基于SD-WAN的内网漏洞扫描方案研究

蔺 旋，王 娜，李长连（.中讯邮电咨询设计院有限公司，北京 00048；.中国联合网络通信集团有限公司，北京 00048）

1 概述

随着现代社会信息化和网络化的快速发展，网络安全已经成为现代社会政治和经济生活正常运转的重要保障，网络安全也成为“十四五”规划的重要内容。而近年来网络安全事件频发，严重威胁国家安全、社会秩序和人民的财产安全。据国家互联网应急中心统计，2019 年国家信息安全漏洞共享平台收录通用软硬件漏洞数达16 193 个，目前漏洞数量仍然大幅增加，影响范围不断扩大［1］。境内外的网络攻击者可利用网站和主机的漏洞侵入客户系统进行信息窃取和信息劫持并以此非法牟利，因此主机系统安全对企业来说至关重要。

通常情况下，对企业内部网络中的设备进行系统漏洞扫描防护有较高的经济成本及操作门槛。根据内网的特点和安全要求，目前针对内网设备的漏洞扫描方案主要有2 种，一种是将漏洞扫描设备本地化部署，然后直连接入内网环境进行漏洞扫描［2］；另一种是短暂将内网设备接入公网，然后利用异地安全能力对设备进行漏洞扫描。上述2种方案均存在不同程度上的缺陷，前者要本地部署安全能力，这将需要较高的人力和时间成本，而针对跨地域的企业网络则须要投入数倍的扫描成本；后者则要将内网设备短暂暴露在公网上，这无疑给内网系统带来更大的安全隐患。因此，内网设备的安全扫描防护困难重重，而借助SDWAN 的内网扫描方案无疑给内网设备防护提供一个新的选择。

SD-WAN 全称为软件定义广域网（Software Defined WAN），是将SDN 技术应用到广域网场景中所形成的一种服务。它通过虚拟化技术、应用级的策略、Overlay 网络及边缘的CPE 设备实现广域地理范围的企业网络、数据中心、互联网应用及云服务连接，SDWAN 降低了客户广域网的开支并提高了网络连接的灵活性［3］。

扫描类安全能力平台结合SD-WAN 的安全业务方案可以提供便捷、安全、切换快速的内网系统漏洞扫描［4］。该方案只须利用SD-WAN 设备在安全能力侧和客户侧进行简单的终端设备配置便可实现安全能力和客户网络的灵活接入与断开，无需进行复杂配置，这将为客户节省大量的时间成本，同时也降低了操作门槛。该方案还避免了内网设备短暂暴露在公网中所带来的安全风险，因此借助于SD-WAN 的扫描类安全业务应用将是内网设备进行漏洞扫描防护的理想方案。

本文首先对SD-WAN 结构及原理进行介绍，然后以某客户为例，介绍具体内网漏洞扫描方案设计及验证过程，并对测试结果进行总结和分析，为后续的内网安全业务方案提供借鉴和参考。

2 SD-WAN架构及原理

2.1 SD-WAN架构介绍

本文介绍的安全业务方案关键在于如何将漏洞扫描引擎接入客户内部网络，而这需要借助SD-WAN实现。

SD-WAN 主要由SD-WAN 统一管理平台和部署在客户端的SD-WAN终端设备组成。

a）统一管理平台：SD-WAN 统一管理平台是SDWAN系统的可视化管理工具，主要负责CPE设备的管理及控制，可实时查看客户终端设备情况和网络拓扑。管理平台还负责将配置文件推送给指定的终端设备及其他配套网络设备完成组网配置。

b）CPE 设备：SD-WAN 终端设备将客户设备接入公网，SD-WAN 客户终端设备支持通过MPLS、互联网、4G 以及5G 多种网络接入方式，统一管理平台可直接管理和配置客户设备。

2.2 SD-WAN组网原理

SD-WAN 的业务模型包括组网过程中所涉及的网络设备、接入网络及承载网络等。

图1 为SD-WAN 在进行组网时搭建的流程模型，客户在组网完成之后，便可实现内网环境的跨区域互访。客户的内网设备与CPE 的LAN 侧地址互通；CPE通过WAN 侧地址接入互联网、4G/5G、MV 专线与POP点建立连接，由于CPE 与POP 点之间的链路可能暴露在公网环境中，此链路须建立IPsec隧道进行数据加密传输，保证安全性；POP 点之间通过运营商的MV 承载网传递客户路由和数据；而后续远端POP 点至远端客户内网网关的数据传递过程与上述过程相似，这里就不再赘述［5］。

图1 SD-WAN业务模型

从上述对于SD-WAN 的整体架构介绍以及SDWAN组网原理的介绍可知，SD-WAN支持混合链路接入，可根据客户网络状况自适应调整链路互联网、4G/5G 和MV 专线。此外，SD-WAN 还支持站点灵活接入，通过统一管理平台进行配置实现站点新增和删除操作，进一步实现客户的快速切换，保证了内网环境下客户业务的安全。

3 扫描方案设计

根据客户的内网设备漏洞扫描需求和现有的网络安全能力，结合SD-WAN 的部署和使用特点，本文设计了针对于客户的安全业务测试方案，如图2所示。该方案一方面可以借助SD-WAN 将漏洞扫描引擎接入客户设备所在的内部网络；另一方面可通过SDWAN统一管理平台多次下发配置，实现安全能力与不同客户网络之间的快速切换接入。

图2 方案整体设计图

针对客户的扫描类安全业务，整体方案实现了安全能力管理平台与SD-WAN 统一管理平台的联动，安全能力管理平台进行漏洞扫描任务的配置并通过SDWAN平台打通网络，从而实现内网漏洞扫描任务的下发。

安全业务方案的具体实施过程如下：安全能力管理平台接到客户订单，根据客户网络配置首先向SDWAN平台发送请求进行CPE设备的配置下发，打通两侧的网络；然后SD-WAN 统一管理平台向安全能力管理平台发送网络配置成功确认消息，安全能力管理平台即可开始漏洞任务的配置；安全能力平台将漏洞扫描任务的配置参数发送给漏洞扫描设备，漏洞扫描设备即可通过客户设备的地址进行漏洞扫描；漏洞扫描任务结束之后，安全能力平台随即向SD-WAN 统一管理平台发出网络断开请求，SD-WAN 平台下发CPE 配置，断开与安全能力的网络连接；而对于其他客户的漏洞扫描请求，SD-WAN 统一管理平台通过客户侧的CPE配置下发即可实现客户内网与安全能力的快速打通，无需对安全能力侧进行再一次配置，这样就实现了安全业务客户的快速切换。

4 扫描方案实施

在针对客户的内网漏洞扫描方案设计完成之后需要对其实施效果进行验证，而安全能力平台和SDWAN 统一管理平台未实现线上联动且测试客户只有一个，因此方案实施过程中只进行分步的网络打通和漏洞扫描操作，方案验证组网如图3所示。

图3 方案组网示意图

实施步骤主要分为安全能力侧的漏洞扫描设备准备、CPE 设备安装及开局、SD-WAN 统一管理平台配置下发、客户设备漏洞扫描等，具体实施过程如下。

a）漏洞扫描设备准备和网络配置：由于项目处于方案设计验证阶段，考虑到测试过程的便利性，选择直接在个人计算机上进行漏洞扫描设备的部署安装，漏洞扫描引擎部署完成之后配置相应的管理页面以便于操作。

b）CPE 设备安装及初始配置：以安全能力侧为例，首先直连CPE 设备与管理端计算机，设置管理端计算机的IP 地址，连通CPE 与管理端计算机网络，然后将CPE 设备连接公网交换机并自动获取公网配置，完成CPE 设备与SD-WAN 集中管理平台的通信，最后通过管理平台对CPE设备进行初始配置。

c）SD-WAN 管理平台下发配置：SD-WAN 统一管理平台对安全能力侧和客户侧的CPE 设备进行最终的配置下发，漏洞扫描设备理论上已经接入客户内部网络，至此便完成了整个内网漏洞扫描安全业务的平台搭建和网络打通。

d）客户内网设备漏洞扫描：漏洞扫描能力设备接入客户网络之后，即可通过待扫描主机内网地址下发系统漏洞扫描任务，然后获取扫描任务的完整漏洞扫描报告，客户即可针对高中危漏洞进行修复，如图4所示。

图4 漏洞扫描任务报告

5 方案总结

本文详述了借助于SD-WAN 的内网扫描业务平台的搭建过程以及针对客户内网设备的漏洞扫描过程，验证结果充分证明了借助SD-WAN 的内网设备漏洞扫描方案的可行性，该方案显著提高了企业内网设备进行系统扫描的便利性。针对多个客户对内网安全能力的需求，只需要通过SD-WAN 统一管理平台对不同客户的CPE 设备进行配置下发，即可实现安全能力平台与多客户网络的实时切换接入。在此基础上实现网络安全统一能力平台和SD-WAN 统一管理平台的联动，提高安全业务和SD-WAN 的结合程度，即可进一步提高客户内网安全服务的便利性。

除此之外，漏洞扫描设备在完成SD-WAN 快速组网之后即可和客户侧CPE 设备后端连接设备进行通信，如CPE 设备后端直连客户内网服务器，漏洞扫描设备便可与服务器进行通信。由图4 可知，在本方案实施过程中，数据在客户侧CPE 设备与客户设备之间还需要经过出口交换机，而该交换机对内网数据做了防火墙限制，这会使漏洞扫描设备的数据无法进入内网，从而导致漏洞扫描过程失败。因此对于上述情况还须对漏洞扫描设备的地址短暂放开限制才能保证漏洞扫描任务顺利进行。此外，一些客户的内网出口还部署了入侵防御系统（IPS），该系统会对扫描流量进行拦截和阻断，因此在内网扫描时需要IPS 对扫描流量放行。

6 结束语

本文提出了一种新的内网设备的漏洞扫描方案，此外还针对指定客户设计了具体的安全业务实施方案，方案测试结果一方面验证了借助SD-WAN 进行客户内网安全业务的可行性；另一方面，该方案通过安全能力平台与SD-WAN 统一管理平台的联动，实现了内网安全业务的多客户实时切换，极大地降低安全业务的时间成本。因此，借助于SD-WAN 的内网漏洞扫描方案是满足企业内部网络扫描需求的理想途径，具有推广意义。