文章插图
图4 虚拟化安全路由器系统架构
虚拟化安全路由器是采用虚拟机形式部署的CPE设备 。系统架构由以下几个关键部分组成 。
(1)物理硬件和操作系统 。这是通用的高性能处理器硬件平台,提供CPU、内存、网卡以及存储等硬件资源和基础操作系统服务 。
(2)Hypervisor 。它支持KVM、VMware 等主流的虚拟化平台 。作为中间软件层,它可实现对虚拟机的管理,允许多个虚拟机实例共享硬件资源,同时在各个虚拟机之间要考虑实现隔离和防护功能 。
(3)
vSwitch/SR-IOV/PCI-passthrough 。它可实现虚拟机实例之间和虚拟机实例与外部网络之间的信息交换 。
(4)虚拟机实例 。分配独立的虚拟处理器(Virtual Central Processing Unit,vCPU)、虚拟网络接口卡(Virtual Network Interface Card,vNIC)等资源,承载具有路由、交换、安全、QoS 以及VPN等功能的VNF实例 。其中安全实例是实现设备内生安全能力的主要组件,提供与软件定义安全接入路由器中类似的安全功能,只是实现方式是在虚拟机上采用NFV技术实现,与传统安全防护方式相比也有类似的优势和特点 。
2.3.3 动态编排与智能控制设备
动态编排与智能控制设备主要基于高性能服务器、操作系统以及数据库等平台构建,支持网络设备的动态发现、智能连接及安全控制通道维护,是SD-WAN网络架构中的核心设备,实现了SDN架构中控制器的所有功能,并与管理系统、应用业务等紧密结合 。它提供智能化的网络优化功能,根据网络资源和链路状况重新配置路由;根据网络故障和性能的分析,自动给出网络和设备资源的优化调整建议;支持虚拟网络切片划分及功能编排,基于切片的网络资源、安全资源调度部署;提供跨网系一体化协作能力,实现跨网系策略协作执行功能,并可以根据网络运行情况,在多个网系间实现策略的跨网系一体化协作执行;支持NetConf、OpenFlow、SNMP、BGP-LS等南向控制管理协议,支持Restful、WebService、AAA、RestConf 等 北向服务接口被应用业务、网络管理等系统调用 。动态编排与智能控制设备初步原理框架如图5所示 。
文章插图
图5 动态编排与智能控制设备原理框架
动态编排与智能控制设备在南向、北向开放各类标准接口 。北向接口支持网络应用与管理平台、业界通用的虚拟化云平台等实现对接,接受应用业务需求;南向接口支持与软件定义安全接入路由器、虚拟化安全路由器等设备的对接,将北向的业务服务调用转化为南向的网络设备配置、控制和调度等 。网络基础服务支撑中提供网络拓扑、转发、安全防护、流量统计等编排服务,是实现系统网络编排和调度功能的核心组件,通过内置安全功能编排与管理模块,系统中不再需要单独的安全管理系统等设备 。因为采用了通用服务器架构,所以该设备可以直接利用通用服务器体系成熟的热备、集群、高可靠性等技术来进一步保证系统的高可用性 。
3 结 语
随着云计算应用业务的蓬勃发展,政府、大型企业对能够提供全国或全球覆盖能力的高安全、高QoS保证的广域传输网络专线业务需求增加 。本文研究提出一种内生安全功能的软件定义广域网络架构,可以基于当前较为完备的有线、4G/5G、卫星等网络传输基础,为企业提供混合组网、跨境组网和现网优化功能,满足企业快速、灵活的组网需求,快速构建服务于云化应用业务专用广域网络 。同时,研究给出的关键设备初步原理框架较好地吸纳了业界同类产品的特点和优势,按照提供内生安全属性的思路,实现业务传输QoS保证和安全防护能力的同步提供,具有较好的可实现性和特色优势 。后续为加快具备内生安全能力的SD-WAN网络的应用和推广,需要继续在服务方案、能力标准化以及生态建设等方面不断完善,以进一步提升不同厂家产品和系统的兼容性、适配性等 。
引用本文:康敏.内生安全SD-WAN网络架构与关键设备方案研究[J].信息安全与通信保密,2021(7):95-104.
作者简介 >>>
康 敏(1977—),女,硕士,高级工程师,主要研究方向为网络与通信 。
选自《信息安全与通信保密》2021年第7期(为便于排版,已省去原文参考文献)
推荐阅读
- 车联网时代,我们更安全了?还是更危险了?
- 使用 Linux 安全工具进行渗透测试
- 保护文档安全的各种姿势,WPS 都替你准备好了
- 网络安全工程师演示:黑客如何配置渗透测试网络和生成安卓木马?
- 微软 Win10 KB5011831 发布:修复黑屏问题,改进安全启动组件
- 常见 Web 安全攻防总结
- Linux系统安全攻防技术
- 复杂的安全环境里,华为应用市场如何给用户吃下“定心丸”?
- Web安全之URL跳转漏洞
- jenkins+Acunetix实现自动化安全测试