SD-WAN解决方案安全总体架构

发布时间:2021-09-01 14:48:11 作者:华为阅读:0

[导读]:SD-WAN解决方案从系统安全、业务安全、组件安全三个方面来保证安全性。系统安全是SD-WAN解决方案必备的基础安全能力, SD-WAN解决方案系统在初始化之后就应该自动具备这些能力,使得SD-WAN...

SD-WAN解决方案从系统安全、业务安全、组件安全三个方面来保证安全性。系统安全是SD-WAN解决方案必备的基础安全能力, SD-WAN解决方案系统在初始化之后就应该自动具备这些能力,使得SD-WAN解决方案系统能够安全可靠的运转。而业务安全是单独部署的安全功能,要根据企业用户实际的业务安全需求,灵活选择合适的安全防护措施。组件安全是iMaster NCE、CPE,RR组件本身提供的安全功能以及在组件部署时需要考虑的安全因素。

SD-WAN解决方案安全总体架构

SD-WAN解决方案总体架构示意图

系统安全

系统安全涵盖的范围主要包括SD-WAN解决方案中组件间的通信安全和多租户安全。SD-WAN解决方案系统包含多个组件,组件本身以及组件之间的通信都会受到安全威胁。因此,必须要有安全措施来保证SD-WAN解决方案系统的构建和运转是安全可信的。

保证系统安全,即通过身份认证、数据加密、数据验证、权限控制等措施,避免非法接入、信息泄露、数据篡改等安全问题。特别是针对CPE接入的场景, SD-WAN解决方案基于零信任(Zero Trust)的安全理念,严格验证CPE的身份信息,防止身份仿冒,确保只有合法可信的CPE才能接入。SD-WAN的系统安全关键的功能概览如下表所示。

系统安全概览类别

管理通道安全

1、CPE/RR与iMaster NCE通过证书双向认证

2、iMaster NCE校验设备的ESN,非法设备不允许注册

3、Netconf over SSH保障配套报文的安全性

4、Http2.0 over SSL保障性能上报数据的安全性

5、开局的URL信息加密

6、站点隔离功能将不安全的设备隔离出网络

控制通道安全

1、CPE与RR通过证书双向认证2.CPE通过DTLS向RR注册

3、CPE与RR控制器通道通过IPsec加密

数据通道安全

1、CPE与CPE、CPE与GW之间数据通道安全通过IPsec ESP协议进行保障

2、认证算法(SHA2-256、SM3)

3、加密算法(AES256、AES128、SM4)

 多租户安全

1、分权分域管理

2、多租户的RR/GW设备秘钥算法支持DH算法(Group19、Group20、Group21)

3、通过VRF实现不同VPN间的业务端到端隔离业务安全

业务安全

业务安全指的是SD-WAN解决方案所承载业务的安全,部署SD-WAN解决方案的目的是要帮助企业更好地开展业务,根据企业的业务模型,业务安全包括站点间互访业务的安全、站点访问Internet业务的安全、站点入云业务的安全。如下表所示,业务安全主要分为CPE内置安全功能,与第三方对接提供安全功能。这些安全功能可以基于VPN来配置,即针对同一个租户内的不同部门,可实施差异化的业务安全防护措施。

业务安全概览

CPE设备内置安全

1、访问控制(ACL过滤、防火墙)

2、内容安全(IPS、URL过滤、反病毒)

第三方对接

1、VAS高级安全(通过对接第三方防火墙提供分支互访流量精细化控制)

2、通过GRE对接第三方云网关(Zscaler, Forcepoint ) ,利用第三方云安全网关对访问公有云、Saas的业务流量进行安全防护

以上就是SD-WAN解决方案安全总体架构的介绍。如果你还有其他问题,欢迎进行咨询探讨,希望微云网络的专业的解决方案,可以解决你目前遇到的问题。微云网络提供全球主机托管、服务器租用、mpls专线接入、SD-WAN组网等方面的专业服务,资源覆盖全球。欢迎咨询。

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:sales@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

标题:SD-WAN解决方案安全总体架构

TAG标签:SD-WANSD-WAN解决方案SD-WAN安全

地址:http://www.kd010.com/hyzs/266.html

上一篇:华三设备与思科设备IPSEC VPN如何对接?
下一篇:云计算面临的可见性挑战及如何在多云中获得可见性

Vecloud云网络解决方案

点击获取方案