1、网络流量安全保护 设备选型
网络安全保护设备主要包括:防火墙、IDS、DDoS、IPS、WAF。
2、网络流量安全保护方法
3、东西向保护的旁路实现方法
企业中必有南北向保护,只是保护层次的深浅、保护颗粒的大小区别。
企业通常缺少东西向保护。而旁路方法又是设备成本最低,改动最小的架构。因此简答总结一下。
从上述步骤可见,旁路虽然减少了物理拓扑的改造,但是需要增加很多网络配置。主要是3个过程:1策略路由的引流—2防火墙的清洗—3防火墙的返回目的。
南北向:
高端防火墙两台使用IRF技术部署在border外,与border使用万兆光口互联,作为南北向访问流量的安全资源池
LB负载均衡使用HA技术旁挂在border上,与border使用万兆光口互联,作为南北向访问流量的负载均衡资源池
东西向:
通过控制器将东西向防火墙安全纳管后,向防火墙提供虚拟安全服务节点,向网络设备下发流表,将业务流量一开始就严格按照控制器的编排顺序经过这组抽象业务功能节点,完成对应业务功能的处理,实现东西向安全访问先将流量引入到F5030,经过安全策略之后再将流量引出到目的地址。
南北向的安全控制和传统方式一样,通过防火墙控制访问策略,而东西向就需要在主机内部搭建基于软件的防火墙,X86目前已经有了解决方案,比如OVS的IPTABLES、ROUTERS、FIREWALL或者网络安全厂商的软FIREWALL,但POWER目前东西向网络安全解决方案依旧难以看到。
收起sdn中由于引入了租户的概念,因此东西向流量都是租户之间的流量,南北向流量是云平台和非云平台之间的流量。
这两种流量都可以使用防火墙进行控制,在硬件underlay的架构下,每一个租户可以由一个或者多个vrf组成的,每个vrf之间是默认隔离的,vrf的互通是由防火墙的策略控制。