本發明涉及一種基于Segment Routing的安全與網絡融合的系統，包括安全服務及網絡服務，其特征在于，還包括接入服務，將接入服務的處理需要的終端用戶的信息集中到接入服務中。本發明的另一個技術方案是提供了一種基于Segment Routing的安全與網絡融合的方法，采用上述的系統。本發明消除了網絡服務以及安全服務中的重復部分；避免了對隧道內的數據包進行解封，再封裝等重復性的工作；減輕甚至消除安全服務以及網絡服務的瓶頸問題；緩解多租戶對于安全服務以及網絡服務的挑戰。

技術領域

本發明涉及一種基于Segment Routing的安全與網絡融合的系統與方法，屬 于軟件、網絡安全、網絡路由交換技術領域。

背景技術

隨著云技術的發展，尤其是各種SAAS(軟件即服務)技術的發展，企業會 越來越多的使用SAAS技術，從而導致企業在使用網絡的方式發生了變化。企業 的網絡流量從企業內部流量為主逐步遷移到使用外部的流量，尤其是使用SAAS 流量為主。企業使用流量的方式的變化，導致了企業的辦公網絡與生產網絡也在 發生變化，出現了企業網絡往云端遷移的技術趨勢。

在這個過程中，出現了SD-WAN技術，來解決企業在網絡方面的需求。 SD-WAN，即軟件定義廣域網，是將SDN技術應用到廣域網場景中所形成的一種 服務，這種服務用于連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及云 服務。SD-WAN技術憑借強大的接入能力，精細化的應用流量管理被越來越多的 企業所采用的。

企業在使用網絡的方式發生變化同時，對企業現有的網絡安全模型也提出了 巨大的挑戰。企業原有的安全模型非常依賴于企業的防火墻。基于防火墻的安全 模型，是一種基于信任域的安全機制。在防火墻內部的網絡是一個信任域，防火 墻外部是另外一個信任域。當企業的流量由企業內部轉向SAAS時，原來被防火 墻保護的應用，目前都位于防火墻的外部，從而導致防火墻失去原來的作用。在 這種背景下，尤其是隨著SD-WAN被越來越多的采用的情況下，NGFW(Next Generation Firewall)即下一代防火墻出現用于部署在云端，解決新的問題。

由于SD-WAN以及放在云端的網絡安全的引入，這兩者具有高度重合的功能， 例如在應用策略、應用分類、用戶識別等部分都高度重合。一種融合的技術SASE (SecureAccess Service Edge，安全訪問服務邊緣)，用于從分布式云服務交付聚 合的企業網絡和安全服務。SASE克服了分散集成和地理位置約束解決方案的成 本、復雜性和剛性。當SASE與全球私有骨干網相結合時，還可以解決WAN(廣 域網)和云連接方面的挑戰。Gartner在《The Future of Network Security Is in the Cloud》一文中對SASE進行了詳細的定義，簡單來說SASE集成了敏捷、自動化、 CARTA(持續自適應風險與信任評估)、ZTNA(零信任網絡訪問)、Advance APT 防護等技術。總的來說SASE定義了云時代一個融合系統，在該系統中，網絡安 全與網絡接入路由部分進行融合，通過將兩個系統合二為一，從而減少系統的模 塊間的交互損耗，提高客戶的服務質量。

現有技術方案存在以下技術問題：

一)重復計算導致服務質量下降

目前SD-WAN疊加網絡安全的方案中，SD-WAN與安全模塊是兩個獨立的部 分。網絡流量在經過這兩個模塊進行處理時，存在數量繁多的重復計算，例如， 如圖1所示。

終端用戶在訪問外部網絡時，根據終端用戶的應用(APP)以及終端用戶的 身份(Role)，SD-WAN可以根據APP、Role或者兩者的組合，選擇不同的路由。 例如對于富媒體應用可以選擇本地的出口，對于關鍵流量需要選擇優化之后的線 路等。同時網絡安全組件也要根據APP或者是Role采用不同的安全策略。例如 根據用戶的身份，需要對包進行深度包檢測，需要限制用戶方位某些特定網絡等。 在目前的方案中，由于SD-WAN與網絡安全服務是兩個獨立的服務，所有用戶識 別以及應用識別等都在兩個服務中實現。