基于SRv6的安全能力調(diào)度技術(shù)要求

3基于SRv6的安全能力調(diào)度技術(shù)要求本文件規(guī)定了基于SRv6的安全能力調(diào)度總體架構(gòu)、編排調(diào)度層技術(shù)要求、網(wǎng)絡(luò)基礎(chǔ)設(shè)施技術(shù)要求、安全基礎(chǔ)設(shè)施技術(shù)要求。本文件適用于指導(dǎo)基于SRv6網(wǎng)絡(luò)設(shè)備、云化安全資源池對(duì)應(yīng)一體化產(chǎn)品及服務(wù)的研發(fā)、測(cè)試、部署和運(yùn)營(yíng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款.其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)辦法GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求YD/T1452-2014IPv6網(wǎng)絡(luò)設(shè)備技術(shù)要求邊緣路由器YD/T1454-2014IPv6網(wǎng)絡(luò)設(shè)備技術(shù)要求核心路由器IETFRFC8754IPv6段路由頭3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。SRv6流量工程策略srvótrafficengineeringpolicy利用分段路由技術(shù)的源路由機(jī)制，通過(guò)在頭端設(shè)備封裝一個(gè)有序的指令列表(路徑信息)來(lái)指導(dǎo)報(bào)文穿越網(wǎng)絡(luò)，用于實(shí)現(xiàn)流量工程，提升網(wǎng)絡(luò)質(zhì)量，滿(mǎn)足業(yè)務(wù)的端到端需求用戶(hù)標(biāo)識(shí)符useridentifier由云網(wǎng)安業(yè)務(wù)編排調(diào)度器分配給訂購(gòu)服務(wù)的用戶(hù)的唯一標(biāo)識(shí)，應(yīng)采用USER-Group-ID字段攜帶。注用戶(hù)標(biāo)識(shí)符在網(wǎng)絡(luò)業(yè)務(wù)鏈頭端設(shè)備中被封裝，安全基礎(chǔ)設(shè)施解析此標(biāo)識(shí)，匹配用戶(hù)安全服務(wù)映射表進(jìn)入對(duì)應(yīng)的安全業(yè)務(wù)鏈應(yīng)用標(biāo)識(shí)符applicationidentifier由網(wǎng)絡(luò)控制器分配給特定應(yīng)用發(fā)送的流量的唯一標(biāo)識(shí)，應(yīng)采用APP-Group-ID字段攜帶。注攜帶應(yīng)用標(biāo)識(shí)符的SRv6報(bào)文，在網(wǎng)絡(luò)業(yè)務(wù)鏈的頭端設(shè)備被解析。匹配對(duì)應(yīng)的網(wǎng)絡(luò)業(yè)務(wù)鏈，實(shí)現(xiàn)引流到安全資源池。云網(wǎng)安業(yè)務(wù)cloudnetworksecurityservice服務(wù)提供商面向用戶(hù)提供的具備業(yè)務(wù)隨需部署、敏捷開(kāi)通、路徑可編程、資源彈性自適應(yīng)的網(wǎng)絡(luò)和基于云化安全能力一體化服務(wù)。安全資源池網(wǎng)關(guān)securityresourcepoolgateway外部承載網(wǎng)絡(luò)與安全資源池內(nèi)部云化安全組件連接的實(shí)體。與承載網(wǎng)絡(luò)設(shè)備相連，部署在安全資源池的入口，參與網(wǎng)絡(luò)層SRv6業(yè)務(wù)鏈編排調(diào)度，通過(guò)解析用戶(hù)和應(yīng)用信息，匹配上層控制器下發(fā)的安全服務(wù)映射表進(jìn)行安全資源調(diào)度，并將流量轉(zhuǎn)發(fā)至對(duì)應(yīng)的資源處理4下列縮略語(yǔ)適用于本文件。APN6基于IPv6的應(yīng)用感知網(wǎng)絡(luò)APN-ID應(yīng)用標(biāo)識(shí)符CE用戶(hù)網(wǎng)絡(luò)邊緣設(shè)備DOH目的選項(xiàng)擴(kuò)展頭IPS入侵防御系統(tǒng)IPv6互聯(lián)網(wǎng)協(xié)議第6版PE服務(wù)商邊緣設(shè)備SRPGW安全資源池網(wǎng)關(guān)SID分段標(biāo)識(shí)SR分段路由SRH分段路由報(bào)頭SRP安全資源池SRv6基于IPv6的分段路由WAF網(wǎng)站應(yīng)用防火墻Application-awareIPv6NetworProviderEdgeSecurityResourcePoolGaSegnentRoutingSecurityResourceSegmentRoutingove5總體技術(shù)框架基于SRv6的安全能力調(diào)度總體技術(shù)框架由運(yùn)營(yíng)層、編排調(diào)度層和基礎(chǔ)設(shè)施層構(gòu)成，通過(guò)SRv6網(wǎng)絡(luò)的靈活編排與調(diào)度，引導(dǎo)用戶(hù)流量至安全資源池，達(dá)到安全服務(wù)與網(wǎng)絡(luò)服務(wù)一體化靈活調(diào)度與編排?？傮w技術(shù)框架如圖1所示。應(yīng)用全路安全制器全脂訂購(gòu)就F圖1基于SRvó的安全能力調(diào)度總體技術(shù)框架運(yùn)營(yíng)層通過(guò)運(yùn)營(yíng)門(mén)戶(hù)提供面向企業(yè)用戶(hù)的網(wǎng)絡(luò)及云化安全資源池的一體化服務(wù)能力，包括專(zhuān)線(xiàn)等網(wǎng)絡(luò)服務(wù)和安全服務(wù)。運(yùn)營(yíng)門(mén)戶(hù)與云網(wǎng)安業(yè)務(wù)編排調(diào)度器對(duì)接，發(fā)布用戶(hù)服務(wù)訂購(gòu)請(qǐng)求信息。編排調(diào)度層通過(guò)云網(wǎng)安業(yè)務(wù)編排調(diào)度器、網(wǎng)絡(luò)控制器及安全控制器提供整體業(yè)務(wù)編排調(diào)度能力。云網(wǎng)安業(yè)務(wù)編排調(diào)度器對(duì)接運(yùn)營(yíng)門(mén)戶(hù)，接收用戶(hù)的網(wǎng)絡(luò)和安全服務(wù)訂購(gòu)請(qǐng)求，進(jìn)行網(wǎng)絡(luò)和安全資源的調(diào)度。對(duì)接網(wǎng)絡(luò)控制器和安全控制器，將資源調(diào)度結(jié)果發(fā)送至網(wǎng)絡(luò)控制器和安全控制器。網(wǎng)絡(luò)控制器負(fù)責(zé)端到端SRv6流量工程策略業(yè)務(wù)鏈路徑編排，并下發(fā)給網(wǎng)絡(luò)基礎(chǔ)設(shè)施。安全控制器負(fù)責(zé)用戶(hù)安全資源分配，并下發(fā)給安全基礎(chǔ)設(shè)施。用戶(hù)(示例)訂購(gòu)安全服務(wù)(示例)用戶(hù)標(biāo)識(shí)符(分配示例)服務(wù)映射表(示例)ABC7e)應(yīng)根據(jù)用戶(hù)安全訂購(gòu)信息，提供對(duì)應(yīng)的安全能力的串接編排，下發(fā)給安全資源池，創(chuàng)建對(duì)應(yīng)的安全資源，并且根據(jù)用戶(hù)要求由安全資源池配置對(duì)應(yīng)的安全防護(hù)策略。本項(xiàng)要求包括：應(yīng)采用SRv6和APN6進(jìn)行用戶(hù)報(bào)文封裝，具體如下：a)SRv6在IPv6擴(kuò)展頭中的位置應(yīng)符合IETFRFC8754第2章，IETFRFC8986第3章標(biāo)準(zhǔn)要求。采用RH擴(kuò)展頭封裝：b)APN6在IPv6擴(kuò)展頭中的位置參考IETF草案(見(jiàn)參考文獻(xiàn)12、13),宜采用DOH擴(kuò)展頭封裝c)APN-ID數(shù)據(jù)包括三個(gè)部分：APP-Group-ID,USER-Group-ID和Reserved(保留位),APN-ID數(shù)據(jù)總長(zhǎng)度64bit,每個(gè)部分的長(zhǎng)度可靈活定義。應(yīng)用標(biāo)識(shí)符使用APN-ID中的APP-Group-ID字段進(jìn)行封裝，用戶(hù)標(biāo)識(shí)符使用APN-ID中的USER-Group-ID字段進(jìn)行封裝。APN-ID格式見(jiàn)圖8基礎(chǔ)設(shè)施層技術(shù)要求8.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施本項(xiàng)要求包括：a)對(duì)于嚴(yán)格逐跳編排網(wǎng)絡(luò)業(yè)務(wù)鏈，網(wǎng)絡(luò)基礎(chǔ)設(shè)施包含支持SRv6和APN6的運(yùn)營(yíng)商邊界PE設(shè)備或用戶(hù)邊界CE設(shè)備，以及支持SRv6的中間節(jié)點(diǎn)設(shè)備；b)對(duì)于松散編排網(wǎng)絡(luò)業(yè)務(wù)鏈，網(wǎng)絡(luò)基礎(chǔ)設(shè)施包含支持SRv6和APN6的運(yùn)營(yíng)商邊界PE設(shè)備或用戶(hù)邊界CE設(shè)備，以及支持IPv6、可選支持SRv6的中間節(jié)點(diǎn)設(shè)備：c)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的網(wǎng)絡(luò)設(shè)備應(yīng)支持SRv6拓?fù)浒l(fā)現(xiàn)和上報(bào)：d)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的網(wǎng)絡(luò)設(shè)備應(yīng)支持業(yè)務(wù)流量SRv6隧道封裝、解封裝：e)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的運(yùn)營(yíng)商邊界PE設(shè)備或用戶(hù)邊界CE設(shè)備應(yīng)支持業(yè)務(wù)流量APN6封裝、解f)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的網(wǎng)絡(luò)設(shè)備應(yīng)支持SRv6流量處理及轉(zhuǎn)發(fā)：g)網(wǎng)絡(luò)設(shè)備對(duì)于IPv6網(wǎng)間互聯(lián)應(yīng)遵循YD/T1454-2014和YD/T1452-2014的要求。8.2安全基礎(chǔ)設(shè)施本項(xiàng)要求包括：a)安全基礎(chǔ)設(shè)施包含安全資源泡內(nèi)SRPCW及云化安全組件：b)云化安全組件應(yīng)支持接收安全控制器下發(fā)的安全資源創(chuàng)建要求，為用戶(hù)生成對(duì)應(yīng)安全資源：c)SRPGW應(yīng)具備接收安全控制器下發(fā)的用戶(hù)安全服務(wù)映射表能力：d)SRPGW應(yīng)具備接收并處理網(wǎng)絡(luò)側(cè)流量能力，根據(jù)報(bào)文中攜帶的APN-ID信息，解析用戶(hù)標(biāo)識(shí)符匹配用戶(hù)安全服務(wù)映射表進(jìn)行安全資源調(diào)度，并將流量轉(zhuǎn)發(fā)至對(duì)應(yīng)的資源處理；e)SRPGW應(yīng)具備SRv6流量處理及轉(zhuǎn)發(fā)能力；f)應(yīng)基于虛擬機(jī)或容器的方式部署，支持彈性擴(kuò)縮能力g)安全服務(wù)包括訪(fǎng)問(wèn)控制、入侵防范、惡意代碼防范、安全審計(jì)、Web應(yīng)用安全防護(hù)等，其中訪(fǎng)問(wèn)控制、入侵防范、惡意代碼防范、安全審計(jì)服務(wù)應(yīng)遵循GB/T22239-2019,Web應(yīng)用安全防護(hù)應(yīng)遵循GB/T20281-2020。8[1]CCSA2019-1194T-YD.《基于SRv6的網(wǎng)絡(luò)編程技術(shù)要求》(草案報(bào)批稿)[2]CCSA2020-0550T-YD.《基于SRv6的IP承載網(wǎng)絡(luò)總體技術(shù)要求》(草案報(bào)批稿)[3]CCSA2019-1193T-YD.《基于SRv6的VPN網(wǎng)絡(luò)技術(shù)要求》(草案報(bào)批稿)[4]OCSA2022-0779T-YD,《SRv6控制面技術(shù)要求第4部分：BGPSRv6Policy協(xié)議擴(kuò)展》(標(biāo)準(zhǔn)草案送審稿)[6]OCSA2021-0210T-YD,《基于IPv6的網(wǎng)絡(luò)互聯(lián)互通技術(shù)要求》(草案報(bào)批稿)[7]YD/T1906-2009,核心路由器(IPv6)安全技術(shù)要求[8]YD/T1907-2009,邊緣路由器(IPv6)安全技術(shù)要求[9]TETFProgranmingwithSegme[10]IETFdraft-ietf-spring-segmeRoutingPolieyArehitec[11]IETF