基于SD-WAN的内网漏洞扫描方案研究

本文版权为《邮电设计技术》所有，如需转载请联系《邮电设计技术》编辑部

摘要：针对当前日益增长的内网安全需求，提出了一种全新的内网扫描方案。该方案借助 SD-WAN技术将安全能力接入远程客户内网进行系统漏洞扫描，并且能够实现多个客户间的动态切换。详细介绍了具体方案的设计及验证方式，结果显示该方案具有很大的推广价值。

关键词：SD-WAN；内网；漏洞扫描；多客户切换

doi：10.12045/j.issn.1007-3043.2021.05.018

概述

随着现代社会信息化和网络化的快速发展，网络安全已经成为现代社会政治和经济生活正常运转的重要保障，网络安全也成为“十四五”规划的重要内容。而近年来网络安全事件频发，严重威胁国家安全、社会秩序和人民的财产安全。据国家互联网应急中心统计，2019年国家信息安全漏洞共享平台收录通用软硬件漏洞数达16193个，目前漏洞数量仍然大幅增加，影响范围不断扩大。境内外的网络攻击者可利用网站和主机的漏洞侵入客户系统进行信息窃取和信息劫持并以此非法牟利，因此主机系统安全对企业来说至关重要。

通常情况下，对企业内部网络中的设备进行系统漏洞扫描防护有较高的经济成本及操作门槛。根据内网的特点和安全要求，目前针对内网设备的漏洞扫描方案主要有2种，一种是将漏洞扫描设备本地化部署，然后直连接入内网环境进行漏洞扫描；另一种是短暂将内网设备接入公网，然后利用异地安全能力对设备进行漏洞扫描。上述2种方案均存在不同程度上的缺陷，前者要本地部署安全能力，这将需要较高的人力和时间成本，而针对跨地域的企业网络则须要投入数倍的扫描成本；后者则要将内网设备短暂暴露在公网上，这无疑给内网系统带来更大的安全隐患。因此，内网设备的安全扫描防护困难重重，而借助SDWAN的内网扫描方案无疑给内网设备防护提供一个新的选择。

SD-WAN全称为软件定义广域网（Software Defined WAN），是将SDN技术应用到广域网场景中所形成的一种服务。它通过虚拟化技术、应用级的策略、Overlay网络及边缘的CPE设备实现广域地理范围的企业网络、数据中心、互联网应用及云服务连接，SDWAN降低了客户广域网的开支并提高了网络连接的灵活性。

扫描类安全能力平台结合SD-WAN的安全业务方案可以提供便捷、安全、切换快速的内网系统漏洞扫描［4］。该方案只须利用SD-WAN设备在安全能力侧和客户侧进行简单的终端设备配置便可实现安全能力和客户网络的灵活接入与断开，无需进行复杂配置，这将为客户节省大量的时间成本，同时也降低了操作门槛。该方案还避免了内网设备短暂暴露在公网中所带来的安全风险，因此借助于SD-WAN的扫描类安全业务应用将是内网设备进行漏洞扫描防护的理想方案。

本文首先对SD-WAN结构及原理进行介绍，然后以某客户为例，介绍具体内网漏洞扫描方案设计及验证过程，并对测试结果进行总结和分析，为后续的内网安全业务方案提供借鉴和参考。

点击查看全文（PDF）>