|
安全资源池中数据流分析 一、安全资源池流量模型 无安全资源池的情况下,流量走向: 每个租户南北向上网的流量,租户的虚拟机上网数据先到核心交换机,然后从出口出去上网,如果租户有对外提供的服务器,访问服务器的流量也是先到核心交换机,然后匹配路由转发到租户服务器。 有安全资源池的情况:
1、以租户访问的方向看分为:南北、东西向流量访问 (1)南北向流量访问 南北向是虚拟机内部和外部交互的流量,称为南北向流量。南北向流量使用的组件有上网行为管理、下一代防火墙、Web应用防火墙、入侵防御检测等。 租户的虚拟机上网数据到了核心之后,核心会匹配一条策略路由,将源地址是租户IP段,目的是公网IP段的数据发到资源池的引流IP,通过资源池里面的虚拟核心路由器,转发到租户边界路由器再到防火墙,经过清洗之后经过租户边界路由器,资源池核心路由器,回到物理的核心交换机匹配路由到公网,反向的流量类似。 (2)东西向流量访问 云平台内部不同租户之间交互的流量为东西向流量。 在核心交换机配置策略路由,将租户A访问租户B的流量引流到安全资源池租户A的防火墙,租户A的防火墙对流量进行清洗后再转发到租户B的防火墙,然后再返回给核心交换机,流量在核心交换机再匹配路由表转发到租户B。回程流量与此相反。
2、以组件的流量的访问方向来看分为:运维型、流量型组件 (1)流量型组件:是流量经过组件有来回的数据,或者说用户访问的流量有进有出的,常见的此类组件有防火墙、AC、VPN、AD、OSM等,其中VPN、AD、OSM属于对外发布业务类组件。 流量出向: 内网用户-->核心交换机-->安全资源池-->AF组件-->安全资源池-->核心交换机-->出口设备-->互联网。 流量回向:互联网-->出口设备-->核心交换机-->安全资源池-->AF组件/其它类型组件-->安全资源池-->核心交换机-->内网用户
(2) 运维型组件:指访问的租户的流量是单向的流量,如日志审计、数据库审计、EDR等组件,只需要单向访问,保证租户能访问到组件的应用IP或者EIP。 EDR组件:租户内网PC上agent--->核心交换机---->安全资源池EDR组件,只需单向访问。 只需要在核心交换机上将租户agent访问EDR的应用IP地址路由指到安全资源池即可。
二、安全资源池租户数据流 2.1、以访问应用IP的组件为例----防火墙 假设PC源地址:a;核心路由器互联地址 b;CSSP互联地址 c; AF的应用IP d; 外网业务 e;
数据流: a访问e,访问过程 a--b--c--d--e--b--c--d--c--b--a,访问过程中源目IP地址不变。
2.2、以访问发布IP的组件为例----堡垒机 假设PC源地址:a;核心路由器互联地址 b;CSSP互联地址 c; 堡垒机的发布IP d; 内网业务 e;
数据流: a访问e,访问过程 a--b--c--d 访问过程中c--d过程进做dnat,出去做snat,应用IP和发布IP转换
d---c---b--e 访问过程中以堡垒机源IP去访问资源。
2.3、以访问互联网业务
假设租户配置了流量编排,AF---AC---IPS 假设PC源地址:a;核心路由器互联地址 b;CSSP互联地址 c; AF的应用IP d; AC的应用IP e; IPS的应用IP f 互联网网业务 g;核心路由器h;租户边界路由器 i;
数据流: a访问g,访问过程 a--b--c--h--i--d--i--e--i--f--i--h--c--g 这里注意:流量经过服务链编排后,每次都要过租户边界路由器。 注意:所有的流量都会经过核心路由器和租户边界路由器
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-1-5 16:12
工程师3级 
