安全流量编排

最新推荐文章于 2023-05-26 17:51:20 发布
最新推荐文章于 2023-05-26 17:51:20 发布
阅读量4.1k 收藏 1
点赞数
文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013750302/article/details/122215609
版权
  1. 安全流量编排

数据报文在网络中传递时,需要经过各种各样的业务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。当网络流量按照业务逻辑所要求的既定的顺序,经过这些业务点(主要指安全设备如防火墙、LB等),这就是服务链(Service Chain)。

本方案通过把不同的SRv6 Segment组合起来,Linux SRv6能够完美地整合Overlay、Underlay和服务链,其性能通过应用VPP可以得到极大的提升。

  1. SRv6实现安全能力编排的优势

SRv6基于源路由并且只在网络边缘维持状态,这使得SRv6非常适合于超大规模SDN部署,在极大简化网络的同时,SR也为网络提供了高度的可编程能力以及端到端的流量工程能力。

如果网络中有节点只支持常规的IPv6而不支持SRv6,当此节点收到SRv6数据包时, 按照IPv6 RFC的规定,由于数据包目的地址不是节点自身网段地址, 此节点不处理扩展报头,而只是单纯地根据数据包目的地址进行IPv6转发。这意味着,SRv6可以与现有的IPv6网络无缝互操作,换句话说,SRv6可以在IPv6网络上实现增量部署,无须替换现网所有设备。

2.业务实现的逻辑架构

 

客户机访问目标应用,需要经过各种安全模块之后,才能到达目标应用,SRv6很好的支持了这种场景,例如上图有四台支持SRv6的路由器,其中R3连接配置了End.AD4操作的SR Proxy,SR Proxy下挂Non SR-aware版本的安全模块;R4,R5连接了SR-aware版本的安全模块,主机a和主机b只通过IPv4连接到路由器R1以及R2,默认情况下它们无法通讯。路由器之间只有IPv6地址和路由。主机a发送给主机b的数据包,经由R1、R3,然后发往Service1;接着经由R4,R2发往Service2;最后发给主机b。

3.安全模块实现灵活性

采用SRv6实现安全能力编排,对安全模块实现的方式非常灵活,目前支持三种实现方式:

  1. 安全模块仅支持IPV4网络,本方案可以通过SR Proxy实现IPV4网络代理。
  2. 安全模块仅支持IPV6网络,本方案可以通过SR Proxy实现IPV6网络代理。
  3. 安全模块支持Srv6网络,本方案可以直接讲流量导入到Srv6的安全模块。

SRv6可以与现有不支持SRv6的IPv6网络无缝互操作,基于SRv6的服务链也可以同时支持SR-aware和Non SR-aware的服务,因此基于Linux SRv6的安全能力编排具有很高的实用性,基本上可以部署在任何支持IPv6的网络上。

wang_angela01
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
互联网域流量编排整理
zero的博客
06-03 924
流经两种安全设备之间的数据报文形成无法透明的“黑盒”。(PS:B-29轰炸机,二战时期亚洲战场美国陆军航空队主要的轰炸机,美国波音公司1940年生产战争催生的超级空中堡垒,有五个不同的弹着点,主要用于战略轰炸和远程轰炸,反潜、侦察和空中加油,配有机枪炮塔等,广岛和长崎投掷的蘑菇就是它的杰作)数据报文的业务服务流经过各种业务节点(主要L4-7层节点,如安全,SSL网关,FW,LB等)所有的数据报文按照设定好的业务逻辑经过既定的设备,这种的结构在互联网域的环境下成就了清晰的南北流量结构。
互联网创业核心技术:构建可伸缩的web应用_互联网网络安全流量编排实战
weixin_39897218的博客
12-04 648
作者:鲍一鸿,就职于科技管理部运行维护中心,目前是网络管理团队负责人,双CCIE持有者,并拥有多项厂家技术认证。在网络架构设计、网络运行维护以及网络数据分析等方面拥有一定的经验。一、工作背景随着我行各项业务的不断发展,越来越多的业务正在从传统柜台迁移至互联网端,同时,人民银行针对2020年IPv6的规模部署工作也提出了明确的要求,要求完成所有面向公众服务应用系统的改造工作以支持IP...
民生银行-网络智能流量编排探索 (2).pdf
06-11
民生银行-网络智能流量编排探索 (2).pdf民生银行-网络智能流量编排探索 (2).pdf民生银行-网络智能流量编排探索 (2).pdf民生银行-网络智能流量编排探索 (2).pdf民生银行-网络智能流量编排探索 (2).pdf民生银行-网络智能流量编排探索 (2).pdf民生银行-网络智能流量编排探索 (2).pdf民生银行-网络智能流量编排探索 (2).pdf民生银行-网络智能流量编排探索 (2).pdf
从简单部署到流量管理,部署编排给你更多想象空间
weixin_34265814的博客
04-02 612
最近,优维科技EasyOps微发布了一波另人兴奋无比的小产品——部署编排,现在和小编一起了解一下吧。 熟悉我们产品的同学都知道,在EasyOps持续交付3.0产品线构成中,只有应付交付这条单独的产品线,用于覆盖单个应用的部署需求。 但在实际的生产中,更多的是同一个业务模块下多个应用的发布更新,让EasyOps实现部署编排的能力,是我们每一个产品、研发、技术的大兄弟们一直在思考推进的事情。 用户场景...
基于 SDN 编排的云安全服务
Qingcloudedu的博客
08-25 536
云计算作为新型基础设施建设的重要组成,关键作用日益凸显,市场规模呈现持续增长趋势。然而云计算安全态势日益严峻,安全性成为影响云计算充分发挥其作用的核心要素。与传统 IT 系统架构不同,上云之后,云安全迎来了责任共担新时代。 网络安全法和等保 2.0 给出了比较清晰的指导建议,当然这也要求云厂商能提供基于 IaaS、PaaS、SaaS 的安全机制和服务。云厂商在提供给云租户云服务内容的同时,还要提供相应的安全措施和具体的安全服务产品。 QingCloud 安全资源池服务 QingCloud 安全资源池是青云
金融行业安全业务系统的优化与编排.pdf
08-10
加密——业务新常态 加密——攻击新常态 PFS——传统加密检测的终结者 盲区 菊链 消除盲区、深度安全——斗象科技&F5 只是可见性? 不仅仅是可见 ...SSL Orchestration: 智能流量调度与编排 城商行部署实践
云原生流量编排系统.zip
03-29
云原生流量编排系统是现代企业IT架构中不可或缺的一部分,它主要负责管理和调度云环境中的服务间流量,实现高效、灵活的微服务治理。在"云原生流量编排系统.zip"中,包含的核心组件可能就是Easegress,这是一个强大...
网络智能流量编排技术方案.docx
10-23
网络智能流量编排技术应运而生,旨在解决这些问题,提供更高效、安全且灵活的网络服务。 一、背景 随着云计算、大数据、物联网等技术的发展,网络流量呈现出多样化和动态化的趋势。企业需要处理来自不同来源、不同...
迎接新的明天,技盟流量编排解决方案.pdf
08-10
为了应对这些挑战,Gigamon提出了流量编排解决方案,旨在提升网络的可视性和安全性。 首先,互联网出口架构的挑战在于传统的串联设备模式存在诸多问题,如故障点多、升级维护需要中断网络、增加或删除设备需中断...
网络安全七大赛道:全面梳理(重磅深度)
Julia & Rust & Python
07-16 7307
网络安全七大赛道:全面梳理(重磅深度) 原创 方闻千 计算机方略 昨天 本文来自方正证券研究所于2021年7月14日发布的报告《网络安全行业七大核心赛道全面梳理》,欲了解具体内容,请阅读报告原文。方闻千S1220517040005 / 18717854750。 核心观点 国内网络安全产业即将迈入千亿规模,是计算机板块增速最快的子行业之一。目前,网络安全已经成为网络、计算、存储外的第四大IT基础设施,根据Gartner的数据统计,2020年全球安全市场规模达1238亿美元。而国内安全市场,从2013年开始,随
网络流量的分析系统c语言,对恶意软件Dridex的流量分析
weixin_32612347的博客
05-24 519
*本文作者:arr0w1,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。前言流量分析需要我们有扎实的网络知识为基础,同时需要具备实际操作的能力和经验。通过写本篇文章,记录下练习流量分析的过程。以便提高从流量上确定感染情况,以及分析溯源等能力。wireshark及其插件WireShark是一款强大的网络协议分析开源软件,它提供了灵活的插件机制,使用户可以方便地扩展wireshark的功能。...
SDN 下 高效率流量传输
dananhai381的专栏
01-17 918
SDN 下 高效率流量传输 概述 特点:    inter-DC 间traffic,如果是delay的traffic,可以等other flow is low的时候 目的:    carry more traffic , 提供灵活的网络共享 两个key:    全局协调traffic速率    中心决定traffic路径 实现方法:  1. Interactive的立刻传输,其
4种限流算法讲解【2021-06-09】
wushichao0325的博客
06-09 283
4种限流算法讲解限流概念固定窗口限流算法滑动窗口限流算法1.引入库漏桶算法令牌桶算法 限流概念 在计算机网络中,限流就是控制网络接口发送或接收请求的速率,它可防止DoS攻击和限制Web爬虫。 限流,也称流量控制。是指系统在面临高并发,或者大流量请求的情况下,限制新的请求对系统的访问,从而保证系统的稳定性。限流会导致部分用户请求处理不及时或者被拒,这就影响了用户体验。所以一般需要在系统稳定和用户体验之间平衡一下。 举个生活的例子: 一些热门的旅游景区,一般会对每日的旅游参观人数有限制的。每天只会卖出固定数
复杂系统下的影子流量回放测试实践
weixin_60664821的博客
08-29 576
因此,运行数千个并发虚拟用户不是问题。依托于开源Gatling测试框架,自建流量回放测试平台,通过实时流量归档,筛选每个业务真实的业务场景和数据,并按不同的策略形成分片数据,在测试时按需抽取并组装,再回放至待测系统。浙江移动公司借鉴互联网行业流量回放的实践案例,再结合自身特点,在不改造系统框架的前提下,推动测试右移,并聚焦于查询类业务的流量回放,实现微服务架构性能管理的边际效益最大化。真实的业务请求不仅有各种入参的组合搭配,还有不同场景的混合叠加,很难通过人工设计模拟出来的,更遑论测试用例的维护工作量。..
神州云科全国巡展·金融客户会北京站成功举办
最新发布
m0_74258696的博客
05-26 147
为了应对传统安全架构带来的各种问题,解决应用安全设备所遇到的 SSL 可视化问题,实现安全设备池化和安全流量的智能调度,容翼通过SSLO将应用安全设备传统的“糖葫芦串”的部署模式,升级为智能可编排的全新安全架构。金融行业是数字化的先锋行业,在数字中国全速启动的当下,金融数字化更是全社会数字化的连接者和助推者,如何做好“信创”与“数字化”的齐头并进,也是当前金融行业的迫切关注点。助力信创业务验证,消除隐患;三、在新技术的浪潮中,如何在兼容新老技术的同时,保证业务的可持续性,成为金融行业面对的全新挑战。
网络编排的概念
E1even的博客
08-16 7613
网络编排是一种策略驱动的可协调软件应用程序或服务运行所需的硬件和软件组件的网络自动化方法。编排的一个重要目标是自动执行网络请求的方式,并最大限度地减少交付应用程序或服务所需的人工干预。例如,如果云存储提供商通过其面向客户的网站收到2 TB存储订单,则提供商的编排平台可将订单的要求转换为网络设备执行的配置任务。 网络编排允许网络工程师通过软件配置文件或使用控制平面可以理解的语言编写的策略来定义自己...
高德打车通用可编排订单状态机引擎设计
阿里云云栖号
04-29 2030
简介:订单状态流转是交易系统的最为核心的工作,订单系统往往都会存在状态多、链路长、逻辑复杂的特点,还存在多场景、多类型、多业务维度等业务特性。在保证订单状态流转稳定性的前提下、可扩展性和可维护性是我们需要重点关注和解决的问题。 作者 | 亮言 来源 | 阿里技术公众号 一 背景 订单状态流转是交易系统的最为核心的工作,订单系统往往都会存在状态多、链路长、逻辑复杂的特点,还存在多场景、多类型、多业务维度等业务特性。在保证订单状态流转稳定性的前提下、可扩展性和可维护性是我们需要重点关注和...
业界首个面向IDC智能调度的SDN编排器在中国电信现网部署
weixin_34319999的博客
07-03 317
中国电信北京研究院和江苏分公司日前联合宣布,双方在软件定义网络(SDN:Software Defined Network)技术领域的联合创新工作取得丰硕成果,自主研发面向IDC流量智能调度场景的SDN协同编排器SDN-O(SDN Orchestrator),在业界首次实现面向多厂家、多接口、多维度的流量调度,实现了“一键式”运维。该系统承载了江苏电信数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wang_angela01

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值