华为网络控制器

华为SecoManager安全控制器技术白皮书拟制:日期:审核:日期:审核:日期:批准:日期:华为技术有限公司版权所有侵权必究华为SecoManager安全控制器技术白皮书前言华为专有和保密信息版权所有华为技术有限公司ii前言概述本文档介绍了SecoManager安全业务编排的技术白皮书.
读者对象本文档主要适用于以下工程师:安全规划工程师网络规划工程师数据配置工程师系统维护工程师符号约定在本文中可能出现下列标志,它们所代表的含义如下.
符号说明用于警示紧急的危险情形,若不避免,将会导致人员死亡或严重的人身伤害.
用于警示潜在的危险情形,若不避免,可能会导致人员死亡或严重的人身伤害.
用于警示潜在的危险情形,若不避免,可能会导致中度或轻微的人身伤害.
用于传递设备或环境安全警示信息,若不避免,可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果.
"注意"不涉及人身伤害.
用于突出重要/关键信息、最佳实践和小窍门等.
"说明"不是安全警示信息,不涉及人身、设备及环境伤害.
华为SecoManager安全控制器技术白皮书前言华为专有和保密信息版权所有华为技术有限公司iii修订记录修改记录累积了每次文档更新的说明.
最新版本的文档包含以前所有文档版本的更新内容.
文档版本01(2018-03-31)第一次正式发布.
文档版本02(2018-10-31)第二次正式发布.
文档版本03(2019-6-30)第三次正式发布.
文档版本04(2020-01-13)第四次正式发布.
文档版本04(2020-09-09)第五次正式发布.
华为SecoManager安全控制器技术白皮书目录华为专有和保密信息版权所有华为技术有限公司iv目录前言ii1业务技术.
71.
1产品定位.
72基础设施安全业务集中管理.
92.
1设备管理.
92.
2VPN管理102.
3对象管理.
102.
4策略管理.
113基础设施安全业务编排123.
1业务模型.
123.
1.
1保护网段.
123.
1.
2逻辑分区.
133.
1.
3应用程序.
133.
2保护网段.
143.
3基于逻辑分区进行安全管理.
143.
4基于应用程序进行安全管理.
154对接iMasterNCE-Fabric实现安全业务自动编排.
164.
1概述164.
2特性概览.
164.
3iMasterNCE-Fabric业务模型.
174.
3.
1外部网络.
174.
3.
2租户VPC.
184.
3.
3公共VPC.
184.
3.
4逻辑路由器.
194.
3.
5逻辑交换机.
194.
3.
6逻辑端口.
194.
3.
7逻辑防火墙.
194.
3.
8子网(subnet)194.
3.
9EPG.
20华为SecoManager安全控制器技术白皮书目录华为专有和保密信息版权所有华为技术有限公司v4.
3.
10业务链.
204.
3.
10.
1产生背景介绍204.
3.
10.
2实现方式.
204.
3.
11对象关系.
224.
4与iMasterNCE-Fabric联动实现安全业务自动编排224.
4.
1方案介绍.
224.
4.
2系统管理员.
224.
4.
2.
3设备管理.
234.
4.
2.
4资源池.
234.
4.
3租户管理员.
234.
4.
3.
5安全策略服务234.
4.
3.
6SNAT服务.
244.
4.
3.
7EIP服务.
254.
4.
3.
8IPSec服务254.
4.
3.
9带宽策略服务254.
4.
4应用举例.
264.
4.
4.
10典型组网结构264.
4.
4.
11流量模型.
265对接iMasterNCE-Campus实现安全策略管理.
285.
1概述285.
2特性概览.
285.
3iMasterNCE-Campus业务模型.
295.
3.
1租户295.
3.
2站点295.
3.
3站点模板.
295.
4与iMasterNCE-Campus联动实现安全策略管理.
305.
4.
1方案介绍.
305.
4.
2设备管理.
305.
4.
3站点安全策略305.
4.
4站点模板安全策略316对接CIS实现威胁闭环.
316.
1数据中心场景威胁自动闭环.
326.
1.
1概述326.
1.
2特性概览.
326.
1.
3关键技术方案326.
1.
4主机隔离.
336.
1.
5IP阻断(源+目的)336.
2园区场景威胁自动闭环.
336.
2.
1概述33华为SecoManager安全控制器技术白皮书目录华为专有和保密信息版权所有华为技术有限公司vi6.
2.
2特性概览.
336.
2.
3关键技术方案33华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司71业务技术1.
1产品定位SecoManager系统是华为公司研制的新一代面向企业和运营商数据中心、市场的安全控制器,作为安全的集中控制面,实现安全配置自动编排下发,从而实现业务自动化下发.
SecoManager可与网络控制器(iMasterNCE-Fabric)对接,兼容客户基于Neutron业务模型的网络管理平台等.
提供的丰富的对接接口,包括RPC接口、RESTful接口等.
SecoManager可与网络控制器(iMasterNCE-Campus)对接,实现防火墙安全策略及安全配置文件的配置.
SecoManager可与安全分析器(CIS)对接,提供威胁快速响应闭环和基于流量的策略智能仿真和调优能力.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司8CloudFabric解决方案架构华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司92基础设施安全业务集中管理本章从以下几点来介绍基础设施安全业务编排的实现机制.
设备管理网络管理对象管理策略管理2.
1设备管理设备管理包含了设备的基本管理能力:设备自动发现、设备的增删改查、双机热备组的增删改查、设备组的增删改查、设备配置的一致性对比功能、设备单点登录等.
在SecoManager中,为了方便用户管理,会将双机热备的两台设备自动识别为一台逻辑设备来进行统一的管理,同时做双机热备日常管理.
设备配置一致性对比:将SecoManager最后一次部署配置和设备当前的配置进行差异对比.
如果配置不一致,可以查看相应的对比结果.
可以将配置变更到控制器上,也可以修复设备.
本版本新增支持设备加锁功能,针对加锁的设备自动进行以控制器为准进行对账.
双机热备自动识别:SecoManager在设备发现之后,会自动尝试识别设备的双机热备配置,将具体双机热备关系的两台物理设备识别为一台逻辑设备来进行管理.
这样在策略配置的过程中,就可以只关注这一台设备.
双机热备自动识别需要一个过程(几分钟),如果双机热备识别失败,用户也可以选择手工识别.
双机热备日常管理:可以针对双机热备的两台设备进行配置一致性检查、主备一致性检查、版本一致性检查,如果发现配置不一致的情况下,支持手工调整修复.
同时也可以进行手工主动切换.
设备系统模板:可以针对设备/设备组配置系统模板(含DNS服务器配置和URL远程过滤功能),批量部署到多个设备.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司10设备日常运维:支持设备的CPU、内存、磁盘使用率统计;设备接口流量统计;设备License过期时间统计;设备版本升级;设备配置文件备份.
限制条件:支持华为防火墙,功能实现较为完善,支持双机热备管理、一致性对比同步、单点登录能力不支持第三方防火墙WAF、漏扫、DB审计仅支持纳管和单点登录能力设备加锁只支持防火墙设备单机或主备镜像模式,不支持主备备份和负载分担模式.
2.
2VPN管理支持基于组网场景进行IPSec点对点策略和点对多点策略的配置.
IPSec策略配置思路:先创建多个设备模板,在每个设备模板中可以指定各自的本端地址、加密网段、本端认证相关信息(证书名称、PKI域名、本端ID等)基于业务组可以创建IPSec策略组(场景:Mesh,Hub-Spoke),指定本端设备模板和对端设备模板、预共享密钥、协商算法.
生成IPSec策略对,根据情况审视创建的策略对是否符合要求.
可以基于策略对变更加密数据流部署IPSec策略组,完成IPSec策略组的下发.
2.
3对象管理包括安全区域、地址(含域名组)、服务、预定义应用、应用组、URL分类、时间段、NAT地址池、入侵防御、反病毒、URL过滤、APT防御等能力.
这些能力基本与设备的能力一致.
由于安全区域、地址对象和NAT地址池支持设备级映射,允许不同的设备存在相同的安全区域、地址和NAT地址池名称一致,但是内容不一致.
配置思路:在对应的对象模块创建对象,在策略模块中可以选择这些对象.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司11如果在策略中发现不存在该对象,也可以在策略模块中直接创建对象.
2.
4策略管理当前支持安全策略和NAT策略功能.
下面重点介绍一下安全策略:安全策略功能主要用于访问控制以及内容安全检查.
用户通过设置对应的匹配条件包括源/目的安全区域、源/目的地址(含域名组)、服务、预定义应用、应用组、时间段来进行控制,在执行动作上可以设置允许或禁止.
同时也可以配置上对应的安全配置文件做内容安全防护.
安全策略与eSight对比,增加了策略组视图和设备/设备组视图进行策略快速管理,同时增加了策略变更统计、部署状态统计.
同时,SecoManager新增了策略分级能力(全局置顶策略、全局置底策略、共享策略、本地策略)策略组视图和设备/设备组视图进行策略快速管理:可以以查看单一策略组或单一设备/设备组,可以快速过滤策略组和设备/设备组相关的策略.
选择了某一个策略组或设备/设备组后,再新增策略时,默认也会选中该策略组或设备/设备组.
策略变更统计:当SecoManager的配置进行变更之后,将识别这个策略为变更状态.
变更的策略需要考虑部署到对应的设备上.
变更统计状态包含:新建、修改、删除、未变更.
用户可以通过点击变更统计状态的内容进行快速筛选该状态下的策略.
部署状态统计:以策略的视角来统计该策略的部署状态:未部署、已部署、部署中、部分部署、部署失败.
这样可以比较直观的看到策略部署的进展.
用户可以通过点击部署状态的内容进行快速筛选该状态下的策略.
策略分级管理:全局置顶策略、全局置底策略对所有租户纳管的设备均生效;全局置顶的策略优先级最高,用于配置一些强制性合规要求,不能被覆盖;全局置底的策略优先级最低,用于配置一些缺省联通策略,可以被覆盖;共享策略可以基于多个设备/设备组进行策略的共享;本地策略仅支持关联一个设备,用于不同设备的策略差异化管理,不同的设备允许创建相同名称、内容不同的本地策略.
配置思路:在创建策略时,可以选择已经创建好的对象,也可以直接创建对象.
选择完对象,可以先入库或者立即部署到对应的设备.
如果只进行入库,后续可以统一的部署操作来将SecoManager的配置下发到设备.
部署前会先进行配置对比,用户可以确认对比结果,没问题的情况下可以将配置部署到设备上.
配置说明:如果当前设备的配置和最后一次部署到该设备的配置不一致,会提示冲突.
需要用户先确认冲突才能继续部署.
冲突解决用户可以选择两个操作:(1)将设备的配置同步到SecoManager中(2)放弃该设备主动修改的结果华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司12部署任务可以进行配置备份,当设备执行出现问题时可以基于该部署任务进行回滚.
3基础设施安全业务编排本章从以下几点来介绍基础设施安全业务编排的实现机制.
业务模型保护网段安全策略服务分区策略应用策略3.
1业务模型本章节介绍对接网络控制器的业务编排模型逻辑网络、逻辑路由器、逻辑交换机、子网、外部网络,以及模型之间的关系.
3.
1.
1保护网段保护网段是安全业务编排的基础模型,也可以理解为一台防火墙保护的网段范围.
它可以通过手工的方式来配置,也可以跟iMasterNCE-Fabric协同自动学习.
通过保护网段,SecoManager感知了IP地址和防火墙设备的关系,在策略自动化编排的时候就可以基于策略的源地址和目的地址自动找到承载策略的防火墙设备.
下面是数据中心场景下,以VPC1为例,FW1的保护网段为VM1、VM2、VM3的IP地址,那么VM1访问Internet的策略将自动编排到FW1.
也通过这个原理,用户在配置策略时就可以仅配置业务需求,而不需要关注具体是哪一个防火墙设备来实施这个策略.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司13在数据中心场景中,如果有iMasterNCE-Fabric的情况下,SecoManager的保护网络可以自动完成自动响应变更.
举例,当网络中新增加一台VM,对应该VM的策略也会自动编排到对应VPC的防火墙设备上.
3.
1.
2逻辑分区传统安全管理的视角是以防火墙安全区域,但是这个跟网络部署关联太紧密,当存在多个防火墙的时候,很难将用户的业务还原出来.
基于用户业务分区视角来配置策略可以很好地解决这个问题,每个分区自动关联对应的防火墙.
3.
1.
3应用程序在数据中心中,存在很多私有的应用程序对外开放服务,这里面有IP到应用访问诉求,也有应用之间的访问诉求.
应用程序模型就是将原先是IP到IP的策略转变为应用相关的策略,这样用户维护更加直观容易、策略规模也大大变少.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司143.
2保护网段功能说明:保护网段支持导入,导入时支持创建当前不存在的设备支持在保护网段中配置标签,这些标签后续可以用于策略编排(当前版本暂时不支持)标签介绍:标签组可以认为是同一类标签的集合.
在配置保护网段时,可以指定标签,用于标识不同的标签的类型,直观地进行分组.
3.
3基于逻辑分区进行安全管理分区对象管理介绍:在SecoManager中支持创建逻辑分区对象,在该分区中,可以指定相应的IP地址范围.
在分区上也可以打上相应的标签,使用标签的方式与保护网段相同.
当用户可能无法识别分区的IP地址范围,可以将该分区识别为特例分区.
系统中有且只有一个特例分区.
分区策略介绍:在SecoManager中支持配置分区间/分区内的策略.
点击对应的矩阵内容项,可以查看和配置对应的分区间/分区内策略.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司15策略配置方式基本相同配置思路:配置或导入保护网段配置好分区和IP地址范围的关系配置分区策略并部署3.
4基于应用程序进行安全管理应用主机介绍:应用主机可以理解为部署应用的主机.
当一台应用主机存在多个IP地址时,需要将多个IP地址都输入到SecoManager中.
一台应用主机内可以部署多个应用主机服务,每个主机服务通常是一个或多个进程,可以有一种或多种协议和端口组成.
应用策略介绍:在SecoManager中应用策略的创建.
包括应用组件定义,以及应用组件内包含的应用主机服务.
组件之间的依赖关系可以在应用策略中定义好.
部分应用组件对外部的应用组件有依赖,也可以在应用策略中指定部分应用组件需要对外开放服务,这些也可以在应用策略中指定配置思路:配置或导入保护网段.
配置应用主机服务.
配置应用策略并部署.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司164对接iMasterNCE-Fabric实现安全业务自动编排本章从以下几点来介绍对接网络控制器业务编排的实现机制.
概述特性概览iMasterNCE-Fabric业务模型与iMasterNCE-Fabric联动实现安全业务自动编排4.
1概述在传统的数据中心里,应用程序部署往往会经历一个漫长的过程.
应用团队要依赖网络团队的网络部署,网络团队需要了解应用团队的诉求,才能部署一套适合应用团队需要的网络.
但是应用团队与网络团队间经常会存在一些沟通障碍,两者思考的方式不同.
一个新的应用部署,网络团队需要花费大量精力来完成这种需求的沟通.
而且后面网络基础设施有调整,网络管理员也很难维护.
本文档会介绍如何通过iMasterNCE-Fabric和SecoManager来完成一个应用的网络部署.
iMasterNCE-Fabric将应用与网络映射起来,通过简单的界面元素,完成一个应用的网络快速部署.
iMasterNCE-Fabric支持基础二三层网络互通的需求,也支持一些四到七层的高级网络需求,通过界面提供一个描述应用对网络需求的方法,完成业务的自动化部署.
SecoManager提供应用内及应用间的安全策略配置,实现了网络的可视化,提高了网络的可维护性.
在本版本中支持将SecoManager作为一个服务部署到iMasterNCE-Fabric中,保证安全和网络的协同更加高效.
4.
2特性概览iMasterNCE-Fabric定义了VPC、EPG、Subnet等网络编排模型.
以EPG为业务核心模型,所有策略都是基于EPG来进行配置.
支持对接vCenter和SystemCenter虚拟化平台.
在SecoManager中,将自动同步iMasterNCE-Fabric的租户、VPC、网络拓扑(包括逻辑路由器、逻辑交换机、逻辑防火墙、子网)、EPG、业务链等信息.
基于iMasterNCE-Fabric联动的安全业务自主业务编排支持以下特性:华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司17设备管理资源池安全策略服务SNAT服务EIP服务IPSec服务带宽策略服务4.
3iMasterNCE-Fabric业务模型本章节介绍对接网络控制器(iMasterNCE-Fabric)的业务编排模型外部网络、租户VPC、公共VPC、逻辑路由器、逻辑交换机、子网、EPG、业务链,以及模型之间的关系.
4.
3.
1外部网络我们有一个和互联网(互联网可以由其它网络代替,比如办公网络)连接的外部网络.
这个外部网络是租户虚拟机访问互联网或者互联网访问虚拟机的途径.
外部网络有一个子网,它是一组在互联网上可寻址的IP地址.
一般情况下,外部网络只有一个(neutron是支持多个外部网络的),且由管理员创建.
租户网络可由租户任意创建.
当一个租户的网络上的虚拟机需要和外部网络以及互联网通信时,这个租户就需要一个路由器.
路由器有两种接口,一种是外部网关接口,另一种是内部接口.
内部接口即是虚拟机的网关;外部网关接口只有一个,连接外部网络.
所以至此,实现了虚拟机访问互联网或者互联网访问虚拟机的路径.
外部网络的使用场景有如下几种:内网与Internet互访企业的设备要想和外界交流通信,但设备处于内网之中,与外部是分隔的,无法获取外部信息,企业内网用户需要能与Internet资源进行互访.
例如:铁路售票系统存在于内网,铁路工作人员可登陆内网进行订票,但外部人员无法访问售票系统.
如果使内网与Internet互访,则外部人员也可以在互联网上订票.
对来自Internet的流量进行负载均衡通过LB对来自Internet的流量进行负载均衡场景适用于租户在内网提供面向Internet服务的服务器,这些VM以负载均衡的方式工作,以便分担来自Internet的庞大工作负荷.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司18通过IPSecVPN,实现内网与外部私有网络互访内网与外部私有网络互访时,连接未加密,不够安全;且私网IP地址不能与内网直接互联,要先通过VPN网关封装好.
因此内网与外部私有网络的互访要通过IPSecVPN来实现.
4.
3.
2租户VPCVPC(VirtualPrivateCloud)是在网络、存储和计算公共资源的基础上,通过虚拟化和加密技术向租户提供安全可靠的信息处理、存储和传输服务.
根据业务需要一个租户可创建多个VPC.
VPC是应用实例的核心,是路由选择和转发的部件,是虚拟机和Internet网络连接的桥梁.
VPC对内可以添加EPG、Subnet和Port,对外支持关联外部网络和公共VPC,一个VPC最多只能关联一个Public的外部网络,此外部网络连接到Internet;一个VPC可以连多个私有外部网络和公共VPC.
4.
3.
3公共VPC公共VPC是一套给所有VPC可访问的公共的私有网络,可以理解为POD内的公共服务,只不过是以VPC的形式来承载的.
与公共服务的区别在于,公共服务在POD外,不在iMasterNCE-Fabric业务发放范围内,需要其他系统或者手动预配置相关信息,公共VPC是一个VPC,是由iMasterNCE-Fabric来发放的.
如果POD部署的是华为防火墙,公共VPC可支持使能SNAT,同时输入互通网络,可支持VPC访问公共VPC配置SNAT进行地址转化,从而可支持有地址重叠的VPC访问公共VPC.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司194.
3.
4逻辑路由器由运行虚拟化软件(例如华为CE交换机的VirtualSystem)的网络设备虚拟而来,连接位于不同的网络的虚拟机,确保虚拟机能够跨越三层网络与其他虚拟机进行通信.
一台网络设备可以虚拟若干台LogicRouter供不同的租户使用.
若干租户在共享同一台网络设备.
在每个租户看来,LogicRouter相当于一台独立并且真实的路由器,拥有独立的软硬件资源和运行空间.
不同LogicRouter的业务保持独立,互不干扰.
在使用体验上看,LogicRouter与真实的路由器没有差别.
一个VPC有且只有一台LogicRouter.
4.
3.
5逻辑交换机用于连接不同的虚拟机,确保虚拟机能够在二层网络范围内与其他虚拟机进行通信.
一台网络设备可以虚拟若干台LogicSwitch供不同的租户使用.
若干租户在共享同一台网络设备.
在每个租户看来,LogicSwitch相当于一台独立并且真实的交换机,拥有独立的软硬件资源和运行空间.
不同LogicSwitch的业务保持独立,互不干扰.
在使用体验上看,LogicSwitch与真实的交换机没有差别.
4.
3.
6逻辑端口虚拟机接入网络的接入点.
网络设备的一个物理端口可以虚拟若干个LogicPort供不同的租户使用.
若干租户在共享同一个端口接入网络.
在每个租户看来,LogicPort相当于一个独立并且真实的端口.
4.
3.
7逻辑防火墙租户提供防火墙功能,可以由物理防火墙或者虚拟防火墙提供.
FW(Firewall)作为网络的边界,用于在外部网络与内部网络之间实施安全访问控制,提高网络防护能力,用于基于五元组安全策略控制保护FW的Untrust域到Trust域之间的业务数据流;同时可以用不同子网间互访控制.
FW为可选部件,取决于租户是否有外部网络.
为了防范安全风险,在租户连接外部网络时请部署FW.
一台FW设备可以虚拟若干台LogicVas供不同的租户使用.
若干租户在共享同一台防火墙设备.
在每个租户看来,LogicVas相当于一台独立并且真实的防火墙,拥有独立的软硬件资源和运行空间.
不同LogicVas的业务保持独立,互不干扰.
在使用体验上看,LogicVas与真实的防火墙没有差别.
4.
3.
8子网(subnet)简单地说,子网是由一组IP地址组成的地址池.
不同子网间的通信需要路由器的支持,这个网络控制器和物理网络是一致的.
网络控制器中子网隶属于网络.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司20Subnet分为两种情况,一种是在VMM域的EPG下创建Subnet,另一种是在物理域的EPG下创建Subnet.
Subnet的vni由iMasterNCE-Fabric在POD的vni资源池中分配,网段在租户的IP资源池中分配.
如果在VMM域下创建,vlan由iMasterNCE-Fabric在POD的业务vlan资源池中自动分配.
在应用实例部署时,Subnet会在EPG所选的VMM(虚拟机管理系统)中创建一个网络,比如调用vCenter的接口创建一个portgroup.
如果Subnet为非孤立网络,那么iMasterNCE-Fabric还会在BorderLeaf上创建一个vbdif接口并绑定到VPC对应的VRF中,作为Subnet的网关.
如果在物理域下创建,vlan由iMasterNCE-Fabric在租户的业务vlan资源池中分配.
在应用实例部署时,如果Subnet为非孤立网络,那么iMasterNCE-Fabric会在BorderLeaf上创建一个vbdif接口并绑定到VPC对应的VRF中,作为Subnet的网关.
4.
3.
9EPGEPG(EndPointGroup)是一组具有相同特征的设备集合.
因此EPG在网络控制器中也可以等同于云平台的安全组.
在iMasterNCE-Fabric中,用户可以基于EPG进行业务链的引流.
4.
3.
10业务链4.
3.
10.
1产生背景介绍业务链(ServiceFunctionChain)原型在日常生活中比比皆是.
举个例子,地铁工作人员需要引导乘客依次经过进站、购票、安检、验票几道手续之后,才允许乘坐地铁.
乘客进站可看作成一条业务链,车站入口是业务链的起点,地铁是业务链的终点,而指引进站、购票、安检、验票则是业务链的关键任务.
随着网络规模越来越大,网络中的设备越来越多,业务数据在传输路径越来越复杂.
网络管理员需要一个工具,从纷繁复杂的业务模型和业务逻辑中抽丝剥茧,聚焦于业务处理路径涉及的功能节点,归纳同一类业务的处理路径.
另一方面,网络中承载的业务越来越多,业务变更越来越频繁.
如果每一次业务上线都需要网络管理员手工配置设备进行适配,工作量庞大且效率低下易出错.
网络管理员希望能定义业务处理路径,在条件满足时自动引导数据依次到指定的设备进行处理.
最后,网络管理员在使用设备时因网络拓扑依赖和物理设备依赖未能实现共享设备的目的,设备资源没有得到充分的使用.
网络管理员迫切希望解决上述三个问题,提供抽象模型、减少业务发放工作量、使用设备组建资源池进行共享,使得业务链应运而生.
4.
3.
10.
2实现方式华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司21业务链最核心的功能是根据业务目标规划业务数据路径,确定每个节点的顺序和角色,确保业务链出口输出的数据是符合要求.
业务链由消费者EPG、业务节点(ServiceNode)和生产者EPG组成.
消费者EPG和生产者EPG属于业务链的入口和出口,待处理的业务数据从消费者EPG进入业务链,从生产者EPG可获得处理结果.
消费者EPG和生产者EPG需要采用华为CE交换机,位置可选取在网络入口、NVE节点.
消费者EPG与生产者EPG可能是同一台设备.
业务节点按角色可分为如下几种:角色说明FWFW部署在网络边界,用来控制是否允许网络互访.
NAT为了解决公网IP地址紧缺和私有网络的服务器接入Internet两个问题,需要NAT设备把服务器的私有IP地址段映射到公网一个IP地址,多台服务器共享同一个公网IP地址接入Internet.
VPN在总部与分部之间互联互通时,通过VPN对在Internet传输的数据进行加密,确保数据传输安全.
业务节点需要采用华为NGFW(NextGenerationFirewall)和第三方设备.
对于NGFW而言,上述3种角色是在NGFW的虚拟系统基础上实现的.
NGFW支持物理防火墙和安装在基于X86架构的PC服务器的软件防火墙两种形态.
不同的业务设备对角色和iMasterNCE-Fabric的支持情况会有所不同:如果业务节点采用NGFW,NGFW不仅支持业务链需要依赖的FW、NAT、VPN角色,还能支持从iMasterNCE-Fabric接收管理员预先规划好的网络配置参数.
如果业务设备采用第三方设备,则所支持的角色取决于第三方设备,并且iMasterNCE-Fabric不支持向第三方设备下发网络配置参数.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司224.
3.
11对象关系上述对象中,在一个VPC逻辑网络中可以创建多个子网,子网可以通过路由内部端口关联到逻辑路由器上,这样一个逻辑路由器上的子网可以实现互通.
而逻辑路由器可以通过外部网关端口关联外部网络,从而使得这个逻辑路由器下的子网可以和外网互通.
4.
4与iMasterNCE-Fabric联动实现安全业务自动编排4.
4.
1方案介绍下面介绍SecoManager如何实现基于应用的自主业务发放,主要分为两种角色来阐述,分别是系统管理员、租户管理员.
4.
4.
2系统管理员系统管理员主要是将设备和资源池管理起来,可以提供给租户按需分配逻辑防火墙.
本章节介绍系统管理员所独有的一些关键技术方案.
设备管理资源池华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司234.
4.
2.
3设备管理设备管理包含了设备的基本管理能力:设备自动发现、设备的增删改查、双机热备组的增删改查、设备组的增删改查、设备配置的一致性对比功能、设备单点登录等.
在SecoManager中,为了方便用户管理,会将双机热备的两台设备自动识别为一台逻辑设备来进行统一的管理,同时可以对主备进行配置一致性检查、主备一致性检查、版本一致性检查,如果发现配置不一致的情况下,支持手工调整修复.
4.
4.
2.
4资源池将防火墙设备/双机热备组添加到资源池中之后,租户可以按照资源池去按需申请逻辑防火墙.
此时,租户可以不需要感知逻辑防火墙具体由资源池的哪一台物理设备进行承载,从而为租户的使用提供了便捷.
资源池支持逻辑防火墙的配额管理,用来限制虚拟防火墙的使用限额,防止一台物理防火墙的多台虚拟防火墙相互抢占资源.
4.
4.
3租户管理员本章节介绍租户管理员所独有的一些关键技术方案.
安全策略服务SNAT服务EIP服务IPSec服务带宽策略服务4.
4.
3.
5安全策略服务SecoManager可支持VPC内、VPC间及VPC到外部网络的安全策略(支持IPv4和IPv6),同时提供了入侵防御和防病毒检测能力.
将iMasterNCE-Fabric的VPC、外部网络和EPG同步到SecoManager之后,SecoManager也可以基于VPC、外部网络、EPG来配置安全策略.
不同的VPC间、VPC和外部网络间、EPG间可以配置安全策略来达到互通或者隔离的目的.
配置了安全策略服务之后,SecoManager会根据业务拓扑自动判断出需要承载该策略的逻辑防火墙以及是否跟iMasterNCE-Fabric配合,进行按需业务链引流调度,将流量引流到防火墙.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司24配置思路:1.
租户管理员创建一个安全策略服务,指定允许EPG到EPG间的安全访问控制.
2.
SecoManager基于现有配置先查找EPG与EPG间该经过哪些逻辑防火墙.
若能查询到,选择这些逻辑防火墙;若查询不到,自动指定一台逻辑防火墙3.
SecoManager将安全策略编排到对应的逻辑防火墙4.
SecoManager检查是否需要进行引流,若需要引流,驱动iMasterNCE-Fabric进行业务链引流.
4.
4.
3.
6SNAT服务SNAT服务用于数据中心内部VM访问Internet或者其他私有外部网络(地址重叠)的场景,此时VM需要获得一个公网IP地址,才能访问外部网络.
SecoManager支持在指定逻辑防火墙的开启SNAT服务,租户可以基于VPC按需配置SNAT业务(含NAT和NAT64).
SNAT业务需要指定关联的外部网络,NAT地址池的地址需要从外部网关的公共地址获取.
SecoManager同时可以基于SNAT业务做带宽限速和连接数控制.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司254.
4.
3.
7EIP服务EIP服务用于VM对外提供服务的场景,VM需要开放一个公网IP地址,用于外部用户访问该VM.
SecoManager支持在指定逻辑防火墙的开启EIP服务,租户可以基于VPC按需配置EIP业务.
EIP业务需要指定关联的外部网络,EIP的外部地址需要从外部网关的公共地址获取.
SecoManager同时可以基于EIP业务做带宽限速和连接数控制.
4.
4.
3.
8IPSec服务IPSec服务用于VPC与外部私有网络互访的场景,将VPC与外部私有网络通信需要穿越Internet时,通过开启IPSec服务可以解决该问题.
SecoManager支持在指定逻辑防火墙的开启IPSec服务,租户可以基于VPC按需配置IPSec业务.
IPSec业务需要指定关联的外部网络,IPSec的对端地址需要从外部网关的公共地址获取.
4.
4.
3.
9带宽策略服务带宽策略服务用于VPC与外部私有网络互访的场景,通过带宽通道来进行带宽限速和连接数限制.
SecoManager支持在指定逻辑防火墙的开启带宽策略服务,租户可以基于VPC按需配置带宽策略业务.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司264.
4.
4应用举例4.
4.
4.
10典型组网结构如图所示,整个组网由PE、Spine、BorderLeaf、ServerLeaf、ServiceLeaf、服务器和防火墙组成.
BorderLeaf、ServerLeaf、ServiceLeaf作为NVE节点,进行VXLAN报文的封装.
防火墙旁挂在ServiceLeaf上.
BorderLeaf作为VXLAN网关,且作为网络出口与PE连接.
4.
4.
4.
11流量模型一个简单的VM访问外网的流量模型如下图所示:华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司27SubnetB在访问外网时,会经过这几个步骤:报文首先进入ServerLeaf,进行VXLAN封装,通过VXLAN隧道将报文发给BorderLeaf上的SubnetB网关.
BorderLeaf上有与防火墙的互联IP配置,租户的VRF内进行路由查找,通过默认路由发送到防火墙上.
期间要通过VXLAN隧道,发送互ServiceLeaf上进行VXLAN报文解封装,把VLAN报文发给防火墙.
防火墙在收到报文后,会进行一些安全策略匹配,如果允许SubnetB访问外网,将报文再通过ServiceLeaf进行VXLAN封装后,转发给BorderLeaf的外网VRF.
BorderLeaf在外网VRF中进行路由查找,通过PE发送到外网.
至此,整个转发流程就结束了.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司285对接iMasterNCE-Campus实现安全策略管理本章从以下几点来介绍对接网络控制器业务编排的实现机制.
概述特性概览iMasterNCE-Campus业务模型与iMasterNCE-Campus联动实现安全策略管理5.
1概述本文档会介绍如何通过iMasterNCE-Campus和SecoManager来完成安全策略管理.
SecoManager提供站点/站点模板的安全策略配置,实现了安全策略的自动部署.
在本版本中支持将SecoManager作为一个服务部署到iMasterNCE-Campus中,增强了安全策略管理能力.
5.
2特性概览iMasterNCE-Campus定义了租户、站点、站点模板等模型.
以站点为业务核心模型,所有安全策略都是基于站点来进行配置.
在SecoManager中,将自动同步iMasterNCE-Campus的租户、站点、设备等信息.
基于iMasterNCE-Campus联动的安全业务配置支持以下特性:站点安全策略站点模板安全策略安全配置文件华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司295.
3iMasterNCE-Campus业务模型本章节介绍对接网络控制器(iMasterNCE-Campus)的业务模型租户、站点、站点模板,以及模型之间的关系.
5.
3.
1租户在iMasterNCE-Campus中,所有的租户数据隔离,租户内业务模型按如下关系进行呈现:一个租户可能存在多个站点、多个站点模板、多个设备.
一个站点可以包含多个设备.
一个站点模板可以包含多个站点.
5.
3.
2站点为了便于用户管理设备和提升业务部署效率,同一个租户下,同一个网络的设备可以规划到一个站点中.
同一个站点中所有FW设备的安全策略一致.
站点的使用场景有如下几种:FW设备新加入站点将站点中已配置的策略全量下发到新加入的FW设备.
FW设备切换站点将该FW原先配置的策略删除,并将新站点中已配置的策略全量下发到该FW设备.
5.
3.
3站点模板添加多个站点时,往往需要配置相同的网关类型的业务.
通过定制站点模板可以将这些重复的配置信息模块化,在配置站点时通过引用站点模板可以自动填写这些相同的配置信息,提升配置效率.
站点模板本质上也是对站点的分类,在策略中可以通过选择站点模板来快速查找站点.
站点模板一旦被站点使用,只能修改模板名和模板描华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司30述,其他参数不能修改,请提前规划好数据再创建.
站点模板关联站点的FW设备安全策略一致.
站点的使用场景有如下几种:FW设备新加入站点将站点关联的站点模板中已配置的策略全量下发到新加入的FW设备.
FW设备切换站点将该FW原先配置的策略删除,并将新站点关联的站点模板中已配置的策略全量下发到该FW设备.
站点绑定站点模板将站点模板中已配置的策略全量下发到新加入的站点的所有FW设备.
站点切换站点模板将该站点内所有FW原先配置的策略删除,并将新站点模板中已配置的策略全量下发到该站点所有FW设备.
5.
4与iMasterNCE-Campus联动实现安全策略管理5.
4.
1方案介绍下面介绍SecoManager如何实现基于站点和站点模板配置安全策略管理.
本章节介绍关键技术方案如下.
设备管理站点安全策略站点模板安全策略5.
4.
2设备管理设备管理包含了设备的基本管理能力:设备的增删改查、切换站点、恢复出厂配置、恢复开局配置、设备重启等.
设备管理的能力由iMasterNCE-Campus完全提供.
5.
4.
3站点安全策略SecoManager可支持基于站点的安全策略,同时提供了入侵防御、防病毒检测、URL过滤能力.
配置了站点安全策略之后,SecoManager会根据站点关联的设备自动查找到需要部署该策略的设备,将策略自动部署到对应的设备上.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司31配置思路:1.
租户管理员创建一个站点安全策略,指定地址、地区、协议端口、预定义应用、时间段和内容安全配置文件(入侵防御、反病毒和URL过滤).
2.
SecoManager基于站点查找站点内的所有防火墙.
若能查询到,将策略的配置部署到站点内所有的防火墙;若查询不到,仅将策略配置先保存,后续防火墙加入站点时自动触发策略部署.
5.
4.
4站点模板安全策略SecoManager可支持基于站点模板的安全策略,同时提供了入侵防御、防病毒检测、URL过滤能力.
配置了站点模板安全策略之后,SecoManager会根据站点模板关联的所有站点查找出需要部署该策略的设备,将策略自动部署到对应的设备上.
配置思路:1.
租户管理员创建一个站点模板安全策略,指定地址、协议端口、时间段和内容安全配置文件(入侵防御、反病毒和URL过滤).
2.
SecoManager基于站点模板查找关联站点内的所有防火墙.
若能查询到,将策略的配置部署到关联站点内所有的防火墙;若查询不到,仅将策略配置先保存,后续防火墙加入关联站点时自动触发策略部署.
6对接CIS实现威胁闭环本章从以下几点来介绍对接网络控制器业务编排的实现机制.
威胁闭环华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司326.
1数据中心场景威胁自动闭环6.
1.
1概述CIS作为安全分析器,可以通过采集流量、日志,基于大数据分析来进行威胁检测、威胁识别、威胁处置.
在威胁识别后,威胁处置需要结合SecoManager将隔离和阻断的策略分发到FW或iMasterNCE-Fabric.
6.
1.
2特性概览威胁自动闭环支持以下特性:主机隔离IP阻断6.
1.
3关键技术方案在数据中心场景,可以实现SecoManager可以跟CIS和iMasterNCE-Fabric协同实现威胁自动闭环.
总体实现流程:CIS识别威胁,根据威胁的严重性来判断是进行主机隔离还是IP阻断,发送到SecoManagerSecoManager收到隔离阻断请求,主机隔离直接分发到iMasterNCE-Fabric,IP阻断根据阻断请求是东西向流量阻断还是南北向流量阻断来决策iMasterNCE-Fabric还是FW进行阻断.
如果是iMasterNCE-Fabric隔离阻断,iMasterNCE-Fabric决策承载的TOR并进行阻断.
如果是FW阻断,SecoManager将策略编排到具体执行FW进行IP阻断.
限制:当前仅支持租户IP地址不重叠的场景.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司336.
1.
4主机隔离主机隔离参考上述方案,直接分发到iMasterNCE-Fabric进行处理.
在iMasterNCE-Fabric中会根据隔离的VM-IP找到对应承载的TOR设备,并下发对应的隔离策略.
如果VM迁移,导致TOR设备变化,iMasterNCE-Fabric会自动进行策略变更,将策略重新下发到新的TOR设备上.
6.
1.
5IP阻断(源+目的)IP阻断东西向流量和南北向识别流程:SecoManager同步iMasterNCE-Fabric的网络拓扑信息,从网络拓扑中识别VPC的subnet和防火墙的关联关系.
该VPC下subnet对应的网段作为防火墙的保护网段.
假如IP阻断中的源地址、目的地址均属于同一个防火墙的保护网段中,则认为是东西向流量防护假如IP阻断中的源地址、目的地址仅一个落入防火墙的保护网段中,则认为是南北向流量防护6.
2园区场景威胁自动闭环6.
2.
1概述CIS作为安全分析器,可以通过采集流量、日志,基于大数据分析来进行威胁检测、威胁识别、威胁处置.
在威胁识别后,威胁处置需要结合SecoManager将隔离和阻断的策略分发到iMasterNCE-Campus.
6.
2.
2特性概览威胁自动闭环支持以下特性:主机隔离IP阻断6.
2.
3关键技术方案在园区场景,可以实现SecoManager可以跟CIS和iMasterNCE-Campus协同实现威胁自动闭环.
华为SecoManager安全控制器技术白皮书华为专有和保密信息版权所有华为技术有限公司34总体实现流程:CIS识别威胁,根据威胁的严重性来判断是进行主机隔离还是IP阻断,发送到SecoManagerSecoManager收到隔离阻断请求,分发到iMasterNCE-Campus.
iMasterNCE-Campus收到隔离阻断请求,iMasterNCE-Campus决策承载的交换机并进行阻断.
限制:当前仅支持租户IP地址不重叠的场景.