网络安全设备资产纳管指南
  在传统网络中,网络的控制平面是分散的,安全业务难以实现集中控制和资源规划。传统网络的安全需求,只能通过PBR、MQC、路由等引流方式手工引流至安全设备进行处理。这类部署方式严重依赖于物理拓扑,网络设备之间耦合度大,且安全设备无法池化利用,扩展性差,利用率低。
  而在SDN网络中,Overlay技术使得物理拓扑和虚拟网络分离,安全业务不再依赖于具体的物理组网,而是基于Overlay虚拟网络来引流。同时,因为SDN控制器的存在,网络资源得以统一管理,网络中的安全资源也得以池化,SDN网络的安全业务部署不再需要手工引流,而是由SDN控制器统一下发引流策略。SDN使得安全业务更灵活、可扩展。更重要的是,SDN控制器可以约束安全设备,形成池化资源,同时对上层应用或用户提供简洁明了的逻辑抽象接口。借助SDN的优势,安全业务部署变得更加敏捷、简洁、可扩展。
  SDN数据中心网络中,网络流量一般分为东西向流量和南北向流量两种,安全业务也因而区分为东西向安全和南北向安全。
  东西向安全服务于数据中心内部流量,具有颗粒度细、扩展性要求高等特点。因而这种场景更适合用OpenFlow进行引流、用NFV来构建资源池。这种安全部署方案一般称之为服务链(Service-Chain)方案。
  南北向安全服务于数据中心内与外网之间的流量,因而安全资源池往往以硬件安全设备构建,放置在数据中心出口,提供边界安全。这种安全部署方案的硬件安全设备由SDN控制器统一纳管,并形成可扩展资源池,因而又叫做SDN安全纳管方案。
  众所周知,SDN的核心思想是将网络的控制平面与转发平面分离。目前应用最为广泛的控制平面有OpenFlow和EVPN两种,相对应的,安全纳管方案也分别应用在这两种控制平面主导的组网方案中。但无论哪种控制平面,安全纳管资源池总是处于Overlay网络和传统网络的边界处。如1,防火墙资源池串连在Border设备上,并且与外网Router设备互通路由;而负载均衡资源池旁挂在Border设备上,并通过VLAN隔离网络与Border设备、防火墙资源池互通。在Border设备以下是典型的Overlay网络,南北向流量通过Overlay网络发送至Border设备后,Border设备会还原出Overlay原始报文,并根据控制器下发的引流策略发送至安全资源池。
htmlborder
  1 安全纳管组网
  SDN公有云环境要求租户之间互相隔离,这不仅体现在基础网络资源的隔离,也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备,相互之间不感知。从安全纳管方案的角度来说,SDN控制器通过Netconf纳管安全设备,并在安全设备上申请虚拟防火墙资源,分配给对应的租户使用。强大的安全设备自身支持资源扩容,通过扩容硬件板卡等方式,可以生成多个引擎组。SDN控制器将每个引擎组视为一个资源池,不同的资源池可以配置不同的防火墙模板,从而实现差异化需求。租户在SDN控制器申请安全资源,SDN控制器在对应的资源池内申请创建Context资源,并分配给租户使用。不同的Context是相互隔离的,同时,在Border设备上,SDN控制器通过下发VPN实例和VLAN等配置来隔离网络。这样便实现了安全资源的弹性扩容和互相隔离。
  2 安全纳管资源池
  与传统网络一样,安全纳管方案也需要在设备间进行引流。有所不同的是,SDN控制器已经设计好了一套完善的引流方案,租户申请安全资源时,SDN控制器会自动下发相关引流配置。如3,控制器将安全纳管方案分为四张虚拟网络线路,分别是“安全外网”、“安全内网
”、“租户承载网”和“虚拟资源管理网”。安全外网用于防火墙Context与外网路由器建立路由连接,与外网互通;安全内网用于传输防火墙Context和负载均衡Context之间的流量;租户承载网用于Context发给租户虚机的流量;虚拟资源管理网用于控制器与Context之间进行通信。实际部署中,往往将安全内网、租户承载网和虚拟资源管理网承载在一根物理线路上,为了逻辑清晰和稳定性考虑,有时会将虚拟资源管理网或其他虚拟网络线路单独部署在另一根物理线路上。
  3 安全纳管逻辑组网
  在南北向流量模型中,细分为南向北和北向南的数据流。南向北数据流一般为数据中心内虚机主动访问外网,此时业务流量从虚机发出,到达Leaf后,由Leaf封装Overlay报文并发送给Border设备;Border设备根据引流策略,将报文通过租户承载网发送给对应的防火墙Context;防火墙Context放通防火墙策略后,通过安全外网发送至外网,如4:
  4 安全纳管方案南向北流量走向
  北向南的数据流一般是外网主动访问内网虚机,此时数据流通过安全外网发送至防火墙C
ontext,通过防火墙策略后,如果在SDN控制器上匹配了负载均衡策略,则控制器会下发引流策略,通过安全内网将数据流引流至负载均衡器Context,由负载均衡器Context处理完负载业务后,再通过租户承载网发给Border,再由Border查控制平面表项发送至对应Leaf下的虚机;如果SDN控制器上没有配置负载均衡策略,则防火墙Context会通过租户承载网直接将数据流发送至Border,如5:
  5 安全纳管北向南流量走向
  在安全纳管方案中,防火墙、负载均衡器和Border设备通过物理连线组合在一起,形成服务网关组。实践中,单台安全设备能提供的资源有限,时常会面临安全资源池扩容的问题。SDN安全纳管方案支持将多台安全设备连接在同一台Border设备上,租户可以选择将虚拟路由器绑定的安全资源创建在任意一台硬件安全设备上。当硬件安全资源不足时,可以选择扩容板卡或者扩容硬件设备,实现弹性扩容。
  同时,当EVPN做为控制平面时,网络中可以横向扩展多个Border设备,每台Border设备都可以挂载一套安全纳管硬件设备,从而实现了安全纳管方案横向拓展和多出口。
  6 安全纳管横向扩展和多出口
  目前业内应用最为广泛的开源云平台OpenStack中,关于安全业务的定义并非面面俱到,甚至可以说是非常简单。在面对愈加复杂安全形势的当下,靠单纯给设备下发包过滤或域间策略的安全防范手段太过单一。幸运的是,SDN控制器目前已经支持给防火墙下发诸如IPS/AV、IPSec VPN、SSL VPN、攻击检测与防范、URL过滤等一系列安全特性。这使得安全纳管方案具有了更加丰富和灵活的安全特性,网络管理员可以针对不同的租户、甚至同一租户的不同网络出口来下发针对性的安全防范策略,最大限度地满足不同租户的安全需求。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。