H3C云安全服务技术白皮书

Copyright©2016杭州H3C技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。i 6.2多资源池支持 14 1网络AV2云安全架构与模型中心安全访问控制需求外部网络与数据中心网络间2数据中心内部不同的子网间数据中心同一子网内终端间安全总体架构一些技术的方案。将原先基于连接的、孤立VHCVCF的分配，通过服务链APP实现对安全策略主动性的安全调控。另外，还可以通过代理等方式实现第三方安全设NFV(NetworkFunctionVirtualization，网络功能虚拟化)通过使用x86等通用性硬件以及虚拟化3NFV传统网络设备内的业务功能分解成一个个VNF(即ONE(SOP)。采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防B户的安全隔离互访问的。并且通过VPN在租户自身网络到虚拟数据中心网络间建立安全通道，保证访问数据传一个组织(企业一般由若干组织组成)的虚拟数据中心，它是灵活管理该组织下资源的逻辑抽象，4tvFW实现同一租户不同Subnet之间的4~7层安全防护能力；vRouterVRF关或服务节点设备根据报文目的IP地址和所属VRFVRF，在网关或服务节点上实现了架构的两种模型：5另外一种是服务链安全模型，该模型支持通过服务链实现多种安全业务的组合自定义。可以支持FW/LB/IPS/AV等更丰富的安全特性。通过服务链引流解决了路径依赖问题。同时还可以集成物理安全6，并将虚拟机加入指定安全组。安全组ACL的墙功能理。IPIPTCP的端口的五元组下发规则，可以灵转发流程会以黑盒的形式嵌入到防火墙Netfilter框架的报文处理过程中，HCVCF现整个数据中心4云服务链现。7这就是服务链(ServiceChain)。。图7服务链节点说明(2)控制器(Controller)：服务链的集中控制核心部件。解析用户配置的服务策略，下发给服务85基于SDN和服务链的云安全组网方案VSR案机接入到VXLAN网络中，其中H3CS1020V支持运行在ESXi、KVM、H3CCAS等多种虚拟化平台dOSHCVCF。这种场景下南9图8VSR做网关的服务链的服务链方案HCVCF控制器通过服务链引流到M9000/F5000、L5000。图9S12500-X/S9800做网关的服务链安全设备对接图10服务链代理南北向服务链引流和南北向安全的总结表1服务链支持东西向和南北向安全的总结硬件(M9000、L5000)IPsecVPN、FloatingIP、引流到(M9000+L5000)IPsecVPN、FloatingIP、上(FW也可以单独部署在VSR自带FW功VSRvFWvLB部署链方式引流硬件(F5000、L5000)vLB池化资源虚拟化和池化HCVCF和承载层网H3CVCF控制器将异构的承载层网络服务设备进行抽象，形成为统一的虚拟网络服务节点，隐藏源。HCVCF为资源池，例如防火LB向表2虚拟网络安全服务资源火墙载均衡器aaSN主备、负载分担等方式为上层资源池提供高可靠池支持H3CVCF控制器还可以支持多安全资源池，不同的租户业务绑定到不同的资源池中。资源池的定RF大规模租户技术资源池支持大规模租户图14硬件资源池支持大规模租户S件资源池支持大规模租户•NFV转发设备由X86服务器承担，用X86服务器实现NFV虚拟安全池的最大好处是横向扩分段服务VCF控制器针对同一租户部署多套安全资源池：如图16所示，东西向的安全资源池和南北向的安之高可靠性技术HC资源池设备的F多层次安全防护体系安全资源池FgergerHCVCF第三方安全设备集成安全插卡设备、安全框式设备)的异构安全资源池。系嵌入式安全处理，实现4~7层的防护。南北向的安全防护安全功能通过云服务部署HCloudHCloudOS的云HCloud如表3所示。负载均衡服务、公网IP服务、防火墙服务、安全组服务这务F服务节点中去。对于FW、LB、IPsecVPN、安全组等OpenStack本身已经定义的业务，直接通过HC安全优势总结SO通过服务链代理的方式，可以支持第三方的安全设备。O基于防火墙功能实现基础网络