可引入第三方安全设备，实现服务链的自定义和统一编排，
                                                               可在OpenStack、CloudOS等云平台上配置、并由VCFC配
                                                               合实现安全服务。
                                                                  2.VSR做网关的服务链








           图4 安全组ACL示意图

               2.分布式状态防火墙
               分布式状态防火墙是安全组的另一种实现方式，依据
           防火墙策略对端口报文作相应处理。vSwitch软件上的状态
           防火墙支持TCP、UDP、IP和ICMP等协议，可基于源IP地
           址、目的IP地址、协议类型（如TCP）、源端口和目的端口
           的五元组下发规则，决定报文是允许还是丢弃。配置防火墙
                                                               图6  VSR做网关的服务链示意图
           策略后，原有转发流程会以黑盒形式嵌入到防火墙Netfilter
           的报文处理过程中，依据防火墙策略实现防火墙功能。在                              Overlay网关（VXLAN  IP网关）由VSR担任，采用
           虚机迁移或删除时，VCFC控制下发相关防火墙策略随即迁                         vSwitch软件作L2VTEP（二层VXLAN隧道端点），使虚
           移，实现云平台数据中心分布式防火墙，并与安全组A C L                        机接入到VXLAN网络中，vSwitch软件可运行在ESXi、
           可共存、可同时配置同时生效。与安全组A C L不同，状态                        K V M、C A S等虚拟化平台上。安全服务节点包括V S R、
           防火墙有方向，如：VM1和VM2间能互访，或VM1能访问                        vFW、vLB等设备，通过VCFC集中控制和编排，实现东
           VM2、VM2不能访问VM1等，状态防火墙还可检测状态会                        西向和南北向服务链服务节点功能。服务链支持v P o r t、
           话（如TCP连接），在TCP连接建立之前会拒绝访问。                          Network、Subnet、IP地址进行服务链分流配置，服务节点的
                                                               经过顺序是先vFW再vLB。南北向由VSR集成vFW，vLB独
           四．基于服务链的云安全组网方案                                     立部署。东西向跨网段vFW集成在VSR上，vLB独立部署。
               1.服务链的基本概念                                         3.物理交换机做网关的服务链
               云平台数据中心的Service  Chain（服务链）是指数据
           报文在网络中传递时，为了给用户提供安全、快速、稳定的
           网络服务，网络流量需要按照业务逻辑要求的既定顺序经过
           各类服务节点，从而根据云租户的业务需求来定义安全访问
           路径。服务链是支撑虚拟化、业务网络可编程的关键技术，
           通过服务链，云平台数据中心各服务节点可实现业务应用与
           网络位置解耦，实现网络业务灵活快速部署。通过服务链引
           流避免路径依赖，还可集成高转发性能的物理安全设备。通
           过服务链可实现多种安全业务组合自定义，支持采用F W/
           LB/IPS/AV等可弹性扩展和物理拓扑无关的安全资源池提
           供集中式安全服务，满足租户对安全资源的弹性需求。基于
                                                               图7 物理交换机做网关的服务链示意图
           SDN可为不同VM间流量单独定义安全服务链。
                                                                  采用物理交换机做VXLAN  IP网关，提供Overlay网关
                                                               功能。采用vSwitch软件、VXLAN二层网关作L2VTEP，
                                                               使虚机或物理服务器接入到VXLAN网络中，vSwitch软件
           图5 云安全服务链示意图
                                                               可运行在ESXi、KVM、CAS等虚拟化平台上。安全服务节
               VCFC通过统一调度来集中控制服务链的构建与部署，                       点包括VSR、vFW、vLB、物理安全设备/物理防火墙、物
           将NFV或硬件形态的服务资源抽象为统一的服务资源池，并                         理负载均衡设备等。南北向由物理交换机做VXLAN终结，

     WWW.IMASCHINA.COM

   42 NOVEMBER  2017.11   B&P