HiSec CloudFabric解決方案技術(shù)白皮書(shū)

1、HiSecCloudFabric 解決方案技術(shù)白皮書(shū)目錄 HYPERLINK l _bookmark0 方案背景1 HYPERLINK l _bookmark1 云安全風(fēng)險(xiǎn)分析1 HYPERLINK l _bookmark2 云計(jì)算業(yè)務(wù)特點(diǎn)與業(yè)務(wù)需求1 HYPERLINK l _bookmark3 安全需求總結(jié)2 HYPERLINK l _bookmark4 方案價(jià)值2 HYPERLINK l _bookmark5 方案概述3 HYPERLINK l _bookmark6 方案架構(gòu)3 HYPERLINK l _bookmark7 方案介紹5 HYPERLINK l _bookmark8 安全服

2、務(wù)化5 HYPERLINK l _bookmark9 方案概述5 HYPERLINK l _bookmark10 方案設(shè)計(jì)5 HYPERLINK l _bookmark11 方案架構(gòu)5 HYPERLINK l _bookmark12 安全資源池7 HYPERLINK l _bookmark13 租戶級(jí)安全服務(wù)8 HYPERLINK l _bookmark14 業(yè)務(wù)鏈編排8 HYPERLINK l _bookmark15 VAS 服務(wù)類(lèi)型11 HYPERLINK l _bookmark16 VAS 服務(wù)使用場(chǎng)景11 HYPERLINK l _bookmark17 網(wǎng)安一體化聯(lián)動(dòng)方案13 HYPE

3、RLINK l _bookmark18 方案概述13 HYPERLINK l _bookmark19 數(shù)據(jù)采集14 HYPERLINK l _bookmark20 威脅檢測(cè)16 HYPERLINK l _bookmark21 WEB 異常檢測(cè)原理17 HYPERLINK l _bookmark22 郵件異常檢測(cè)原理17 HYPERLINK l _bookmark23 C&C 異常檢測(cè)原理17 HYPERLINK l _bookmark24 流量基線異常檢測(cè)原理17 HYPERLINK l _bookmark25 隱蔽通道異常檢測(cè)原理18 HYPERLINK l _bookmark26 惡意文件

4、檢測(cè)原理18 HYPERLINK l _bookmark27 關(guān)聯(lián)分析原理18 HYPERLINK l _bookmark28 威脅判定原理19 HYPERLINK l _bookmark29 云端威脅情報(bào)19 HYPERLINK l _bookmark30 聯(lián)動(dòng)閉環(huán)19 HYPERLINK l _bookmark31 保護(hù)網(wǎng)段19 HYPERLINK l _bookmark32 威脅閉環(huán)19 HYPERLINK l _bookmark33 主機(jī)隔離20 HYPERLINK l _bookmark34 基于 IP 阻斷20 HYPERLINK l _bookmark35 典型部署場(chǎng)景21 HY

5、PERLINK l _bookmark36 網(wǎng)安一體聯(lián)動(dòng)典型部署場(chǎng)景21 HYPERLINK l _bookmark37 網(wǎng)安一體聯(lián)動(dòng)（軟件墻）典型部署場(chǎng)景22 1方案背景 HYPERLINK l _bookmark1 云安全風(fēng)險(xiǎn)分析 HYPERLINK l _bookmark2 云計(jì)算業(yè)務(wù)特點(diǎn)與業(yè)務(wù)需求 HYPERLINK l _bookmark3 安全需求總結(jié) HYPERLINK l _bookmark4 方案價(jià)值云安全風(fēng)險(xiǎn)分析雖然云計(jì)算給用戶提供了一種新型的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)環(huán)境，但是在系統(tǒng)和應(yīng)用上提供的服務(wù)等方面卻并未發(fā)生革命性的改變。在云計(jì)算平臺(tái)上，認(rèn)證和授權(quán)類(lèi)、邏輯攻擊類(lèi)、客戶端攻擊

6、類(lèi)、命令執(zhí)行類(lèi)、信息泄露類(lèi)威脅仍然是不可忽視的，除了傳統(tǒng)的網(wǎng)絡(luò)安全威脅，虛擬化本身的安全問(wèn)題、租戶間隔離等都是云計(jì)算環(huán)境下引入的安全風(fēng)險(xiǎn)。云計(jì)算業(yè)務(wù)特點(diǎn)與業(yè)務(wù)需求云計(jì)算的業(yè)務(wù)特點(diǎn)就是“服務(wù)化”。服務(wù)化架構(gòu)的特點(diǎn)包括：多租戶、海量用戶、數(shù)據(jù)共享、無(wú)邊界計(jì)算、業(yè)務(wù)動(dòng)態(tài)變化、業(yè)務(wù)模型不受網(wǎng)絡(luò)拓?fù)湎拗频忍攸c(diǎn)。云計(jì)算模式對(duì)于安全保障提出了更高的要求。要求安全保障方案，能夠適配云計(jì)算所代表的按需自服務(wù)、資源池化、快速?gòu)椥詳U(kuò)展、安全策略自適應(yīng)業(yè)務(wù)變化（業(yè)務(wù)隨 行）等要求。由于多租戶、多安全設(shè)備和云業(yè)務(wù)的動(dòng)態(tài)變化，管理符合用戶業(yè)務(wù)要求的安全策略非常困難，手工配置幾乎不可接受，傳統(tǒng)的云安全策略管理機(jī)制在云中幾乎

7、不可實(shí)施。以傳統(tǒng)安全設(shè)備為代表的安全解決方案是無(wú)法滿足上述要求的。舉例來(lái)說(shuō)，在用戶部署了虛擬化計(jì)算技術(shù)和 SDN 網(wǎng)絡(luò)虛擬化技術(shù)之后，網(wǎng)絡(luò)和計(jì)算業(yè)務(wù)的開(kāi)通只需要幾個(gè)小時(shí)，而配套的安全技術(shù)的部署可能要好幾周甚至幾個(gè)月。使用傳統(tǒng)安全技術(shù)保護(hù)虛擬化數(shù)據(jù)中心，會(huì)使得安全成為用戶業(yè)務(wù)最大的瓶頸。云中的“安全服務(wù)化”是必備功能。安全需求總結(jié)云用戶對(duì)安全的需求分成 2 個(gè)方面：1、威脅防御能力：數(shù)據(jù)中心存在大量核心業(yè)務(wù)服務(wù)器，往往成為惡意攻擊者的主要目標(biāo)。攻擊者通過(guò)社會(huì)工程學(xué)、0day 漏洞等高級(jí)攻擊技術(shù)入侵?jǐn)?shù)據(jù)中心，從而竊取或破壞高價(jià)值資產(chǎn)。因此需要高級(jí)安全防御能力，以應(yīng)對(duì)傳統(tǒng)攻擊與APT 攻擊，保障受保

8、護(hù)目標(biāo)的安全。2、安全服務(wù)化架構(gòu)能力：安全架構(gòu)能夠滿足云計(jì)算業(yè)務(wù)中多租戶、資源靈活性、無(wú)邊界計(jì)算、全流量防護(hù)、安全業(yè)務(wù)隨行等要求。如：一套相同的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，需要滿足不同類(lèi)型的用戶業(yè)務(wù)需求；安全業(yè)務(wù)能夠快速上線，滿足多租戶環(huán)境等。方案價(jià)值在虛擬化和云環(huán)境下，華為提出 HiSecCloudFabric 安全解決方案，其主要價(jià)值如下：智能防御東西向流量精細(xì)隔離控制，有效避免威脅橫向擴(kuò)散。配套大數(shù)據(jù)智能分析系統(tǒng)，可檢測(cè)未知威脅。網(wǎng)絡(luò)與安全智能聯(lián)防閉環(huán)，可快速響應(yīng)隔離內(nèi)部威脅，防止威脅擴(kuò)散。按需彈性安全資源池化，可支持東西和南北資源池的分離，資源池可按需彈性擴(kuò)縮。安全業(yè)務(wù)分鐘級(jí)開(kāi)通，提供多種類(lèi)的安全服

9、務(wù)，并基于 SDN 統(tǒng)一調(diào)度、自動(dòng)化編排發(fā)放安全業(yè)務(wù)。安全業(yè)務(wù)功能與物理拓?fù)浣怦睿趹?yīng)用動(dòng)態(tài)地使用業(yè)務(wù)鏈排來(lái)編排安全服務(wù)。支持全面的 IPv6 過(guò)渡技術(shù)，包含 NAT64 地址轉(zhuǎn)換技術(shù)、雙棧技術(shù)，無(wú)縫連接 IPv6 部署的不同階段。 2方案概述 HYPERLINK l _bookmark6 2.1方案架構(gòu)方案架構(gòu)華為HiSecCloudFabric 安全解決方案的分層和組件如圖所示。業(yè)務(wù)呈現(xiàn)/協(xié)同層云網(wǎng)一體化場(chǎng)景FusionSphere（華為云操作系統(tǒng)解決方案）：由 ManageOne 提供統(tǒng)一Portal，租戶通過(guò) ManageOne Portal 訂閱、動(dòng)態(tài)打通VAS 服務(wù)，其中由Ope

10、nStack 定義的 VAS 服務(wù)通過(guò)Agile Controller-DCN 分發(fā)給 SecoManager 處理，由 SecoManager 下發(fā)配置到防火墻設(shè)備上，非OpenStack 定義的 VAS 服務(wù)由 ManagerOne 直接和 SecoManager 對(duì)接完成發(fā)放。第三方 OpenStack：租戶通過(guò)第三方Portal 或者第三方云平臺(tái)訂閱 VAS 服務(wù)，第三方OpenStack 云平臺(tái)調(diào)用 Agile Controller-DCN 接口動(dòng)態(tài)開(kāi)通 VAS 服務(wù)，Agile Controller- DCN 將 VAS 服務(wù)請(qǐng)求分發(fā)給 SecoManager 處理。網(wǎng)絡(luò)虛擬化場(chǎng)景

11、AC Orchestration 作為 Agile Controller-DCN 和SecoManager 的業(yè)務(wù)呈現(xiàn)層，作為網(wǎng)絡(luò)和安全的控制界面。控制/管理/分析層Agile Controller-DCN：完成網(wǎng)絡(luò)建模、實(shí)例化、自動(dòng)編排下發(fā)網(wǎng)絡(luò)配置等，并負(fù)責(zé)將流量引流到 VAS 設(shè)備。eSight+eLog：實(shí)現(xiàn)安全設(shè)備管理和日志報(bào)表管理。SecoManager：實(shí)現(xiàn) VAS 服務(wù)的編排和策略管理。CIS：大數(shù)據(jù)安全分析系統(tǒng)，可動(dòng)態(tài)監(jiān)測(cè)分析APT 安全威脅，并提供整網(wǎng)安全態(tài)勢(shì)，可通過(guò)控制器聯(lián)動(dòng)防火墻、交換機(jī)等設(shè)備阻斷安全威脅。網(wǎng)絡(luò)/設(shè)備層由物理和虛擬網(wǎng)絡(luò)設(shè)備組成，用于承載Overlay 網(wǎng)絡(luò)

12、。其中，安全設(shè)備獲取數(shù)據(jù)流量， 并基于安全策略執(zhí)行安全功能。本層提供硬件和軟件兩種設(shè)備形態(tài)，可滿足數(shù)據(jù)中心邊界安全防護(hù)、租戶邊界和租戶內(nèi)安全防護(hù)的需求。Agile Controller-DCN 和 SecoManager 以服務(wù)化集成方式對(duì)接，SecoManager 的界面集成到 Agile Controller-DCN 的安全菜單中，融合部署在一套服務(wù)器，不獨(dú)占資源，服務(wù)間交互通過(guò) API 接口調(diào)用來(lái)實(shí)現(xiàn)。 3方案介紹 HYPERLINK l _bookmark8 安全服務(wù)化 HYPERLINK l _bookmark17 網(wǎng)安一體化聯(lián)動(dòng)方案安全服務(wù)化方案概述安全服務(wù)化是一種安全能力的供給和

13、管理方式。保證安全可以滿足云計(jì)算業(yè)務(wù)所需的資源按需分配、彈性擴(kuò)展、安全策略自適應(yīng)業(yè)務(wù)變化，安全自動(dòng)化運(yùn)維等要求。云安全服務(wù)化需要解決的問(wèn)題主要有：僵化的安全資源不適應(yīng)云業(yè)務(wù)的彈性要求；僵化的安全策略不適應(yīng)云業(yè)務(wù)的動(dòng)態(tài)變化；固定的安全功能不滿足租戶多變的安全要 求；無(wú)法實(shí)現(xiàn)邊界及網(wǎng)內(nèi)的全流量防護(hù)。云安全服務(wù)化架構(gòu)融合 SDN 思路，將彈性和快捷的特性引入安全方案中，安全方案做到“控制層-功能層”分離；功能層面打通硬件、軟件防火墻形成“安全資源池”，控制層面統(tǒng)一進(jìn)行安全資源調(diào)度，按需組合安全功能，實(shí)現(xiàn)安全自適應(yīng)能力。方案設(shè)計(jì)方案架構(gòu)安全服務(wù)化適應(yīng) CloudFabric 中網(wǎng)絡(luò)虛擬化場(chǎng)景和云網(wǎng)一體

14、化場(chǎng)景架構(gòu)。網(wǎng)絡(luò)虛擬化場(chǎng)景架構(gòu)圖：云網(wǎng)一體化場(chǎng)景架構(gòu)圖：方案架構(gòu)涉及組件概述表：組件網(wǎng)絡(luò)虛擬化場(chǎng)景云網(wǎng)一體化場(chǎng)景第三方 OpenStack/ FusionSphere不涉及發(fā)放包括 SNAT、EIP、FWaas、IPsec VPN 的 L4L7 業(yè)務(wù)ManageOne不涉及發(fā)放 L4L7 業(yè)務(wù)，包含安全策略、IPS、AVAgile Controller-DCN1、發(fā)放邏輯網(wǎng)絡(luò)服務(wù)， 負(fù)責(zé)華為VAS 設(shè)備和L2/3Fabric 雙向互聯(lián)網(wǎng)絡(luò)的編排；2、管理華為 CE 交換機(jī)。1、對(duì)接云平臺(tái) L2L7 plugin，將云平臺(tái) SNAT、EIP、FWaas、IPSec VPN 相關(guān)業(yè)務(wù)分發(fā)給Seco

15、Manager 處理；2、發(fā)放邏輯網(wǎng)絡(luò)服務(wù)，負(fù)責(zé)華為VAS 設(shè)備和 L2/3Fabric 雙向互聯(lián)網(wǎng)絡(luò)的編排；2、管理華為 CE 交換機(jī)。SecoManager負(fù)責(zé)華為VAS 設(shè)備的業(yè)務(wù)編排，管理華為VAS 設(shè)備，并向其下發(fā)相關(guān)配置。1、支持直接對(duì)接ManageOne 定義 IPS、AV 等安全功能；2、負(fù)責(zé)華為VAS 設(shè)備的業(yè)務(wù)編排，管理華為VAS 設(shè)備，并向其下發(fā)相關(guān)配置；華為VAS 設(shè)備華為防火墻負(fù)責(zé)提供安全策略、EIP、SNAT、IPSec VPN 、IPS、AV的業(yè)務(wù)功能華為防火墻負(fù)責(zé)提供安全策略、EIP、SNAT、IPSec VPN 、IPS、AV 的業(yè)務(wù)功能安全資源池安全資源池是

16、為租戶提供按需安全服務(wù)的基礎(chǔ)，SecoManager 通過(guò)納管硬件防火墻或者軟件防火墻來(lái)生成安全資源池，硬件和軟件防火墻都具有一虛多功能（vsys，virtual system），能將一臺(tái)防火墻虛擬為多個(gè)獨(dú)立的防火墻實(shí)例，租戶在申請(qǐng) VAS 服務(wù)時(shí)， SecoManager 為租戶在安全資源池中分配使用邏輯 VAS（vSys），無(wú)需感知底層 FW 設(shè)備。安全資源池化流程：1、硬件防火墻旁掛在核心交換機(jī)上或者通過(guò) Service Leaf 節(jié)點(diǎn)接入到DCN 網(wǎng)絡(luò)中；軟件防火墻通過(guò) Service Leaf 節(jié)點(diǎn)接入到 DCN 網(wǎng)絡(luò)中。2、選擇多臺(tái)硬件/軟件防火墻（建議主備雙機(jī)部署），通過(guò) Sec

17、oManager 組建安全資源池，安全資源池創(chuàng)建成功后，加入資源池的設(shè)備資源即由 SecoManage 統(tǒng)一管理、分配3、租戶需要安全功能時(shí)，SecoManager 從安全資源池中分配安全資源給該租戶，資源池支持一虛多時(shí)，系統(tǒng)會(huì)在安全設(shè)備上創(chuàng)建 vsys，并將 vsys 分配給租戶；資源池不支持一虛多時(shí)，系統(tǒng)會(huì)把物理防火墻設(shè)備分配給租戶。4、安全資源分配后，AC-DCN 在交換機(jī)分配VRF 給該租戶，從而實(shí)現(xiàn)租戶流量向安全資源池的引流。租戶級(jí)安全服務(wù)業(yè)務(wù)鏈編排租戶級(jí)安全服務(wù)虛擬化網(wǎng)絡(luò)中，不同的租戶應(yīng)用運(yùn)行在同一物理機(jī)上，使網(wǎng)絡(luò)的物理邊界消失， 只存在邏輯的邊界，造成邊界模糊，虛擬化二層流量直接

18、通過(guò) vSwitch 交互，流量不可視不可控。針對(duì)租戶不同的流量，安全資源池通過(guò)如下方式進(jìn)行安全檢測(cè)：流量 1：租戶的南北向流量，大部分場(chǎng)景在申請(qǐng) LogicVas 時(shí)已經(jīng)通過(guò)網(wǎng)絡(luò)編排把流量引入到安全資源池中，或者通過(guò)業(yè)務(wù)鏈的方式引流到安全資源池中。流量 2：租戶的東西向流量，直接通過(guò) TOR 轉(zhuǎn)發(fā)，不經(jīng)過(guò)安全資源池，通過(guò)配置基于EPG 的安全策略來(lái)編排業(yè)務(wù)鏈將流量引到安全資源池中，引流后即為流量2。EPG（端點(diǎn)組）介紹EP（End Point）是指接入網(wǎng)絡(luò)的物理設(shè)備或虛擬設(shè)備，比如物理機(jī)、虛擬機(jī)、存儲(chǔ)、物理網(wǎng)卡、虛擬網(wǎng)卡。EPG（End Point Group，端點(diǎn)組）則是一組具有相同特征的

19、 EP 集合，代表了一組應(yīng)用或服務(wù)，這些應(yīng)用或服務(wù)通常都具有相同的安全策略等級(jí)，一個(gè) EPG 內(nèi)可以包含多個(gè)子網(wǎng)。EPG 可按不同方式劃分，比如：按網(wǎng)絡(luò)規(guī)格劃分（如子網(wǎng)、VLAN ID、VNI ID），按照應(yīng)用類(lèi)型劃分（如 Web EPG、APP EPG、DB EPG），按照分區(qū)原則劃分（如 Front EPG、Backend EPG、DMZ EPG）。業(yè)務(wù)鏈介紹（ Service Function Chaining）業(yè)務(wù)鏈?zhǔn)且粋€(gè)業(yè)務(wù)功能有序圖，保證指定的業(yè)務(wù)流按順序通過(guò)這些業(yè)務(wù)功能節(jié)點(diǎn)。當(dāng) EPG 之間存在互通需求時(shí)，則需要通過(guò)編排業(yè)務(wù)鏈配置 EPG 間的互訪策略，包括互訪關(guān)系、流動(dòng)作、是否

20、要經(jīng)過(guò)防火墻以及提供的業(yè)務(wù)的順序。業(yè)務(wù)鏈可以看做是在 SDN 控制器的控制下，使用 Overlay 技術(shù)將 VAS 服務(wù)鏈映射和物理服務(wù)設(shè)備解耦，只要承載網(wǎng) IP 可達(dá)，即可將虛擬層服務(wù)鏈映射到承載層服務(wù)設(shè)備的技術(shù)。同 VPC 的東西向流量互訪模型：紅色虛線表示相同VPC 不同子網(wǎng)互訪的：EPG1 與EPG2； 藍(lán)色虛線表示相同VPC 同子網(wǎng)互訪：EPG2 與EPG2；EPG1 對(duì)應(yīng) subnet1，EGP2 對(duì)應(yīng) subnet2：不同子網(wǎng)的業(yè)務(wù)隔離：配置基于EPG 的安全策略：源EPG 為 EPG1，目的EPG 對(duì)應(yīng) EPG2。同子網(wǎng)的業(yè)務(wù)隔離：配置基于EPG 的安全策略：源和目的 EPG

21、都對(duì)應(yīng)EPG2?？?VPC 的東西向流量互訪模型通過(guò)配置“VPC 互通實(shí)例”設(shè)置跨VPC 流量是否通過(guò)防火墻。VAS 服務(wù)類(lèi)型服務(wù)類(lèi)型網(wǎng)絡(luò)虛擬化云網(wǎng)一體化SNAT為租戶提供私網(wǎng) IP 到公網(wǎng) IP 的地址轉(zhuǎn)換服務(wù)，將用戶的私有源 IP 地址轉(zhuǎn)換為指定的公有 IP 地址，實(shí)現(xiàn)訪問(wèn)Internet；支持在云平臺(tái)上編排。EIP為租戶提供 VM 的彈性 IP 服務(wù)，將一個(gè)公有 IP 地址綁定到租戶網(wǎng)絡(luò)的私有 IP 地址上，實(shí)現(xiàn)租戶網(wǎng)絡(luò)的各種資源通過(guò)固定的公有 IP 地址對(duì)外提供服務(wù)；支持在云平臺(tái)上編排。IPSec VPN為租戶提供 IPSecVPN 加密傳輸服務(wù)，當(dāng)租戶數(shù)據(jù)中心和外部有安全通信需求時(shí)，

22、可通過(guò) IPSec VPN 實(shí)現(xiàn)互通；支持在云平臺(tái)上編排。NAT64適用于數(shù)據(jù)中心內(nèi)部租戶已經(jīng)切換為 IPv6，外網(wǎng)服務(wù)器還是IPv4 的場(chǎng)景， 內(nèi)網(wǎng)用戶主動(dòng)訪問(wèn)外網(wǎng)服務(wù)的場(chǎng)景；云網(wǎng)場(chǎng)景中只支持在電信云場(chǎng)景對(duì)應(yīng)FusionSphere 6.3 云平臺(tái)編排。帶寬策略為租戶提供會(huì)話連接數(shù)限制功能，避免因?yàn)楣魧?dǎo)致連接數(shù)耗盡，無(wú)法正常服務(wù)。不支持云平臺(tái)編排Anti- Ddos提供DDoS 防護(hù)，避免造成網(wǎng)絡(luò)的鏈路擁塞、系統(tǒng)資源耗盡，導(dǎo)致拒絕向正常用戶的請(qǐng)求提供服務(wù)。不支持云平臺(tái)編排IPS入侵防御支持通過(guò) ManageOne 發(fā)放AV防病毒支持通過(guò) ManageOne 發(fā)放URL過(guò)濾限制可訪問(wèn) URL

23、 列表不支持云平臺(tái)編排ASPFASPF 功能可以保證系統(tǒng)對(duì)多通道協(xié)議中臨時(shí)協(xié)商的端口正常進(jìn)行報(bào)文過(guò)濾和 NAT。不支持云平臺(tái)編排安全策略支持五元組安全策略配置、地址集匹配、指定時(shí)間段等。通過(guò) Fwaas，支持五元組安全策略配置、地址集匹配、指定時(shí)間段等，可在云平臺(tái)上編排安全策略、FWaas、NAT64、ASPF 功能支持 IPv6 和 IPv4，其他功能只支持 IPv4。VAS 服務(wù)使用場(chǎng)景VPC 內(nèi)部互訪流量防護(hù)針對(duì)VPC 內(nèi)東西向同子網(wǎng)或不同子網(wǎng)間的流量防護(hù)，使用業(yè)務(wù)鏈，將同子網(wǎng)或不同子網(wǎng)流量重定向到 VAS 設(shè)備，發(fā)放安全策略、IPSecVPN 等 VAS 服務(wù)，實(shí)現(xiàn)同VPC 內(nèi)流量的防

24、護(hù)。VPC 與外網(wǎng)流量防護(hù)：針對(duì)VPC 內(nèi)與外網(wǎng)的南北流量防護(hù)，使用業(yè)務(wù)鏈，將外部網(wǎng)絡(luò)作為其中一個(gè)EPG，可以靈活引流到多個(gè) VAS，發(fā)放安全策略、IPSec VPN、EIP、IPS 等 VAS 服務(wù)。VPC 間流量防護(hù)場(chǎng)景一：多個(gè)VPC 關(guān)聯(lián)到同一個(gè)外部網(wǎng)絡(luò)當(dāng)多個(gè) VPC 關(guān)聯(lián)到同一個(gè)外部網(wǎng)絡(luò)時(shí)，默認(rèn)各 VPC 間 L3 互通，因此不需要配置各VPC 間的互訪安全策略，租戶管理員單獨(dú)配置各VPC 使用的 VAS 服務(wù)即可。場(chǎng)景二：分別規(guī)劃每對(duì)VPC 間的互訪策略當(dāng)各VPC 間應(yīng)用間互訪關(guān)系相對(duì)固化，策略不需要頻繁變更時(shí)，可以選擇單獨(dú)規(guī)劃每一對(duì)VPC 間互通及互訪策略，此時(shí)各互通的 VPC 間

25、分別配置不同的 VAS 服務(wù)。網(wǎng)安一體化聯(lián)動(dòng)方案方案概述網(wǎng)安一體聯(lián)動(dòng)方案總體架構(gòu)圖如下：分析器：CIS、FireHunter：具備大數(shù)據(jù)安全分析和文件分析的能力，能夠通過(guò)文件， 流量和日志綜合分析，結(jié)合威脅情報(bào)，識(shí)別未知威脅，聯(lián)動(dòng)安全控制器下發(fā)安全策略?？刂破鳎篠ecoManager：安全控制器，根據(jù) CIS 下發(fā)的安全聯(lián)動(dòng)策略任務(wù)自動(dòng)化生成對(duì)應(yīng)安全控制策略，下發(fā)到對(duì)應(yīng)安全執(zhí)行器或網(wǎng)絡(luò)控制器進(jìn)行執(zhí)行。Agile Controller-DCN：網(wǎng)絡(luò)控制器，通過(guò)與 SecoManager 聯(lián)動(dòng)，接收其安全聯(lián)動(dòng)策略，并下發(fā)給交換機(jī)等網(wǎng)絡(luò)設(shè)備進(jìn)行執(zhí)行。執(zhí)行器：NGFW：接收安全控制器SecoManag

26、er 下發(fā)的具體指令，進(jìn)行安全策略部署，實(shí)現(xiàn)安全處置閉環(huán)。交換機(jī)：接收網(wǎng)絡(luò)控制器Agile Controller-DCN 下發(fā)的具體指令，進(jìn)行安全策略部署，實(shí)現(xiàn)安全處置閉環(huán)。數(shù)據(jù)采集CIS 日志采集器負(fù)責(zé)日志采集，實(shí)現(xiàn)日志/事件的高性能采集和預(yù)處理；日志采集流程包括日志接收、日志分類(lèi)、日志格式化和日志轉(zhuǎn)發(fā)。Syslog 日志在上送大數(shù)據(jù)平臺(tái)之前要進(jìn)行歸一化處理，將其轉(zhuǎn)換為大數(shù)據(jù)平臺(tái)能理解的統(tǒng)一格式。支持如下功能：支持采集網(wǎng)絡(luò)/安全設(shè)備上報(bào)的Netflow 數(shù)據(jù)支持采集第三方系統(tǒng)（ArcSight CEF 格式, IBM Qradar Json 格式）和安全設(shè)備的Syslog 日志；日志采集器到

27、大數(shù)據(jù)平臺(tái)的實(shí)現(xiàn) SSL 加密傳輸CIS 流探針或防火墻內(nèi)置流探針負(fù)責(zé)原始流量采集，通過(guò)優(yōu)化的DPI 技術(shù)高效提取原始流量的協(xié)議特性，實(shí)現(xiàn)高性能的流量數(shù)據(jù)采集和協(xié)議還原。流探針支持報(bào)文捕獲功能，生成的PCAP 文件保存在流探針的本地磁盤(pán)上，CIS 大數(shù)據(jù)安全平臺(tái)通過(guò) HTTPS 定時(shí)讀取流探針上存儲(chǔ)的PCAP 文件流量采集主要功能包含：協(xié)議解析：支持HTTP 協(xié)議解析、郵件協(xié)議解析、DNS 協(xié)議解析、HTTPS 協(xié)議解析文件還原：支持還原通過(guò)HTTP 協(xié)議上傳/下載的文件還原；支持通過(guò)SMTP/POP3/IMAP4 協(xié)議發(fā)送的郵件的附件還原威脅檢測(cè)威脅檢測(cè)能力主要依靠CIS 的關(guān)聯(lián)分析、大數(shù)據(jù)

28、分析能力，其架構(gòu)如下。服務(wù)功能流探針負(fù)責(zé)對(duì)網(wǎng)絡(luò)中的原始流量進(jìn)行數(shù)據(jù)協(xié)議特征提取，生成Netflow和 Metadata 數(shù)據(jù)，并將這些數(shù)據(jù)上送給大數(shù)據(jù)安全平臺(tái)。采集器負(fù)責(zé)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)和終端的日志和Netflow 數(shù)據(jù)采集，并對(duì)日志進(jìn)行歸一化處理后轉(zhuǎn)發(fā)給大數(shù)據(jù)安全平臺(tái)。大數(shù)據(jù)平臺(tái)負(fù)責(zé)接收采集器上報(bào)的歸一化日志和 Netflow 數(shù)據(jù)以及流探針上報(bào)的 Metadata 和Netflow 數(shù)據(jù)，并對(duì)上報(bào)數(shù)據(jù)預(yù)處理后進(jìn)行分布式存儲(chǔ)和索引，為可視化管理子系統(tǒng)提供可視化展示的數(shù)據(jù)支 撐，為威脅檢測(cè)子系統(tǒng)提供歷史與實(shí)時(shí)數(shù)據(jù)訪問(wèn)支撐。威脅檢測(cè)服務(wù)負(fù)責(zé)根據(jù)預(yù)置的檢測(cè)模型和自定義的檢測(cè)規(guī)則對(duì)歸一化日志

29、、Netflow 和 Metadata 數(shù)據(jù)進(jìn)行實(shí)時(shí)/離線分析，檢測(cè)異常行為并對(duì)異常進(jìn)行關(guān)聯(lián)和評(píng)估，從而發(fā)現(xiàn)并判定高級(jí)威脅?？梢暬脚_(tái)負(fù)責(zé)提供威脅可視化，智能檢測(cè)和配置管理等功能。WEB 異常檢測(cè)原理WEB 異常檢測(cè)主要用于檢測(cè)通過(guò) WEB 進(jìn)行的滲透和異常通信，從歷史數(shù)據(jù)中提取HTTP 流量元數(shù)據(jù)，通過(guò)分析HTTP 協(xié)議中的 URL、User-Agent、Refer 和上傳/下載的文件 MD5 等信息，并結(jié)合沙箱文件檢測(cè)結(jié)果，離線挖掘和檢測(cè)下載惡意文件、訪問(wèn)不常見(jiàn)網(wǎng)站和非瀏覽器流量等異常。郵件異常檢測(cè)原理郵件異常檢測(cè)主要從歷史數(shù)據(jù)中提取郵件流量元數(shù)據(jù)，通過(guò)分析 SMTP/POP3/IMAP

30、協(xié)議中的收件人、發(fā)件人、郵件服務(wù)器、郵件正文、郵件附件等信息，并結(jié)合沙箱文件檢測(cè)結(jié)果，離線挖掘和檢測(cè)收發(fā)件人異常、下載惡意郵件、訪問(wèn)郵件服務(wù)器、郵件正文 URL 異常等。C&C 異常檢測(cè)原理C&C 異常檢測(cè)主要通過(guò)對(duì)協(xié)議流量（DNS/HTTP/3,4 層協(xié)議）的分析檢測(cè) C&C 通信異常?；贒NS 流量的 C&C 異常檢測(cè)采用機(jī)器學(xué)習(xí)的方法，利用樣本數(shù)據(jù)進(jìn)行訓(xùn)練，從而生成分類(lèi)器模型，并在客戶環(huán)境利用分類(lèi)器模型識(shí)別訪問(wèn) DGA 域名的異常通信，從而發(fā)現(xiàn)僵尸主機(jī)或者APT 攻擊在命令控制階段的異常行為?；?3,4 層流量協(xié)議的C&C 異常檢測(cè)根據(jù) CC 通訊的信息流與正常通訊時(shí)的信息流區(qū)別，分

31、析CC 木馬程序與外部通訊的信息的特點(diǎn)，區(qū)分與正常信息流的差異，通過(guò)流量檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的 CC 通訊信息流。對(duì)于基于HTTP 流量的C&C 異常檢測(cè)采用統(tǒng)計(jì)分析的方法，記錄內(nèi)網(wǎng)主機(jī)訪問(wèn)同一個(gè)目的 IP+域名的所有流量中每一次連接的時(shí)間點(diǎn)，并根據(jù)時(shí)間點(diǎn)計(jì)算每一次連接的時(shí)間間隔，定時(shí)檢查每一次的時(shí)間間隔是否有變化，從而發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)周期外聯(lián)的異常行 為。流量基線異常檢測(cè)原理流量基線異常檢測(cè)主要解決網(wǎng)絡(luò)內(nèi)部的主機(jī)/區(qū)域之間（內(nèi)外區(qū)域之間、內(nèi)網(wǎng)區(qū)域與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機(jī)之間、內(nèi)網(wǎng)主機(jī)與互聯(lián)網(wǎng)之間、內(nèi)網(wǎng)主機(jī)與區(qū)域之間）的異常訪問(wèn)問(wèn)題。流量基線是指網(wǎng)絡(luò)內(nèi)部主機(jī)之間、區(qū)域之間或者內(nèi)外網(wǎng)之間的訪問(wèn)規(guī)則，包

32、括指定時(shí)間段內(nèi)是否允許訪問(wèn)、訪問(wèn)的頻次范圍、流量大小范圍等。流量基線可以有兩種來(lái)源：系統(tǒng)自學(xué)習(xí)和用戶自定義配置。流量基線自學(xué)習(xí)，就是系統(tǒng)自動(dòng)統(tǒng)計(jì)一段時(shí)間內(nèi)（比如一個(gè)月）網(wǎng)絡(luò)內(nèi)部各主機(jī)、區(qū)域以及內(nèi)外網(wǎng)之間的訪問(wèn)和流量信息，以此訪問(wèn)和流量信息為基礎(chǔ)（對(duì)于流量數(shù)據(jù)，還會(huì)自動(dòng)設(shè)置合適的上下浮動(dòng)范圍），自動(dòng)生成流量基線。用戶自定義流量基線：用戶手工配置網(wǎng)絡(luò)內(nèi)部各主機(jī)、區(qū)域以及內(nèi)外網(wǎng)之間的訪問(wèn)和流量規(guī)則。流量基線異常檢測(cè)將自學(xué)習(xí)和用戶自定義的流量基線加載到內(nèi)存中，并對(duì)流量數(shù)據(jù)進(jìn)行在線統(tǒng)計(jì)和分析，一旦網(wǎng)絡(luò)行為與流量基線存在偏差，即輸出異常事件。隱蔽通道異常檢測(cè)原理隱蔽通道異常檢測(cè)主要用于發(fā)現(xiàn)被入侵主機(jī)通過(guò)正

33、常的協(xié)議和通道傳輸非授權(quán)數(shù)據(jù)的異常，檢測(cè)方法包括Ping Tunnel、DNS Tunnel 和文件防躲避檢測(cè)。Ping Tunnel 檢測(cè)是通過(guò)對(duì)一個(gè)時(shí)間窗內(nèi)同組源/目的 IP 之間的 ICMP 報(bào)文的載荷內(nèi)容進(jìn)行分析和比較，從而發(fā)現(xiàn)Ping Tunnel 異常通信。DNS Tunnel 檢測(cè)通過(guò)對(duì)一個(gè)時(shí)間窗內(nèi)同組源/目的 IP 之間的 DNS 報(bào)文的域名合法性檢測(cè)和DNS 請(qǐng)求/應(yīng)答頻率分析，從而發(fā)現(xiàn) DNS Tunnel 異常通信。文件防躲避檢測(cè)通過(guò)對(duì)流量元數(shù)據(jù)中的文件類(lèi)型的分析和比較，從而發(fā)現(xiàn)文件類(lèi)型與實(shí)際擴(kuò)展名不一致的異常。惡意文件檢測(cè)原理FireHunter 文件檢測(cè)經(jīng)過(guò)信譽(yù)查詢、

34、第三方 AV 檢測(cè)、靜態(tài)檢測(cè)引擎檢測(cè)、機(jī)器學(xué)習(xí)引擎檢測(cè)、CC 檢測(cè)引擎檢測(cè)、沙箱檢測(cè)引擎檢測(cè)，最終在威脅分析引擎進(jìn)行對(duì)各個(gè)檢測(cè)結(jié)果進(jìn)行關(guān)聯(lián)、聯(lián)合分析和威脅判定，最終給出威脅檢測(cè)結(jié)果。其中，沙箱檢測(cè)引擎，又包括了 web 啟發(fā)式引擎、PDF 啟發(fā)式引擎、PE 啟發(fā)式引擎和虛擬執(zhí)行環(huán)境引擎。FireHunter 可以針對(duì)主流的應(yīng)用軟件及文檔實(shí)現(xiàn)檢測(cè)、分析，支持 Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可執(zhí)行腳本文件、媒體文件、LNK 文件、壓縮文件等軟件及文檔。關(guān)聯(lián)分析原理關(guān)聯(lián)分析主要通過(guò)挖掘事件之間的關(guān)聯(lián)和時(shí)序關(guān)系，從而發(fā)現(xiàn)有效的攻擊

35、。關(guān)聯(lián)分析采用了高性能的流計(jì)算引擎，直接從分布式消息總線上獲取歸一化日志裝入內(nèi)存，并根據(jù)系統(tǒng)加載的關(guān)聯(lián)規(guī)則進(jìn)行在線分析。系統(tǒng)預(yù)置了一部分關(guān)聯(lián)分析規(guī)則，用戶也可以自定義關(guān)聯(lián)分析規(guī)則。當(dāng)多條日志匹配了某一關(guān)聯(lián)規(guī)則，則認(rèn)為它們之間存在對(duì)應(yīng)的關(guān)聯(lián)關(guān)系，輸出異常事件，同時(shí)將匹配用到的原始日志記錄到異常事件中。威脅判定原理威脅判定根據(jù)多個(gè)異常進(jìn)行關(guān)聯(lián)、評(píng)估和判定產(chǎn)生高級(jí)威脅，為威脅監(jiān)控和攻擊鏈路可視化提供數(shù)據(jù)。威脅判定按照攻擊鏈的階段標(biāo)識(shí)/分類(lèi)各種異常，并以異常發(fā)生的時(shí)間為準(zhǔn)，通過(guò)主機(jī) IP、文件 MD5 和 URL 建立異常的時(shí)序和關(guān)聯(lián)關(guān)系，根據(jù)預(yù)定義的行為判定模式判定是否高級(jí)威脅，同時(shí)根據(jù)相關(guān)聯(lián)的異常

36、的嚴(yán)重程度、影響范圍、可信度進(jìn)行打分和評(píng)估，從而產(chǎn)生威脅事件。云端威脅情報(bào)華為資深安全專(zhuān)家和安全能力中心通過(guò)對(duì)第三方安全情報(bào)的收集分析，利用大數(shù)據(jù)、機(jī)器學(xué)習(xí)技術(shù)，生成各類(lèi)云端信譽(yù)庫(kù)、特征庫(kù)。通過(guò)云端安全智能中心為各類(lèi)安全設(shè)備提供云端威脅情報(bào)的定期升級(jí)，包括URL 分類(lèi)庫(kù)，惡意 URL 庫(kù)、熱點(diǎn)域名列表、惡意文件信譽(yù)，IP 信譽(yù)，C&C 域名庫(kù)等，實(shí)現(xiàn)最新安全威脅的快速同步，提高威脅防御能力。聯(lián)動(dòng)閉環(huán)保護(hù)網(wǎng)段保護(hù)網(wǎng)段可以理解為一臺(tái)防火墻保護(hù)的網(wǎng)段范圍。它可以通過(guò)手工的方式來(lái)配置，也可以與 AC-DCN 協(xié)同自動(dòng)學(xué)習(xí)。通過(guò)保護(hù)網(wǎng)段，SecoManager 感知了 IP 地址和防火墻設(shè)備的關(guān)系，在聯(lián)

37、動(dòng)策略下發(fā)的時(shí)候可以基于策略的源地址和目的地址自動(dòng)找到承載策略的防火墻設(shè)備。下面是數(shù)據(jù)中心場(chǎng)景下，以 VPC1 為例，F(xiàn)W1 的保護(hù)網(wǎng)段為VM1、VM2、VM3 的 IP 地址，那么 VM1 訪問(wèn) Internet 的策略將自動(dòng)下發(fā)到 FW1。通過(guò)這個(gè)原理，用戶在配置策略時(shí)就可以僅配置業(yè)務(wù)需求，而不需要關(guān)注具體是哪一個(gè)防火墻設(shè)備來(lái)實(shí)施這個(gè)策略。威脅閉環(huán)在數(shù)據(jù)中心場(chǎng)景，SecoManager 可以跟CIS 和AC-DCN 協(xié)同實(shí)現(xiàn)威脅閉環(huán)。威脅閉環(huán)支持主機(jī)隔離和基于 IP 阻斷 2 種特性。CIS 根據(jù)威脅范圍判斷下發(fā)主機(jī)隔離或基于 IP 阻斷，當(dāng)攻擊源在外網(wǎng)且需要阻斷攻擊源雙向流量時(shí)，向相應(yīng)的TOR 交換機(jī)下發(fā)主機(jī)隔離阻斷；其他威脅場(chǎng)景，向防火墻下發(fā)基于 IP 阻斷。主機(jī)隔離具體實(shí)現(xiàn)流程：CIS 通過(guò)異常檢測(cè)模型發(fā)現(xiàn)威脅事件，當(dāng)命中聯(lián)動(dòng)規(guī)則后，CIS 下發(fā)對(duì)應(yīng)的聯(lián)動(dòng)策略給 SecoManager 進(jìn)行主機(jī)隔離，避免橫向擴(kuò)散。SecoManager 收到主機(jī)隔離請(qǐng)求后，調(diào)用 AC-DCN 北向接口請(qǐng)求隔離。AC-DCN 根據(jù)隔離VM 的 IP 找到對(duì)應(yīng)的 TOR 交換