基于SRv6的安全能力调度技术要求.docx

3

YD/TXXXXX—xXXX

基于SRv6的安全能力调度技术要求

1范围

本文件规定了基于SRv6的安全能力调度总体架构、编排调度层技术要求、网络基础设施技术要求、安全基础设施技术要求。

本文件适用于指导基于SRv6网络设备、云化安全资源池对应一体化产品及服务的研发、测试、部署和运营。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价办法

GB/T22239-2019信息安全技术网络安全等级保护基本要求YD/T1452-2014IPv6网络设备技术要求边缘路由器

YD/T1454-2014IPv6网络设备技术要求核心路由器IETFRFC8754IPv6段路由头

IETFRFC8986SRv6网络编程

3术语和定义

下列术语和定义适用于本文件。

3.1

SRv6流量工程策略srvótrafficengineeringpolicy

利用分段路由技术的源路由机制，通过在头端设备封装一个有序的指令列表(路径信息)来指导报文穿越网络，用于实现流量工程，提升网络质量，满足业务的端到端需求

3.2

用户标识符useridentifier

由云网安业务编排调度器分配给订购服务的用户的唯一标识，应采用USER-Group-ID字段携带。

注用户标识符在网络业务链头端设备中被封装，安全基础设施解析此标识，匹配用户安全服务映射表进入对应的安全业务链

3.3

应用标识符applicationidentifier

由网络控制器分配给特定应用发送的流量的唯一标识，应采用APP-Group-ID字段携带。

注携带应用标识符的SRv6报文，在网络业务链的头端设备被解析。匹配对应的网络业务链，实现

引流到安全资源池。

3.4

云网安业务cloudnetworksecurityservice

服务提供商面向用户提供的具备业务随需部署、敏捷开通、路径可编程、资源弹性自适应的网络和基于云化安全能力一体化服务。

3.5

安全资源池网关securityresourcepoolgateway

外部承载网络与安全资源池内部云化安全组件连接的实体。与承载网络设备相连，部署在安全资源池的入口，参与网络层SRv6业务链编排调度，通过解析用户和应用信息，匹配上层控制器下发的安全服务映射表进行安全资源调度，并将流量转发至对应的资源处理

4

YD/TXXXXX—xXXX

4缩略语

下列缩略语适用于本文件。

APN6基于IPv6的应用感知网络

APN-ID应用标识符

CE用户网络边缘设备

DOH目的选项扩展头

FW防火墙

IPS入侵防御系统

IPv6互联网协议第6版

PE服务商边缘设备

SRPGW安全资源池网关

SID分段标识

SR分段路由

SRH分段路由报头

SRP安全资源池

SRv6基于IPv6的分段路由

WAF网站应用防火墙

WEB万维网

Application-awareIPv6Networking

ApplicationIdentifier

CustonerEdge

DestinationOptionsHeader

FireTall

IntrusionPreventionSystem

InternetProtocolVersion6

ProviderEd