基于SRv6和流量負載的新型高防系統(tǒng)研究

安全服務編排SecurityServiceOrchestration基于SRv6和流量負載的新型高防系統(tǒng)研究基于SRv6和流量負載的新型高防系統(tǒng)研究ResearchonNewAdvancedDefenceSystem高防系統(tǒng)研究BasedonSRv6andTrafficLoad徐寶辰1，余思陽2，李長連1，李發(fā)財2，趙通1（1.中訊郵電咨詢設計院有限公司，北京100048；2.中國聯(lián)通智網(wǎng)創(chuàng)新中心，北京100046）XuBaochen1，YuSiyang2，LiChanglian1，LiFacai2，ZhaoTong1（1.ChinaInformationTechnologyDesig關鍵詞：關鍵詞：需要在每個節(jié)點做標簽配置，只需要設定SRv6的頭、尾節(jié)點即可通過路由進行自行選路從而將數(shù)據(jù)包轉(zhuǎn)發(fā)至目標。介紹了SRv6Policy下unawareSF節(jié)點的應用模型，創(chuàng)新性提出在高防及WAF系統(tǒng)下采用SRv6引流的方式將攻擊流Keywords：0前言高防廣義上被定義為集成了防御4層（DDoS）+7資源池甚至數(shù)據(jù)中心的形態(tài)出現(xiàn)并提供安全服務。對于7層攻擊的防護，高防中心內(nèi)部通常以WAF作為擊進行攔截，所以高防資源池或者高防數(shù)據(jù)中心通常以DNS引流為手段，需要防護用戶手動修改被防護WebURL的DNS地址指向，將DNS指向為高防系統(tǒng)IP收稿日期：2023-06-08地址，從而將流量引入到高防資源池中來。本文首先介紹了SRv6的一種應用場景——SRv6TEPolicy+業(yè)務鏈，并結合SRv6TEPolicy深入介紹通過SRv6技術作為流量牽引手段與高防相結合，從而簡化了用戶接入高防系統(tǒng)的方式，并提出筆者研究的最佳實踐。1SRv6業(yè)務鏈的概念與網(wǎng)絡架構1.1SRv6業(yè)務鏈的概念徑上的關鍵節(jié)點或鏈路定義為每個Segment，Segment382023/08/DTPT基于SRv6和流量負載的新型高防系統(tǒng)研究安全服務編排SecurityServiceOrchestration到原始的IP報文前變成新的IP報文頭，數(shù)據(jù)報文會從頭節(jié)點開始，按照生成的每個Segment組成的路徑進行轉(zhuǎn)發(fā)。當轉(zhuǎn)發(fā)到尾節(jié)點的時候，報文中的SRH會彈出，從而暴露出原始的IP頭，并按照原始IP報文根據(jù)路由進行轉(zhuǎn)發(fā)。例如，我們計劃從A地出發(fā)去B公園游玩，打開導航軟件，上面顯示共有2條路可從A地到達B公園，其中1號路徑路程短但比較擁堵，用時較多，2號路徑路程長但車流壓力不大，用時反而較少。如果從路程角度來計算會選擇1號路徑，如果從時間長短來考慮會選擇2號路徑。那么在出發(fā)時（A節(jié)點）就需要確定選擇哪種策略（Policy這種基于流量工程（案例中為車流量）角度來指定轉(zhuǎn)發(fā)策略的方式就是SRv6TESRv6TEPolicy有3個重要的要素，分別是頭端端分別為A、B兩地，用來確定SRv6TEPolicy的首尾兩端地址，顏色是出行路徑的策略，不同的路徑會被進行不同的染色動作（在Color字段配置不同的值需要根據(jù)自己的需求選擇一條被染色的路徑進行報文轉(zhuǎn)發(fā)（比如需要利用更短的時間到達B公園的話，就需要選擇路徑2）。通過SRv6的封裝和Policy的選路，就可以包流向其目標位置。類比圖1中的各個地點，假設A地為攻擊源、B公園為攻擊目標（防護源站那么高防系統(tǒng)所在的位置就會被置為廣場或交叉路口。但是Policy技術只能讓數(shù)據(jù)包經(jīng)過高防系統(tǒng)所在地點，如何能讓數(shù)據(jù)包真正進入到高防系統(tǒng)進行監(jiān)測及防護，則需要SRv6TEPolicy+業(yè)務鏈的模型來解決這個問題。WAF、防火墻等）提供解決方案。業(yè)務鏈分為控制平面和轉(zhuǎn)發(fā)平面2部分，其中控制平面由控制器組成，控制器與下方所管理的路由器建立網(wǎng)絡連接，并負責管理路由器狀態(tài)、下發(fā)路由器指令等功能；轉(zhuǎn)發(fā)平面即所有SRv6路由經(jīng)過的網(wǎng)絡節(jié)點，對于業(yè)務鏈來說分為Proxy（業(yè)務代理設備）。SFF和SFCProxy作為SRv6TEPolicy中重要的節(jié)點，必然有自己的SISID。在業(yè)務鏈中，SFF及SFCProxy的endSID的類型為end.AS，其作用為暫時剝離SRH暴露Payload轉(zhuǎn)發(fā)至指定出接口并緩存SegmentList，當流量轉(zhuǎn)發(fā)回SFF節(jié)點時重新將緩存的SegmentList添加至剛才的數(shù)據(jù)包重新成為SRH。SFCProxy節(jié)點cacheSRH過程如圖2所示。E001∷A000：1E001∷A001：1E001∷A002：1剝離SRH添加剝離SRH添加SRHCacheSAE001∷A000：1E001∷A002：1E001∷A001：1圖2SFCProxy節(jié)點cacheSRH過程業(yè)務鏈可以解決SRv6TEPolicy鏈路中下掛其他服務的問題，SFC流量走向如圖3所示。鏈，由于下一跳為SFF節(jié)點，所以流量并沒有按照Seg?mentList向下轉(zhuǎn)發(fā)，而是先從SFF轉(zhuǎn)發(fā)到其下掛的服務節(jié)點SF1和SF2，回到SFF節(jié)點后繼續(xù)轉(zhuǎn)發(fā)至R3回到尾節(jié)點并彈出SRH頭部終結業(yè)務鏈。而當SFF節(jié)點下掛的安全服務并不支持SRv6功能時，SFF節(jié)點應1號路徑2號路徑B公園廣場1號路徑2號路徑B公園廣場AA地交叉路口交叉路口HeadendSFFR1R2R3SF1SF2圖3SFC流量走向圖郵電設計技術/2023/0839安全服務編排SecurityServiceOrchestration基于SRv6和流量負載的新型高防系統(tǒng)研究變?yōu)镾FCProxy節(jié)點，具有代理SRv6并緩存（cache）SRH頭部的功能。2新型高防設計思路針對SRv6TEPolicySFC的特點，可以知道SFF節(jié)點下可以下掛任何安全能力，包括具有SRv6功能的安全服務和不具備SRv6功能的普通安全服務，這使得SRv6TEPolicySFC技術的普適性大大增加。由于現(xiàn)在市面上的安全能力普遍不具備SRv6功能，所以本文以SRv6TEPolicySFCunaware架構為基礎，設計了基于SRv6TEPolicy+流量負載設備的新型高防資源池架構。新型高防架構分為2個部分：安全資源池外的流量牽引部分以及安全資源池內(nèi)的流量調(diào)度部分。安全資源池外的流量牽引部分以SRv6TEPolicySFC技Router）以及多臺高防業(yè)務需求區(qū)域路由器AR（Area了SFCProxy的角色，負責與高防資源池內(nèi)部對接并將SRv6中攜帶的Payload轉(zhuǎn)發(fā)至高防資源池內(nèi)。AR利用PBR將所需要防護的業(yè)務流量轉(zhuǎn)發(fā)至Policy中從而使得被防護流量進入業(yè)務鏈。根據(jù)業(yè)務鏈中SegmentList流量將會被轉(zhuǎn)發(fā)至SFCProxy節(jié)點，SFCProxy會根Payload轉(zhuǎn)發(fā)至高防資源池內(nèi)部，而后將經(jīng)高防系統(tǒng)清洗后的流量重新加載緩存起來的SRH繼續(xù)根據(jù)Seg?mentList轉(zhuǎn)發(fā)至Endpoint。新型高防安全資源池外流量走向如圖4所示。安全資源池內(nèi)流量主要依靠流量負載設備進行調(diào)度。數(shù)據(jù)報文經(jīng)過SFF節(jié)點后剝離SRH將Payload以及原始報文IP暴露給高防安全資源池內(nèi)部設備。如果在新型高防資源池出口處部署一臺流量負載設備就可以與SFF設備對接，也可以在高防中的WAF接SRAR1剝離SRH添加SRHAR2數(shù)據(jù)包流向圖4新型高防安全資源池外流量走向收到流量前通過DNAT將目的地址修改為高防系統(tǒng)的IP，因為WAF只能接收目的地址是自己的數(shù)據(jù)報文，這樣高防中的WAF才能夠與流量發(fā)起者建立TCP連接。當WAF收到流量后通過自身的代理模式以及WAF的7層防護原理，會將數(shù)據(jù)包的源地址修改為自身IP地址，而目的地址修改為防護網(wǎng)站所對應的IP地址，隨后數(shù)據(jù)包會根據(jù)目的地址查找路由轉(zhuǎn)發(fā)至流量負載設備，并繼續(xù)轉(zhuǎn)發(fā)至SFF設備入接口。SFF設備會將報文通過cachelist重新封裝為SRv6報文并繼續(xù)根據(jù)SegmentList轉(zhuǎn)發(fā)（SRv6部分詳細轉(zhuǎn)發(fā)流程已在上文提及，不做贅述）。新型高防安全資源池內(nèi)上行流量走向如圖5所示。SFCProxy圖5新型高防安全資源池內(nèi)上行流量走向當下行數(shù)據(jù)報文從源站通過路由尋址再次返回高防資源池內(nèi)時，數(shù)據(jù)報文通過流量負載設備直接進入高防資源池內(nèi)WAF中，由于此時目的地址為WAFIP地址，故流量可直接進入WAF中并完成下行流量防護，至此高防系統(tǒng)與目標源站的TCP連接建立完成。數(shù)據(jù)包經(jīng)過高防系統(tǒng)WAF后返回流量負載設備，負載設備將此數(shù)據(jù)包通過SNAT將源地址由WAF地址轉(zhuǎn)換為防護網(wǎng)站地址，并根據(jù)路由轉(zhuǎn)發(fā)至訪問者終端，完成一次完整通信。新型高防安全資源池內(nèi)下行流量走向如圖6所示。正如前文所述，高防是集成了防御4層（DDoS）+7層（滲透）攻擊的高級防御系統(tǒng)，那么4層攻擊的防御如何與新型高防的網(wǎng)絡架構相結合呢？借鑒于抗DDoS的防御原則，防御手段越靠近攻擊源，DDoS攻擊的危害就越小，可以將抗DDoS的防御手段盡可能地向流量發(fā)起者方向部署。在新型高防系統(tǒng)中，最靠近流量發(fā)起者（攻擊者）的地點為AR1，所以需要想辦法在AR1集成抗DDoS的手段，經(jīng)過流量清洗后再進入SRv6隧道。傳統(tǒng)的抗DDoS流量牽引手段為明細路由402023/08/DTPT基于SRv6和流量負載的新型高防系統(tǒng)研究安全服務編排SecurityServiceOrchestrationSFCProxy流量負載高防系統(tǒng)圖6新型高防安全資源池內(nèi)下行流量走向轉(zhuǎn)發(fā)，即在原主干鏈路中將要進行清洗的流量通過明細路由的方式將下一跳指向抗DDoS流量清洗設備。流量清洗完成后數(shù)據(jù)流回注至另一臺回注路由器或回注VRF。如果回注VRF配置在AR1上，那么則需要將本地的策略路由刪除，并在回注VRF中再次配置策略路由將流量重定向到SRv6Policy+業(yè)務鏈中。抗D+高防系統(tǒng)完整防護結構如圖7所示?；刈⒙酚蛇M業(yè)務鏈進入SFCProxyAR2重新添回注路由進業(yè)務鏈進入SFCProxyAR2重新添加SRH明細路由SFVRFAR1DDoS圖7抗D+高防系統(tǒng)完整防護結構3新型高防的優(yōu)勢與應用場景3.1新型高防的優(yōu)勢新型高防系統(tǒng)與傳統(tǒng)高防系統(tǒng)相比，具有以下幾方面的優(yōu)勢。a）被防護網(wǎng)站無需修改DNS域名指向，對于SaaS化安全服務廠商來說可以為用戶提供“即插即用”式的高防服務。b）可根據(jù)鏈路狀態(tài)為用戶提供不同等級的安全mentList包含的節(jié)點都可以以不同的Color進行染色操作，不同Color的鏈路可以根據(jù)用戶需要進行不同的選擇，為用戶的SLA提供了更高級別的保障。c）資源池內(nèi)部的調(diào)度方式更加豐富，對于支持SRv6的安全設備，可以通過SFF節(jié)點直接進行流量調(diào)度，對于不支持SRv6的設備，也可以通過下掛其他流量調(diào)度設備進行流量負載以及流量編排功能。3.2新型高防的應用場景（云安全服務商）對于云安全服務商來說，由于資源限制，高防中心或高防IDC不會在每個地區(qū)都進行部署建設，新型高防系統(tǒng)架構可以讓流量調(diào)度手段更加豐富，使用SRv6進行流量牽引無疑是更好的選擇，新型高防對于客戶的接入性也更加友好。云安全服務商可以在運營商設備下掛載自己的網(wǎng)絡設備及高防。當有用戶需要接入高防系統(tǒng)的時候，可以先通過BGP將明細路由發(fā)送至運營商設備，將目的地址為防護用戶的流量牽引至云安全服務商自有網(wǎng)絡設備，然后通過策略路由或Flowspec的方式將流量重定向至SRv6Policy中，從而通過新型高防系統(tǒng)網(wǎng)絡架構完成用戶的安全防護。4結束語近年來，隨著IPv6技術的發(fā)展以及國家對于IPv6技術的推進，越來越多基于IPv6的技術應運而生，SRv6就是其中之一。本文利用SRv6技術原理，結合現(xiàn)有技術及安全能