬件平台部署，同时保持软件的最小维护代价。英特尔为uCPE提供了很多的开发工具、多样化的硬件方案加速，开发者不仅可以快速开发高性能网络转发功能，也可以让方案具备AI分析能力，比如AI可以实现更为通用应用识别和网络威胁引擎，即使是加密的流量。英特尔在推动SD-WAN，边缘计算和业务创新同时，英特尔也和合作伙伴在SD-WAN实践之路上不断投入和努力。千里之行始于足下。

下面是上元信安高燕女士演讲的内容
上元信安公司成立于2015年，公司的研发团队在网络安全领域有多年的耕耘和技术积累。目前该公司已经发展出了三条产品线，一个是比较偏传统的边界安全产品线，主要包括防火墙、入侵防御系统、VPN安全网关等。其次是云安全产品线，包括能够解决云内东西向流量隔离和防护的护云产品，以及云安全资源池等。最后一个重要的产品是上元的SD-WAN解决方案-矩阵，下面要重点介绍。

上元SD-WAN两大应用场景

上元的SD-WAN解决方案的应用场景可以划分为两大类，一类是面向企业级的用户，这些用户一般是具有多分支机构的企业。对于这种场景，上元可以提供整体解决方案，帮助企业去自建SD-WAN网络。在这个场景中，上元主要解决了三个问题。一个是企业总部和分支，以及分支和分支之间跨广域网安全互联的问题，上元的方案可以替代专线，或者作为专线的一个备份的方案。第二个是如何安全地接入云，对于这一类企业来说，它的应用部署可能会是以混合云居多，一部分业务放在公有云上，一部分业务放在私有云上。无论是企业的总部，或者是分支，都需要能够便捷、安全、高质量访问云上的数据。第三个是简化运维，大量的CPE接到网络中，如何进行集中化的管理、升级，如何能够实时地监控到设备、链路、VPN隧道的健康状态，这也是非常重要的。

还有一部分用户他们想用SD-WAN，但又不想自己去建。在这种情况下，就是上元矩阵产品的第二类应用场景，面向运营商或者ISP的。在这个场景中，上元信安提供产品和解决方案，然后协助运营商组建SD-WAN网络，由运营商来运营，以一种服务的方式提供给用户。在第二种场景里面，上元主要解决几个问题，一个是SD-WAN的解决方案，需要和运营商的骨干网络组网有一个非常好的融合，以及保证它的高可靠性。第二，上元还支持多租户，能够实现多个租户之间逻辑网络的隔离，以及用户数据和权限的隔离。第三方案要具有开放性和兼容性，比如控制器，它可以提供北向接口，可以和运营商的用户服务的系统去进行整合，实现多系统的统一的运营。之前有很多嘉宾提到了连接和通信，但高燕女士认为SD-WAN网络应该还有一个最基本的属性，即安全。随着大家意识的进化，很多企业都意识到不应该像原来那样，先组建网络，然后再谈安全的建设，这两者能不能同时进行？上元在公司创立之初就一直关注在网络安全和云安全领域，所以在这一方面上元有先天的优势。在上元信安的SD-WAN解决方案当中，实际上已经融合了很多的安全要素。

上元的SD-WAN的解决方案总体分为三个部分。首先是端侧，在这一侧上元所使用的CPE运行的是上元自主研发的安全操作系统，它本身就具有了下一代防火墙的安全能力，能够防护从网络层到应用层的网络攻击和漏洞，所以能够给用户的网络提供一个比较好的防护。同时，基于上元DPI和DFI的技术，能够识别网络流量里面三千多种应用以及他们的行为，基于应用识别可以对用户上网行为进行约束管理，或者是进行访问控制。同时，基于应用的识别，以及对链路的SLA的监测，可以实现混合链路下的智能的选路。上元的设备也具备SSL VPN、IPSec VPN的安全连接，能够对传输的数据进行加密。如此繁多的功能都跑在一个盒子上，性能怎么样？在这一方面，英特尔CPU提供了一个很强的计算能力，包括QAT的特性，能够很好地提升IPSec VPN的传输效率。在边这一侧，也就是运营商的POP点会部署上元的云网关，用户侧的流量汇聚到这里，运营商可以提供安全增值服务。例如运营商可以在他们的云里面去部署上元的云安全资源池，对引过来的流量进行清洗和过滤。同时，也可以在POP点上实现和公有云隧道的打通，实现安全的一跳入云。最后是云这一侧，也就是上元SD-WAN的矩阵器和编排器，上元控制器和CPE设备，以及云网关都实现了双向证书认证，所以信令控制和数据传输都是加密的。

上元SD-WAN使用场景新探索

用户最关心的是业务和数据，比如业务什么时候上线，业务符不符合等级保护的要求，数据是不是安全等等。这为SD-WAN的场景开辟了另一条思路，除了连接之外，能不能把计算、存储、安全、合规一体化的交付给到用户，让用户把他的重心放在他的业务上。

现在很多网络经过长时间的建设、扩容，往往呈现了一种比较僵化的状态。如果要新上线一个业务系统，会牵一发而动全身，要考虑的东西很多，而且业务上线周期也很长。上元想提供一个一体化的整体交付方案，右边有两层云架构，下面是边缘云，上面是中心云，还有上元的矩阵SD-WAN控制器，在边缘云和中心云里部署边缘计算网关，这个网关可以提供高计算能力、高带宽、低延时的云计算能力。同时，它也可以管理边缘云里面容器的集群。一般部署边缘云位置都是比较靠近用户接入的位置，在这端上，它不仅能够承担起数据转发和通信的能力，而且用户的业务也可以跑在上面。还有上元防火墙、防病毒等虚拟网元，它就是集成了计算、安全、存储、合规的一体化的方案。在中心云和边缘云之间上元通过SD-WAN组合起来，形成了一个有弹性而且安全的网络。

上图是上元信安的智慧校园的应用案例，该学校是当地的重点实验中学，除了有本部校区之外还有几个分校区，这个学校信息系统有上百个，但是信息孤岛很明显。而且应用承载平台没有一个统一的规划，所以它的信息系统的可拓展性和可用性都比较差。上元信安在该校的本部数据中心，部署了中心云计算网关，然后在各分校区部署边缘云计算网关。在中心云计算网关上，它提供下沉式的应用商店，然后可以实现一些特色的教学应用，能够统一地上线更新和分发。同时在中心节点上又可以实时地监控到学校里面的设备和安全。边缘云提供了统一开放式的应用平台，该应用平台可以覆盖到老师和学生，处理日常的工作。在中心云和边缘云之间用SD-WAN网络实现业务互通，并保障业务质量和安全性。现在学校如果要新上线一个业务系统或者新上线一个计算节点，整个的实施周期在10分钟内。整体的业务上线快，推广也快，而且还能够实现本地的数据不出校园，比如校园的视频监控数据可以在本地的处理，处理之后只需把分析结果上报给中心。同时，在云网关里面也部署了上元信安一些安全组件，包括防火墙、入侵防御等，保护边缘云和中心云的安全。