OS
1 2 3
vNGFW是独占虚机式软件防火墙 产品以三层网关形式部署
Access
vSwitch vSwitch
• 缺乏全局安全态势呈现：传统安全缺乏宏
观的安全态势感知，只能“事后感知”而 无法“事前防护”
租户1 租户2 租户3
7
安全需要适配云数据中心的新属性
模块化 安全 互操作 多租户 融合 可靠 多厂商
自动化
多站点
标准化
弹性
8
目录 1 2 3
4
虚拟化安全的趋势与挑战 华为USG6000V价值功能 典型应用场景 成功实践
80G防火墙吞吐量
24000条安全策略 500个vSYS虚拟系统
虚拟云平台： Vmware/KVM/XEN/FusionSphere/AWS
11
软件防火墙的部署架构
Telnet/SSH/SNMP/…
Restful/Netconf
控制接口 Open NBI Multiple Instance
OSPF/BGP/VPN/…
2018年10月31日星期三
华为USG6000V虚拟综合业务网关 技术主打胶片
目录 1 2 3
4
虚拟化安全的趋势与挑战 华为USG6000V价值功能 典型应用场景 成功实践
1
趋势：数据中心云化，软件定义一切
ICT
虚拟化 私有云 电信云 公有云
业 务
弹性 自动化 软件定义 被集成
2
安全挑战：突破传统形态，适应弹性架构
12
12
产品概述
SDN Controller Northbound API Service
vNGFW
Traffic Policy …
Virtual Resource Management
Security Policy IPSec Conf
Nat Policy IPS/AV... Routing Data Path Plane
已知类型威胁向未知类型威胁转变，如高级持续性威胁（APT），更加具备危害性； 缺乏综合性威胁分析和协同防护手段
6
安全管理复杂
？？？ 云的安全失控趋势，缺乏整体呈现
• 可审查性、取证困难：计算资源共享、 数
管理员
据存储位置未知、网络边界崩、不可控的
外部供应商
• 策略管理复杂，部署依赖手工：基于IP的 安全策略不体现业务，策略管理复杂，如 何感知业务，并自动分发到租户
Internet
Extranet/ 租户
WAN
vSwitch
VM
VM
VM
VM
安全不适应VM的变化迁移
DC下VM的迁移较多且IP不变，传统安全基于IP的访
VM上线
VM迁移
VM下线
问控制策略策略，无法适应数据中心这种频繁的变化 例：VM迁移后
4 ① ② Internet－>DMZ FW －>内网 FW －>VM; Extranet/Subscriber－>边界 FW －>内网 FW －>VM;
区域DC 分支 容灾DC
安全不适应频繁的应用扩展
新增一个业务，需要在DCN边界、DCN内网涉及数 10台安全设备连续开访问策略，花费1个多月才能处 理完！ 例：分区1新的WEB业务上线
① ② ③ ④ Internet－>DMZ FW －>内网 FW －>VM; Extranet/Subscriber－>边界 FW －>内网 FW －>VM; DC1 VM －> DC1 内网FW －>DC1边界 FW－> DC2 边网FW －>DC2 内网 FW －>VM …….
虚拟化打破传统网络安全边界
在云计算服务中，用户最关注的就是安全问题
60%的虚拟化数据中心的安全性都将令人堪忧……
------IDC 的高级副总裁兼首席分析师Frank Gens ------- Gartner报告
过去－1：1攻击 现在－1：N攻击 VM相互攻击 vSwitch A 虚拟化二层流量直接通 过vSwitch交互 B C D E
5
传统威胁向未知威胁演进
Web挂马 定向攻击 感染邮件木马 收集内网信息 内网渗透
LAN
Email服务器 普通用户终端 用户侧服务器 普通服务器 重要服务器 管理员
云端渗透
租户假冒，非授权访问 获取后端服务器管理员权限
DMZ服务器
APP/DB服务器
APT 蠕虫/木马 病毒
云中心的虚拟大二层结构，打破了传统网络边界清晰的控制方法，访问控制边界建立的难度大大增加，随着VM的扩容和迁 移，传统威胁的扩散及APT攻击变得更加容易。
2个vCPU
6000条安全策略
*VCPU：1个Thread （Intel CPU 有多个core， 1个core有2个Thread，1 个Thread对应1个VCPU）
20G防火墙吞吐量 50个vSYS虚拟系统
4个vCPU
8个vCPU
40G防火墙吞吐量
12000条安全策略 200个vSYS虚拟系统
USG6000V
软件防火墙
管理接口 CLI, GUI, O&M
(Vmware/KVM/XEN/FusionSphere/AWS)
虚拟云平台
数据 转发
Forwarding Tables Fast Path Forward (DPDK)
通用服务器
(X86 架构)
Hardware NIC (SR-IOV/…)
9
NFV与SDN背景下的软件防火墙定义
NFV->安全功能虚拟化 SDN->软件定义安全
部署在主流虚拟化云平台上或X86服务器上， 可被Controller调度的，具备已知/未知威胁防御能力的虚拟化防火墙软件。
10
华为USG6000V虚拟综合业务网关产品介绍
1个vCPU 10G防火墙吞吐量 3000条安全策略 20个vSYS虚拟系统
应用弹性扩展 边界在延伸 威胁升级 安全管理复杂
• 公有云/私有云/混合云 • 应用弹性伸缩
• 虚拟化，服务器边界延伸 • 移动互联，用户边界延伸
• 内部APT攻击/Outbound DDoS • OS/WEB/APP/DB 0 day漏洞
• 安全策略需跟随虚拟机变化 • IP语言，不感知业务
3
传统安全不适应应用弹性拓展
VM VM VM VM VM 1 2 3 4 5
虚拟化二层网络下，可信区域不复存在
• 虚拟化二层流量直接通过vSwitch交互，流量不可视不可控 • VM跨POD、DC或跨公有云迁移，扩大了网络犯罪者的活 动范围
安全分区与网络解耦，更底层的攻击形态出现
• 对某一台虚拟机的控制，就可以对其他虚拟机发起攻击1： N，从而获得整个服务器群的控制权