新一代数据中心网络安全产品的旁路部署方式探讨

新一代数据中心开始大量应用云计算技术,采用了计算、存储及网络资源松耦合模式,虚拟化各种IT设备及系统、模块化与自动化程度较高。正因为新一代数据中心的优势和特点,使其吸引并整合了更多的资源,同时伴随着国内运营商光进铜退的网络演进方向,公众用户接入网带宽也以10-50倍标准提升,这些都造成了新一代数据中心网络出口带宽大幅度增长,对安全产品的部署提出了新的挑战。新一代数据中心动辄的网络出口带宽形成的大流量场景对于网络入侵检测、网络安全审计、网络DLP、流量分析等旁路部署的网络安全产品提出更为苛刻的要求。

新一代数据中心旁路安全分析产品的部署需求

基于旁路部署的安全产品在新一代数据中心大流量场景下存在明显的性能瓶颈,单机性能与实际待分析流量的差距亟待解决。

其主要差距如下:

  • 部分交换机、路由器支持的SPAN端口数量有限,当存在多个镜像需求时,如网络协议分析设备、流量流向分析系统、网络安全审计设备、网络入侵检测设备、网络DLP设备时,往往不能满足,必须通过部署多台设备或者只能分层部署上述设备。
  • 新一代数据中心力推的扁平化设计架构,汇聚接入层整合后,数量非常庞大,对旁路分析安全产品端口数量提出了很高的要求,分层部署很难实现,使得旁路分析产品的更为集中的部署在核心交换层或网络出口层。
  • 新一代数据中心核心交换机大量使用40G、100G接口,而网络入侵检测产品大多只有10G端口,基本的端口镜像就存在一个数量级的差异。
  • 分析设备还希望对监控的流量进行细粒度的筛选,比如针对协议、端口、TCP Flag等信息进行过滤。
  • 新一代数据中心数据中心网络出口设备大量使用了10GE WAN、40G POS等广域网封装格式,而目前旁路安全分析设备大都只支持10GE LAN的封装格式,需要专业的协议转换设备实现格式转换。
  • 新一代数据中心网络出口大多是双活架构以及链路捆绑技术,即便部署的多台安全分析产品还是无法克服流量会话不完整的问题。

因此迫切需要一套专业的解决方案帮助用户克服上述的部署困难。

解决方案

基于流镜像的解决方案

部分交换机产品可以支持基于ACL的的镜像策略,如下图所示:

某公司内的各部门之间使用不同网段的IP地址,其中销售部和技术部分别使用192.168.1.0/24和192.168.2.0/24网段,通过启用基于ACL的流镜像功能,使IDS-1可以监控技术部访问互联网的WWW流量,IDS-2监控技术部在工作时间发往销售部的IP流量。

该方案提供了将监测待流量分解的方法,但并不智能,一旦配置的镜像流量超过单台设备的处理上限,还会出现性能瓶颈,而且也能不能实现协议转换、流量裁剪等需求。

基于分流器的解决方案

对于上述问题,业界目前推荐采用基于分流器产品的完整解决方案。

从早期的TAP发展到现在的网络分流器,已经可以实现对镜像、分光流量的复制、汇聚、过滤,通过协议转换功能实现10G/40GPOS数据转换成万兆LAN数据,按照特定的算法进行负载均衡输出,输出的同时保证同一会话的所有数据包,或者同一IP用户的所有数据包从同一个接口输出。

分流器主要功能特性:

  • 支持过五元组(源IP、目的IP、源端口、目的端口、协议)收敛的方式来提取特定IP、特定协议、特定端口的数据流量。
  • 支持根据特定的HASH算法,确保同源同宿、负载均衡输出,保证回话完整性。
  • 支持按照字符串特征码过滤转发、支持会话管理 。
  • 支持多用户。命中同一条规则的数据包可以同时提供给第三方,或者可对输出接口上数据的镜像和复制,保证了多套应用系统的数据接入。
  • 支持100G、40G POS、10G POS/WAN/LAN、5G POS、GE多种接口。
  • 支持40G POS、10G POS和5G POS到10GE LAN或者GE之间的协议转换,支持10GE WAN到10GE LAN、GE的双向协转。

基于分流器负载均衡的部署方式

如下图所示,分流器设备使用两个40G端口接收交换机的镜像流量,然后将镜像的流量经过同源同宿处理后,采用10GE LAN 接口平均输出给4台入侵检测设备。

基于分流器加权负载均衡的部署方式

如下图所示,分流器设备使用两个40G端口接收交换机的镜像流量,然后将镜像的流量经过同源同宿处理后,采用10GE LAN 接口按照设备性能选择流量的输出比例提供给4台不同档次的入侵检测设备。

基于分流器多业务复用的部署方式

如下图所示,分流器设备使用两个40G端口接收交换机的镜像流量,复制成为两份,将镜像的流量经过同源同宿处理后,采用10GE LAN 接口将两份流量分别输出给入侵检测设备及网络DLP设备,其中网络DLP设备采用负载均衡的输出策略,入侵检测设备采取加权负载输出的策略。

协议转换

如下图所示,分流器设备使用两个40GPOS端口接收边界路由器的分光流量,流量经过协议转换及同源同宿处理后,采用10GE LAN 接口将流量以负载均担的方式分别输出给DPI设备进行分析。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论