基于SRv6的安全能力調(diào)度技術(shù)要求

3基于SRv6的安全能力調(diào)度技術(shù)要求本文件規(guī)定了基于SRv6的安全能力調(diào)度總體架構(gòu)、編排調(diào)度層技術(shù)要求、網(wǎng)絡(luò)基礎(chǔ)設(shè)施技術(shù)要求、安全基礎(chǔ)設(shè)施技術(shù)要求。本文件適用于指導(dǎo)基于SRv6網(wǎng)絡(luò)設(shè)備、云化安全資源池對應(yīng)一體化產(chǎn)品及服務(wù)的研發(fā)、測試、部署和運營。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款.其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測試評價辦法GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求YD/T1452-2014IPv6網(wǎng)絡(luò)設(shè)備技術(shù)要求邊緣路由器YD/T1454-2014IPv6網(wǎng)絡(luò)設(shè)備技術(shù)要求核心路由器IETFRFC8754IPv6段路由頭3術(shù)語和定義下列術(shù)語和定義適用于本文件。SRv6流量工程策略srvótrafficengineeringpolicy利用分段路由技術(shù)的源路由機(jī)制，通過在頭端設(shè)備封裝一個有序的指令列表(路徑信息)來指導(dǎo)報文穿越網(wǎng)絡(luò)，用于實現(xiàn)流量工程，提升網(wǎng)絡(luò)質(zhì)量，滿足業(yè)務(wù)的端到端需求用戶標(biāo)識符useridentifier由云網(wǎng)安業(yè)務(wù)編排調(diào)度器分配給訂購服務(wù)的用戶的唯一標(biāo)識，應(yīng)采用USER-Group-ID字段攜帶。注用戶標(biāo)識符在網(wǎng)絡(luò)業(yè)務(wù)鏈頭端設(shè)備中被封裝，安全基礎(chǔ)設(shè)施解析此標(biāo)識，匹配用戶安全服務(wù)映射表進(jìn)入對應(yīng)的安全業(yè)務(wù)鏈應(yīng)用標(biāo)識符applicationidentifier由網(wǎng)絡(luò)控制器分配給特定應(yīng)用發(fā)送的流量的唯一標(biāo)識，應(yīng)采用APP-Group-ID字段攜帶。注攜帶應(yīng)用標(biāo)識符的SRv6報文，在網(wǎng)絡(luò)業(yè)務(wù)鏈的頭端設(shè)備被解析。匹配對應(yīng)的網(wǎng)絡(luò)業(yè)務(wù)鏈，實現(xiàn)引流到安全資源池。云網(wǎng)安業(yè)務(wù)cloudnetworksecurityservice服務(wù)提供商面向用戶提供的具備業(yè)務(wù)隨需部署、敏捷開通、路徑可編程、資源彈性自適應(yīng)的網(wǎng)絡(luò)和基于云化安全能力一體化服務(wù)。安全資源池網(wǎng)關(guān)securityresourcepoolgateway外部承載網(wǎng)絡(luò)與安全資源池內(nèi)部云化安全組件連接的實體。與承載網(wǎng)絡(luò)設(shè)備相連，部署在安全資源池的入口，參與網(wǎng)絡(luò)層SRv6業(yè)務(wù)鏈編排調(diào)度，通過解析用戶和應(yīng)用信息，匹配上層控制器下發(fā)的安全服務(wù)映射表進(jìn)行安全資源調(diào)度，并將流量轉(zhuǎn)發(fā)至對應(yīng)的資源處理4下列縮略語適用于本文件。APN6基于IPv6的應(yīng)用感知網(wǎng)絡(luò)APN-ID應(yīng)用標(biāo)識符CE用戶網(wǎng)絡(luò)邊緣設(shè)備DOH目的選項擴(kuò)展頭IPS入侵防御系統(tǒng)IPv6互聯(lián)網(wǎng)協(xié)議第6版PE服務(wù)商邊緣設(shè)備SRPGW安全資源池網(wǎng)關(guān)SID分段標(biāo)識SR分段路由SRH分段路由報頭SRP安全資源池SRv6基于IPv6的分段路由WAF網(wǎng)站應(yīng)用防火墻Application-awareIPv6NetworProviderEdgeSecurityResourcePoolGaSegnentRoutingSecurityResourceSegmentRoutingove5總體技術(shù)框架基于SRv6的安全能力調(diào)度總體技術(shù)框架由運營層、編排調(diào)度層和基礎(chǔ)設(shè)施層構(gòu)成，通過SRv6網(wǎng)絡(luò)的靈活編排與調(diào)度，引導(dǎo)用戶流量至安全資源池，達(dá)到安全服務(wù)與網(wǎng)絡(luò)服務(wù)一體化靈活調(diào)度與編排?？傮w技術(shù)框架如圖1所示。應(yīng)用全路安全制器全脂訂購就F圖1基于SRvó的安全能力調(diào)度總體技術(shù)框架運營層通過運營門戶提供面向企業(yè)用戶的網(wǎng)絡(luò)及云化安全資源池的一體化服務(wù)能力，包括專線等網(wǎng)絡(luò)服務(wù)和安全服務(wù)。運營門戶與云網(wǎng)安業(yè)務(wù)編排調(diào)度器對接，發(fā)布用戶服務(wù)訂購請求信息。編排調(diào)度層通過云網(wǎng)安業(yè)務(wù)編排調(diào)度器、網(wǎng)絡(luò)控制器及安全控制器提供整體業(yè)務(wù)編排調(diào)度能力。云網(wǎng)安業(yè)務(wù)編排調(diào)度器對接運營門戶，接收用戶的網(wǎng)絡(luò)和安全服務(wù)訂購請求，進(jìn)行網(wǎng)絡(luò)和安全資源的調(diào)度。對接網(wǎng)絡(luò)控制器和安全控制器，將資源調(diào)度結(jié)果發(fā)送至網(wǎng)絡(luò)控制器和安全控制器。網(wǎng)絡(luò)控制器負(fù)責(zé)端到端SRv6流量工程策略業(yè)務(wù)鏈路徑編排，并下發(fā)給網(wǎng)絡(luò)基礎(chǔ)設(shè)施。安全控制器負(fù)責(zé)用戶安全資源分配，并下發(fā)給安全基礎(chǔ)設(shè)施。用戶(示例)訂購安全服務(wù)(示例)用戶標(biāo)識符(分配示例)服務(wù)映射表(示例)ABC7e)應(yīng)根據(jù)用戶安全訂購信息，提供對應(yīng)的安全能力的串接編排，下發(fā)給安全資源池，創(chuàng)建對應(yīng)的安全資源，并且根據(jù)用戶要求由安全資源池配置對應(yīng)的安全防護(hù)策略。本項要求包括：應(yīng)采用SRv6和APN6進(jìn)行用戶報文封裝，具體如下：a)SRv6在IPv6擴(kuò)展頭中的位置應(yīng)符合IETFRFC8754第2章，IETFRFC8986第3章標(biāo)準(zhǔn)要求。采用RH擴(kuò)展頭封裝：b)APN6在IPv6擴(kuò)展頭中的位置參考IETF草案(見參考文獻(xiàn)12、13),宜采用DOH擴(kuò)展頭封裝c)APN-ID數(shù)據(jù)包括三個部分：APP-Group-ID,USER-Group-ID和Reserved(保留位),APN-ID數(shù)據(jù)總長度64bit,每個部分的長度可靈活定義。應(yīng)用標(biāo)識符使用APN-ID中的APP-Group-ID字段進(jìn)行封裝，用戶標(biāo)識符使用APN-ID中的USER-Group-ID字段進(jìn)行封裝。APN-ID格式見圖8基礎(chǔ)設(shè)施層技術(shù)要求8.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施本項要求包括：a)對于嚴(yán)格逐跳編排網(wǎng)絡(luò)業(yè)務(wù)鏈，網(wǎng)絡(luò)基礎(chǔ)設(shè)施包含支持SRv6和APN6的運營商邊界PE設(shè)備或用戶邊界CE設(shè)備，以及支持SRv6的中間節(jié)點設(shè)備；b)對于松散編排網(wǎng)絡(luò)業(yè)務(wù)鏈，網(wǎng)絡(luò)基礎(chǔ)設(shè)施包含支持SRv6和APN6的運營商邊界PE設(shè)備或用戶邊界CE設(shè)備，以及支持IPv6、可選支持SRv6的中間節(jié)點設(shè)備：c)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的網(wǎng)絡(luò)設(shè)備應(yīng)支持SRv6拓?fù)浒l(fā)現(xiàn)和上報：d)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的網(wǎng)絡(luò)設(shè)備應(yīng)支持業(yè)務(wù)流量SRv6隧道封裝、解封裝：e)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的運營商邊界PE設(shè)備或用戶邊界CE設(shè)備應(yīng)支持業(yè)務(wù)流量APN6封裝、解f)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的網(wǎng)絡(luò)設(shè)備應(yīng)支持SRv6流量處理及轉(zhuǎn)發(fā)：g)網(wǎng)絡(luò)設(shè)備對于IPv6網(wǎng)間互聯(lián)應(yīng)遵循YD/T1454-2014和YD/T1452-2014的要求。8.2安全基礎(chǔ)設(shè)施本項要求包括：a)安全基礎(chǔ)設(shè)施包含安全資源泡內(nèi)SRPCW及云化安全組件：b)云化安全組件應(yīng)支持接收安全控制器下發(fā)的安全資源創(chuàng)建要求，為用戶生成對應(yīng)安全資源：c)SRPGW應(yīng)具備接收安全控制器下發(fā)的用戶安全服務(wù)映射表能力：d)SRPGW應(yīng)具備接收并處理網(wǎng)絡(luò)側(cè)流量能力，根據(jù)報文中攜帶的APN-ID信息，解析用戶標(biāo)識符匹配用戶安全服務(wù)映射表進(jìn)行安全資源調(diào)度，并將流量轉(zhuǎn)發(fā)至對應(yīng)的資源處理；e)SRPGW應(yīng)具備SRv6流量處理及轉(zhuǎn)發(fā)能力；f)應(yīng)基于虛擬機(jī)或容器的方式部署，支持彈性擴(kuò)縮能力g)安全服務(wù)包括訪問控制、入侵防范、惡意代碼防范、安全審計、Web應(yīng)用安全防護(hù)等，其中訪問控制、入侵防范、惡意代碼防范、安全審計服務(wù)應(yīng)遵循GB/T22239-2019,Web應(yīng)用安全防護(hù)應(yīng)遵循GB/T20281-2020。8[1]CCSA2019-1194T-YD.《基于SRv6的網(wǎng)絡(luò)編程技術(shù)要求》(草案報批稿)[2]CCSA2020-0550T-YD.《基于SRv6的IP承載網(wǎng)絡(luò)總體技術(shù)要求》(草案報批稿)[3]CCSA2019-1193T-YD.《基于SRv6的VPN網(wǎng)絡(luò)技術(shù)要求》(草案報批稿)[4]OCSA2022-0779T-YD,《SRv6控制面技術(shù)要求第4部分：BGPSRv6Policy協(xié)議擴(kuò)展》(標(biāo)準(zhǔn)草案送審稿)[6]OCSA2021-0210T-YD,《基于IPv6的網(wǎng)絡(luò)互聯(lián)互通技術(shù)要求》(草案報批稿)[7]YD/T1906-2009,核心路由器(IPv6)安全技術(shù)要求[8]YD/T1907-2009,邊緣路由器(IPv6)安全技術(shù)要求[9]TETFProgranmingwithSegme[10]IETFdraft-ietf-spring-segmeRoutingPolieyArehitec[11]IETF