SDN网络如何考虑南北向和东西向的安全控制?

参与27

6同行回答

cuizengshuncuizengshun  系统运维工程师 , 民生银行
sdn中由于引入了租户的概念,因此东西向流量都是租户之间的流量,南北向流量是云平台和非云平台之间的流量。这两种流量都可以使用防火墙进行控制,在硬件underlay的架构下,每一个租户可以由一个或者多个vrf组成的,每个vrf之间是默认隔离的,vrf的互通是由防火墙的策略控制。...显示全部

sdn中由于引入了租户的概念,因此东西向流量都是租户之间的流量,南北向流量是云平台和非云平台之间的流量。
这两种流量都可以使用防火墙进行控制,在硬件underlay的架构下,每一个租户可以由一个或者多个vrf组成的,每个vrf之间是默认隔离的,vrf的互通是由防火墙的策略控制。

收起
银行 · 2018-03-13
浏览16970
jxnxsdengyujxnxsdengyu  系统工程师 , 江西农信
南北向的安全控制和传统方式一样,通过防火墙控制访问策略,而东西向就需要在主机内部搭建基于软件的防火墙,X86目前已经有了解决方案,比如OVS的IPTABLES、ROUTERS、FIREWALL或者网络安全厂商的软FIREWALL,但POWER目前东西向网络安全解决方案依旧难以看到。...显示全部

南北向的安全控制和传统方式一样,通过防火墙控制访问策略,而东西向就需要在主机内部搭建基于软件的防火墙,X86目前已经有了解决方案,比如OVS的IPTABLES、ROUTERS、FIREWALL或者网络安全厂商的软FIREWALL,但POWER目前东西向网络安全解决方案依旧难以看到。

收起
银行 · 2018-03-13
浏览16632
haizdlhaizdl  技术经理 , 大连
安全策略动态化,实现硬设备向软模块的转化。但是目前成熟可用的产品或者方案并不是非常多。显示全部

安全策略动态化,实现硬设备向软模块的转化。但是目前成熟可用的产品或者方案并不是非常多。

收起
银行 · 2018-03-13
浏览15261
匿名用户匿名用户
首先确定安全域, 内外网之间边界上通过的流量,一般叫做南北向流量, fabric内部流量为东西向流量;两种都可以通过防火墙控制;一般常见的南北向通过硬FW,东西向通过软件形式实现显示全部

首先确定安全域, 内外网之间边界上通过的流量,一般叫做南北向流量, fabric内部流量为东西向流量;两种都可以通过防火墙控制;一般常见的南北向通过硬FW,东西向通过软件形式实现

收起
银行 · 2020-11-21
浏览5732
raphlguraphlgu  项目经理 , 旭升
1、网络流量安全保护 设备选型网络安全保护设备主要包括:防火墙、IDS、DDoS、IPS、WAF。网页防篡改,是我国等保要求的特色。部分厂家的下一代防火墙集成了IPS、DDoS、WAFIDS已经被IPS取代结论:可以选一个集成度比较高的防火墙厂商,譬如深信服。只要购买模块许可,减少硬件设备...显示全部

1、网络流量安全保护 设备选型
网络安全保护设备主要包括:防火墙、IDS、DDoS、IPS、WAF。

  • 网页防篡改,是我国等保要求的特色。
  • 部分厂家的下一代防火墙集成了IPS、DDoS、WAF
  • IDS已经被IPS取代
    结论:可以选一个集成度比较高的防火墙厂商,譬如深信服。只要购买模块许可,减少硬件设备数量。缺点是某个模块有缺陷或者故障,会影响整台设备上其他功能模块,譬如重启设备。

2、网络流量安全保护方法

  • 2.1、首先流量必须经过安全设备。
  • 2.2、其次安全设备的安装方法有2种
    • 拓扑1、串接。安全设备串接到现有网络链路中,类似我们出口防火墙的接法,用户PC—交换机—防火墙—互联网。 串接会改变现有网络结构。
    • 拓扑2、旁路。安全设备旁路挂接在现有网络链路上。旁路不改变现有网络结构。
  • 2.3、最后南北向、东西向采用的安全拓扑
    • 拓扑1、串接。 适用于南北向保护。原因1、由于南北向设备和链路相对较少,改变连接结构相对容易,适用串接。原因2、南北向的风险较大,串接后,安全设备称为必经之路,更加安全。
    • 拓扑2、旁路。适用于东西向安全控制。 原因1、由于东西向设备、接口比较多,链路关系比较复杂,改动结构有一定难度,不适用串接。原因2、 使用串接的成本比较,因为改造原有网络会增加、升级现有网络设备。

3、东西向保护的旁路实现方法
企业中必有南北向保护,只是保护层次的深浅、保护颗粒的大小区别。

企业通常缺少东西向保护。而旁路方法又是设备成本最低,改动最小的架构。因此简答总结一下。

  • 引流。首先,核心交换机上通过策略路由,将需要保护的流量引流到防火墙设备。用南北向保护做类比,服务器或客户端通过系统的默认静态路由,将互联网访问流量全部发送到默认网关(可能是核心交换机或汇聚交换机),网关再根据路由将这部分流量发送到防火墙,通过过滤后,达到访问目的。
  • 清洗。防火墙接收通过策略路由过来的流量,然后做过滤。
  • 回注。防火墙将过滤后的流量路由到访问目标。

从上述步骤可见,旁路虽然减少了物理拓扑的改造,但是需要增加很多网络配置。主要是3个过程:1策略路由的引流—2防火墙的清洗—3防火墙的返回目的。

  • 其中1要涉及现有网络设备的配置,因此要确保兼容性,且注意处理性能。特别是使用核心交换机时,策略路由会增加负荷。
  • 其中2、3要确保防火墙的性能指标可以满足处理所需清洗网络流量的能力。
收起
IT咨询服务 · 2020-11-12
浏览5991
GaryyGaryy  系统工程师 , 某保险
南北向:高端防火墙两台使用IRF技术部署在border外,与border使用万兆光口互联,作为南北向访问流量的安全资源池LB负载均衡使用HA技术旁挂在border上,与border使用万兆光口互联,作为南北向访问流量的负载均衡资源池东西向:通过控制器将东西向防火墙安全纳管后,向防火墙提供虚拟安...显示全部

南北向:
高端防火墙两台使用IRF技术部署在border外,与border使用万兆光口互联,作为南北向访问流量的安全资源池
LB负载均衡使用HA技术旁挂在border上,与border使用万兆光口互联,作为南北向访问流量的负载均衡资源池

东西向:
通过控制器将东西向防火墙安全纳管后,向防火墙提供虚拟安全服务节点,向网络设备下发流表,将业务流量一开始就严格按照控制器的编排顺序经过这组抽象业务功能节点,完成对应业务功能的处理,实现东西向安全访问先将流量引入到F5030,经过安全策略之后再将流量引出到目的地址。

收起
保险 · 2018-03-13
浏览15108

提问者

Garyy
Garyy0410
系统工程师某保险
擅长领域: 云计算存储容器

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2018-03-13
  • 关注会员:8 人
  • 问题浏览:23600
  • 最近回答:2020-11-21
  • X社区推广