网络安全设备资产纳管指南.pdfVIP

网络安全设备资产纳管指南

在传统网络中，网络的控制平面是分散的，安全业务难以实现集中控制和资

源规划。传统网络的安全需求，只能通过PBR、MQC、路由等引流方式手工引流

至安全设备进行处理。这类部署方式严重依赖于物理拓扑，网络设备之间耦合度

大，且安全设备无法池化利用，扩展性差，利用率低。

而在SDN网络中，Overlay技术使得物理拓扑和虚拟网络分离，安全业务不

再依赖于具体的物理组网，而是基于Overlay虚拟网络来引流。同时，因为SDN

控制器的存在，网络资源得以统一管理，网络中的安全资源也得以池化，SDN网

络的安全业务部署不再需要手工引流，而是由SDN控制器统一下发引流策略。

SDN使得安全业务更灵活、可扩展。更重要的是，SDN控制器可以约束安全设备，

形成池化资源，同时对上层应用或用户提供简洁明了的逻辑抽象接口。借助SDN

的优势，安全业务部署变得更加敏捷、简洁、可扩展。

SDN数据中心网络中，网络流量一般分为东西向流量和南北向流量两种，安

全业务也因而区分为东西向安全和南北向安全。

东西向安全服务于数据中心内部流量，具有颗粒度细、扩展性要求高等特点。

因而这种场景更适合用OpenFlow进行引流、用NFV来构建资源池。这种安全部

署方案一般称之为服务链（Service-Chain）方案。

南北向安全服务于数据中心内与外网之间的流量，因而安全资源池往往以硬

件安全设备构建，放置在数据中心出口，提供边界安全。这种安全部署方案的硬

件安全设备由SDN控制器统一纳管，并形成可扩展资源池，因而又叫做SDN安

全纳管方案。

众所周知，SDN的核心思想是将网络的控制平面与转发平面分离。目前应用

最为广泛的控制平面有OpenFlow和EVPN两种，相对应的，安全纳管方案也分

别应用在这两种控制平面主导的组网方案中。但无论哪种控制平面，安全纳管资

源池总是处于Overlay网络和传统网络的边界处。如1，防火墙资源池串连在

Border设备上，并且与外网Router设备互通路由；而负载均衡资源池旁挂在

Border设备上，并通过VLAN隔离网络与Border设备、防火墙资源池互通。在

Border设备以下是典型的Overlay网络，南北向流量通过Overlay网络发送至

Border设备后，Border设备会还原出Overlay原始报文，并根据控制器下发的引

流策略发送至安全资源池。

1安全纳管组网

SDN公有云环境要求租户之间互相隔离，这不仅体现在基础网络资源的隔离，

也体现在租户的安全资源隔离。每个租户都独占自己的虚拟安全设备，相互之间

不感知。从安全纳管方案的角度来说，SDN控制器通过Netconf纳管安全设备，

并在安全设备上申请虚拟防火墙资源，分配给对应的租户使用。强大的安全设备

自身支持资源扩容，通过扩容硬件板卡等方式，可以生成多个引擎组。SDN控制

器将每个引擎组视为一个资源池，不同的资源池可以配置不同的防火墙模板，从

而实现差异化需求。租户在SDN控制器申请安全资源，SDN控制器在对应的资

源池内申请创建Context资源，并分配给租户使用。不同的Context是相互隔离

的，同时，在Border设备上，SDN控制器通过下发VPN实例和VLAN等配置来

隔离网络。这样便实现了安全资源的弹性扩容和互相隔离。

2安全纳管资源池

与传统网络一样，安全纳管方案也需要在设备间进行引流。有所不同的是，

SDN控制器已经设计好了一套完善的引流方案，租户申请安全资源时，SDN控制

器会自动下发相关引流配置。如3，控制器将安全纳管方案分为四张虚拟网络线

路，分别是“安全外网”、“安全内网”、“租户承载网”和“虚拟资源管理网”。

安全外网用于防火墙Context与外网路由器建立路由连接，与外网互通；安全内

网用于传输防火墙Context和负载均衡Context之间的流量；租户承载网用于

Context发给租户虚机的流量；虚拟资源管理网用于控制器与Context之间进行通

信。实际部署中，往往将安全内网、租户承载网和虚拟资源管理网承载在一根物

理线路上，为了逻辑清晰和稳定性考虑，有时会将虚拟资源管理网或