基于SRv6的安全能力調度技術要求

3基于SRv6的安全能力調度技術要求本文件規(guī)定了基于SRv6的安全能力調度總體架構、編排調度層技術要求、網絡基礎設施技術要求、安全基礎設施技術要求。本文件適用于指導基于SRv6網絡設備、云化安全資源池對應一體化產品及服務的研發(fā)、測試、部署和運營。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款.其中，注日期的引用文件，僅該日期對應的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20281-2020信息安全技術防火墻安全技術要求和測試評價辦法GB/T22239-2019信息安全技術網絡安全等級保護基本要求YD/T1452-2014IPv6網絡設備技術要求邊緣路由器YD/T1454-2014IPv6網絡設備技術要求核心路由器IETFRFC8754IPv6段路由頭3術語和定義下列術語和定義適用于本文件。SRv6流量工程策略srvótrafficengineeringpolicy利用分段路由技術的源路由機制，通過在頭端設備封裝一個有序的指令列表(路徑信息)來指導報文穿越網絡，用于實現(xiàn)流量工程，提升網絡質量，滿足業(yè)務的端到端需求用戶標識符useridentifier由云網安業(yè)務編排調度器分配給訂購服務的用戶的唯一標識，應采用USER-Group-ID字段攜帶。注用戶標識符在網絡業(yè)務鏈頭端設備中被封裝，安全基礎設施解析此標識，匹配用戶安全服務映射表進入對應的安全業(yè)務鏈應用標識符applicationidentifier由網絡控制器分配給特定應用發(fā)送的流量的唯一標識，應采用APP-Group-ID字段攜帶。注攜帶應用標識符的SRv6報文，在網絡業(yè)務鏈的頭端設備被解析。匹配對應的網絡業(yè)務鏈，實現(xiàn)引流到安全資源池。云網安業(yè)務cloudnetworksecurityservice服務提供商面向用戶提供的具備業(yè)務隨需部署、敏捷開通、路徑可編程、資源彈性自適應的網絡和基于云化安全能力一體化服務。安全資源池網關securityresourcepoolgateway外部承載網絡與安全資源池內部云化安全組件連接的實體。與承載網絡設備相連，部署在安全資源池的入口，參與網絡層SRv6業(yè)務鏈編排調度，通過解析用戶和應用信息，匹配上層控制器下發(fā)的安全服務映射表進行安全資源調度，并將流量轉發(fā)至對應的資源處理4下列縮略語適用于本文件。APN6基于IPv6的應用感知網絡APN-ID應用標識符CE用戶網絡邊緣設備DOH目的選項擴展頭IPS入侵防御系統(tǒng)IPv6互聯(lián)網協(xié)議第6版PE服務商邊緣設備SRPGW安全資源池網關SID分段標識SR分段路由SRH分段路由報頭SRP安全資源池SRv6基于IPv6的分段路由WAF網站應用防火墻Application-awareIPv6NetworProviderEdgeSecurityResourcePoolGaSegnentRoutingSecurityResourceSegmentRoutingove5總體技術框架基于SRv6的安全能力調度總體技術框架由運營層、編排調度層和基礎設施層構成，通過SRv6網絡的靈活編排與調度，引導用戶流量至安全資源池，達到安全服務與網絡服務一體化靈活調度與編排?？傮w技術框架如圖1所示。應用全路安全制器全脂訂購就F圖1基于SRvó的安全能力調度總體技術框架運營層通過運營門戶提供面向企業(yè)用戶的網絡及云化安全資源池的一體化服務能力，包括專線等網絡服務和安全服務。運營門戶與云網安業(yè)務編排調度器對接，發(fā)布用戶服務訂購請求信息。編排調度層通過云網安業(yè)務編排調度器、網絡控制器及安全控制器提供整體業(yè)務編排調度能力。云網安業(yè)務編排調度器對接運營門戶，接收用戶的網絡和安全服務訂購請求，進行網絡和安全資源的調度。對接網絡控制器和安全控制器，將資源調度結果發(fā)送至網絡控制器和安全控制器。網絡控制器負責端到端SRv6流量工程策略業(yè)務鏈路徑編排，并下發(fā)給網絡基礎設施。安全控制器負責用戶安全資源分配，并下發(fā)給安全基礎設施。用戶(示例)訂購安全服務(示例)用戶標識符(分配示例)服務映射表(示例)ABC7e)應根據用戶安全訂購信息，提供對應的安全能力的串接編排，下發(fā)給安全資源池，創(chuàng)建對應的安全資源，并且根據用戶要求由安全資源池配置對應的安全防護策略。本項要求包括：應采用SRv6和APN6進行用戶報文封裝，具體如下：a)SRv6在IPv6擴展頭中的位置應符合IETFRFC8754第2章，IETFRFC8986第3章標準要求。采用RH擴展頭封裝：b)APN6在IPv6擴展頭中的位置參考IETF草案(見參考文獻12、13),宜采用DOH擴展頭封裝c)APN-ID數據包括三個部分：APP-Group-ID,USER-Group-ID和Reserved(保留位),APN-ID數據總長度64bit,每個部分的長度可靈活定義。應用標識符使用APN-ID中的APP-Group-ID字段進行封裝，用戶標識符使用APN-ID中的USER-Group-ID字段進行封裝。APN-ID格式見圖8基礎設施層技術要求8.1網絡基礎設施本項要求包括：a)對于嚴格逐跳編排網絡業(yè)務鏈，網絡基礎設施包含支持SRv6和APN6的運營商邊界PE設備或用戶邊界CE設備，以及支持SRv6的中間節(jié)點設備；b)對于松散編排網絡業(yè)務鏈，網絡基礎設施包含支持SRv6和APN6的運營商邊界PE設備或用戶邊界CE設備，以及支持IPv6、可選支持SRv6的中間節(jié)點設備：c)參與網絡業(yè)務鏈編排的網絡設備應支持SRv6拓撲發(fā)現(xiàn)和上報：d)參與網絡業(yè)務鏈編排的網絡設備應支持業(yè)務流量SRv6隧道封裝、解封裝：e)參與網絡業(yè)務鏈編排的運營商邊界PE設備或用戶邊界CE設備應支持業(yè)務流量APN6封裝、解f)參與網絡業(yè)務鏈編排的網絡設備應支持SRv6流量處理及轉發(fā)：g)網絡設備對于IPv6網間互聯(lián)應遵循YD/T1454-2014和YD/T1452-2014的要求。8.2安全基礎設施本項要求包括：a)安全基礎設施包含安全資源泡內SRPCW及云化安全組件：b)云化安全組件應支持接收安全控制器下發(fā)的安全資源創(chuàng)建要求，為用戶生成對應安全資源：c)SRPGW應具備接收安全控制器下發(fā)的用戶安全服務映射表能力：d)SRPGW應具備接收并處理網絡側流量能力，根據報文中攜帶的APN-ID信息，解析用戶標識符匹配用戶安全服務映射表進行安全資源調度，并將流量轉發(fā)至對應的資源處理；e)SRPGW應具備SRv6流量處理及轉發(fā)能力；f)應基于虛擬機或容器的方式部署，支持彈性擴縮能力g)安全服務包括訪問控制、入侵防范、惡意代碼防范、安全審計、Web應用安全防護等，其中訪問控制、入侵防范、惡意代碼防范、安全審計服務應遵循GB/T22239-2019,Web應用安全防護應遵循GB/T20281-2020。8[1]CCSA2019-1194T-YD.《基于SRv6的網絡編程技術要求》(草案報批稿)[2]CCSA2020-0550T-YD.《基于SRv6的IP承載網絡總體技術要求》(草案報批稿)[3]CCSA2019-1193T-YD.《基于SRv6的VPN網絡技術要求》(草案報批稿)[4]OCSA2022-0779T-YD,《SRv6控制面技術要求第4部分：BGPSRv6Policy協(xié)議擴展》(標準草案送審稿)[6]OCSA2021-0210T-YD,《基于IPv6的網絡互聯(lián)互通技術要求》(草案報批稿)[7]YD/T1906-2009,核心路由器(IPv6)安全技術要求[8]YD/T1907-2009,邊緣路由器(IPv6)安全技術要求[9]TETFProgranmingwithSegme[10]IETFdraft-ietf-spring-segmeRoutingPolieyArehitec[11]IETF