HiSec CloudFabric解决方案技术白皮书

HiSec@CloudFabric解决方案
技术白皮书
目录
1 方案背景 (1)
1.1 云安全风险分析 (1)
1.2 云计算业务特点与业务需求 (1)
1.3 安全需求总结 (2)
1.4 方案价值 (2)
2 方案概述 (3)
2.1 方案架构 (3)
3 方案介绍 (5)
3.1 安全服务化 (5)
3.1.1 方案概述 (5)
3.1.2 方案设计 (5)
3.1.2.1 方案架构 (5)
3.1.2.2 安全资源池 (7)
3.1.2.3 租户级安全服务 (8)
3.1.2.3.1 业务链编排 (8)
3.1.2.3.2 V AS服务类型 (11)
3.1.2.3.3 V AS服务使用场景 (11)
3.2 网安一体化联动方案 (13)
3.2.1 方案概述 (13)
3.2.2 数据采集 (14)
3.2.3 威胁检测 (16)
3.2.3.1 WEB异常检测原理 (17)
3.2.3.2 邮件异常检测原理 (17)
3.2.3.3 C&C异常检测原理 (17)
3.2.3.4 流量基线异常检测原理 (17)
3.2.3.5 隐蔽通道异常检测原理 (18)
3.2.3.6 恶意文件检测原理 (18)
3.2.3.7 关联分析原理 (18)
3.2.3.8 威胁判定原理 (19)
3.2.3.9 云端威胁情报 (19)
3.2.4 联动闭环 (19)
3.2.4.1 保护网段 (19)
3.2.4.2 威胁闭环 (19)
3.2.4.2.1 主机隔离 (20)
3.2.4.2.2 基于IP阻断 (20)
4 典型部署场景 (21)
4.1 网安一体联动典型部署场景 (21)
4.2 网安一体联动（软件墙）典型部署场景 (22)
1方案背景
1.1 云安全风险分析
1.2 云计算业务特点与业务需求
1.3 安全需求总结
1.4 方案价值
1.1 云安全风险分析
虽然云计算给用户提供了一种新型的计算、网络、存储环境，但是在系统和应用上提
供的服务等方面却并未发生革命性的改变。

在云计算平台上，认证和授权类、逻辑攻
击类、客户端攻击类、命令执行类、信息泄露类威胁仍然是不可忽视的，除了传统的
网络安全威胁，虚拟化本身的安全问题、租户间隔离等都是云计算环境下引入的安全
风险。

1.2 云计算业务特点与业务需求
云计算的业务特点就是“服务化”。

服务化架构的特点包括：多租户、海量用户、数据
共享、无边界计算、业务动态变化、业务模型不受网络拓扑限制等特点。

云计算模式对于安全保障提出了更高的要求。

要求安全保障方案，能够适配云计算所
代表的按需自服务、资源池化、快速弹性扩展、安全策略自适应业务变化（业务随
行）等要求。

由于多租户、多安全设备和云业务的动态变化，管理符合用户业务要求的安全策略非
常困难，手工配置几乎不可接受，传统的云安全策略管理机制在云中几乎不可实施。

以传统安全设备为代表的安全解决方案是无法满足上述要求的。

举例来说，在用户部
署了虚拟化计算技术和SDN网络虚拟化技术之后，网络和计算业务的开通只需要几个
小时，而配套的安全技术的部署可能要好几周甚至几个月。

使用传统安全技术保护虚
拟化数据中心，会使得安全成为用户业务最大的瓶颈。

云中的“安全服务化”是必备
功能。

1.3 安全需求总结
云用户对安全的需求分成2个方面：
1、威胁防御能力：数据中心存在大量核心业务服务器，往往成为恶意攻击者的主要目
标。

攻击者通过社会工程学、0day漏洞等高级攻击技术入侵数据中心，从而窃取或破
坏高价值资产。

因此需要高级安全防御能力，以应对传统攻击与APT攻击，保障受保
护目标的安全。

2、安全服务化架构能力：安全架构能够满足云计算业务中多租户、资源灵活性、无边
界计算、全流量防护、安全业务随行等要求。

如：一套相同的网络基础设施，需要满
足不同类型的用户业务需求；安全业务能够快速上线，满足多租户环境等。

1.4 方案价值
在虚拟化和云环境下，华为提出HiSec@CloudFabric安全解决方案，其主要价值如
下：
●智能防御
a.东西向流量精细隔离控制，有效避免威胁横向扩散。

b.配套大数据智能分析系统，可检测未知威胁。

c.网络与安全智能联防闭环，可快速响应隔离内部威胁，防止威胁扩散。

●按需弹性
a.安全资源池化，可支持东西和南北资源池的分离，资源池可按需弹性扩缩。

b.安全业务分钟级开通，提供多种类的安全服务，并基于SDN统一调度、自动
化编排发放安全业务。

c.安全业务功能与物理拓扑解耦，基于应用动态地使用业务链排来编排安全服
务。

d.支持全面的IPv6过渡技术，包含NAT64地址转换技术、双栈技术，无缝连
接IPv6部署的不同阶段。

2方案概述
2.1 方案架构
2.1 方案架构
华为HiSec@CloudFabric安全解决方案的分层和组件如图所示。

业务呈现/协同层
云网一体化场景
−FusionSphere（华为云操作系统解决方案）：
由ManageOne提供统一Portal，租户通过ManageOne Portal订阅、动态打通
V AS服务，其中由OpenStack定义的V AS服务通过Agile Controller-DCN分
发给SecoManager处理，由SecoManager下发配置到防火墙设备上，非
OpenStack定义的V AS服务由ManagerOne直接和SecoManager对接完成发
放。

−第三方OpenStack：
租户通过第三方Portal或者第三方云平台订阅VAS服务，第三方OpenStack
云平台调用Agile Controller-DCN接口动态开通V AS服务，Agile Controller-
DCN将V AS服务请求分发给SecoManager处理。

●网络虚拟化场景
AC Orchestration作为Agile Controller-DCN和SecoManager的业务呈现层，作为
网络和安全的控制界面。

控制/管理/分析层
●Agile Controller-DCN：完成网络建模、实例化、自动编排下发网络配置等，并负
责将流量引流到V AS设备。

●eSight+eLog：实现安全设备管理和日志报表管理。

●SecoManager：实现VAS服务的编排和策略管理。

●CIS：大数据安全分析系统，可动态监测分析APT安全威胁，并提供整网安全态
势，可通过控制器联动防火墙、交换机等设备阻断安全威胁。

网络/设备层
由物理和虚拟网络设备组成，用于承载Overlay网络。

其中，安全设备获取数据流量，
并基于安全策略执行安全功能。

本层提供硬件和软件两种设备形态，可满足数据中心边界安全防护、租户边界和租户
内安全防护的需求。

Agile Controller-DCN和SecoManager以服务化集成方式对接，SecoManager的界面集成到Agile
Controller-DCN的安全菜单中，融合部署在一套服务器，不独占资源，服务间交互通过API接口
调用来实现。

3方案介绍
3.1 安全服务化
3.2 网安一体化联动方案
3.1 安全服务化
3.1.1 方案概述
安全服务化是一种安全能力的供给和管理方式。

保证安全可以满足云计算业务所需的
资源按需分配、弹性扩展、安全策略自适应业务变化，安全自动化运维等要求。

云安全服务化需要解决的问题主要有：僵化的安全资源不适应云业务的弹性要求；僵
化的安全策略不适应云业务的动态变化；固定的安全功能不满足租户多变的安全要
求；无法实现边界及网内的全流量防护。

云安全服务化架构融合SDN思路，将弹性和快捷的特性引入安全方案中，安全方案做
到“控制层-功能层”分离；功能层面打通硬件、软件防火墙形成“安全资源池”，控
制层面统一进行安全资源调度，按需组合安全功能，实现安全自适应能力。

3.1.2 方案设计
3.1.2.1 方案架构
安全服务化适应CloudFabric中网络虚拟化场景和云网一体化场景架构。

网络虚拟化场景架构图：
云网一体化场景架构图：
方案架构涉及组件概述表：
3.1.2.2 安全资源池
安全资源池是为租户提供按需安全服务的基础，SecoManager通过纳管硬件防火墙或者
软件防火墙来生成安全资源池，硬件和软件防火墙都具有一虚多功能（vsys，virtual
system），能将一台防火墙虚拟为多个独立的防火墙实例，租户在申请V AS服务时，
SecoManager为租户在安全资源池中分配使用逻辑V AS（vSys），无需感知底层FW设
备。

安全资源池化流程：
1、硬件防火墙旁挂在核心交换机上或者通过Service Leaf节点接入到DCN网络中；软
件防火墙通过Service Leaf节点接入到DCN网络中。

2、选择多台硬件/软件防火墙（建议主备双机部署），通过SecoManager组建安全资源
池，安全资源池创建成功后，加入资源池的设备资源即由SecoManage统一管理、分配
3、租户需要安全功能时，SecoManager从安全资源池中分配安全资源给该租户，资源
池支持一虚多时，系统会在安全设备上创建vsys，并将vsys分配给租户；资源池不支
持一虚多时，系统会把物理防火墙设备分配给租户。

4、安全资源分配后，AC-DCN在交换机分配VRF给该租户，从而实现租户流量向安
全资源池的引流。

3.1.2.3 租户级安全服务
3.1.2.3.1 业务链编排
租户级安全服务
虚拟化网络中，不同的租户应用运行在同一物理机上，使网络的物理边界消失，
只存在逻辑的边界，造成边界模糊，虚拟化二层流量直接通过vSwitch交互，流
量不可视不可控。

针对租户不同的流量，安全资源池通过如下方式进行安全检测：
流量1：租户的南北向流量，大部分场景在申请LogicVas时已经通过网络编排把
流量引入到安全资源池中，或者通过业务链的方式引流到安全资源池中。

流量2：租户的东西向流量，直接通过TOR转发，不经过安全资源池，通过配置
基于EPG的安全策略来编排业务链将流量引到安全资源池中，引流后即为流量
2'。

●EPG（端点组）介绍
EP（End Point）是指接入网络的物理设备或虚拟设备，比如物理机、虚拟机、存储、物理网卡、虚拟网卡。

EPG（End Point Group，端点组）则是一组具有相同特征的EP 集合，代表了一组应用或服务，这些应用或服务通常都具有相同的安全策略等级，一个EPG内可以包含多个子网。

EPG可按不同方式划分，比如：按网络规格划分（如子网、VLAN ID、VNI ID），按照应用类型划分（如Web EPG、APP EPG、DB EPG），按照分区原则划分（如Front EPG、Backend EPG、DMZ EPG）。

●业务链介绍（Service Function Chaining）
业务链是一个业务功能有序图，保证指定的业务流按顺序通过这些业务功能节点。

当EPG之间存在互通需求时，则需要通过编排业务链配置EPG间的互访策略，包括互访关系、流动作、是否要经过防火墙以及提供的业务的顺序。

业务链可以看做是在SDN控制器的控制下，使用Overlay技术将V AS服务链映射和物理服务设备解耦，只要承载网IP可达，即可将虚拟层服务链映射到承载层服务设备的技术。

●同VPC的东西向流量互访模型：
红色虚线表示相同VPC不同子网互访的：EPG1与EPG2；
蓝色虚线表示相同VPC同子网互访：EPG2与EPG2；
1.EPG1对应subnet1，EGP2对应subnet2：
2.不同子网的业务隔离：
配置基于EPG的安全策略：源EPG为EPG1，目的EPG对应EPG2。

3.同子网的业务隔离：
配置基于EPG的安全策略：源和目的EPG都对应EPG2。

跨VPC的东西向流量互访模型
通过配置“VPC互通实例”设置跨VPC流量是否通过防火墙。

3.1.2.3.2 VAS服务类型
安全策略、FWaas、NA T64、ASPF功能支持IPv6和IPv4，其他功能只支持IPv4。

3.1.2.3.3 VAS服务使用场景
VPC内部互访流量防护
针对VPC内东西向同子网或不同子网间的流量防护，使用业务链，将同子网或不同子网流量重定向到V AS设备，发放安全策略、IPSecVPN等VAS服务，实现同VPC内流量的防护。

●VPC与外网流量防护：
针对VPC内与外网的南北流量防护，使用业务链，将外部网络作为其中一个EPG，可以灵活引流到多个V AS，发放安全策略、IPSec VPN、EIP、IPS等V AS服务。

●VPC间流量防护
场景一：多个VPC关联到同一个外部网络
当多个VPC关联到同一个外部网络时，默认各VPC间L3互通，因此不需要配置各
VPC间的互访安全策略，租户管理员单独配置各VPC使用的V AS服务即可。

场景二：分别规划每对VPC间的互访策略
当各VPC间应用间互访关系相对固化，策略不需要频繁变更时，可以选择单独规划每
一对VPC间互通及互访策略，此时各互通的VPC间分别配置不同的V AS服务。

3.2 网安一体化联动方案
3.2.1 方案概述
网安一体联动方案总体架构图如下：
●分析器：
−CIS、FireHunter：具备大数据安全分析和文件分析的能力，能够通过文件，
流量和日志综合分析，结合威胁情报，识别未知威胁，联动安全控制器下发
安全策略。

●控制器：
−SecoManager：安全控制器，根据CIS下发的安全联动策略任务自动化生成对
应安全控制策略，下发到对应安全执行器或网络控制器进行执行。

−Agile Controller-DCN：网络控制器，通过与SecoManager联动，接收其安全
联动策略，并下发给交换机等网络设备进行执行。

●执行器：
−NGFW：接收安全控制器SecoManager下发的具体指令，进行安全策略部
署，实现安全处置闭环。

−交换机：接收网络控制器Agile Controller-DCN下发的具体指令，进行安全策
略部署，实现安全处置闭环。

3.2.2 数据采集
CIS日志采集器负责日志采集，实现日志/事件的高性能采集和预处理；日志采集流程
包括日志接收、日志分类、日志格式化和日志转发。

Syslog日志在上送大数据平台之
前要进行归一化处理，将其转换为大数据平台能理解的统一格式。

支持如下功能：
●支持采集网络/安全设备上报的Netflow数据
●支持采集第三方系统（ArcSight CEF格式, IBM Qradar Json格式）和安全设备的
Syslog日志；
●日志采集器到大数据平台的实现SSL加密传输
CIS流探针或防火墙内置流探针负责原始流量采集，通过优化的DPI技术高效提取原始流量的协议特性，实现高性能的流量数据采集和协议还原。

流探针支持报文捕获功能，生成的PCAP文件保存在流探针的本地磁盘上，CIS大数据安全平台通过HTTPS 定时读取流探针上存储的PCAP文件
流量采集主要功能包含：
●协议解析：支持HTTP协议解析、邮件协议解析、DNS协议解析、HTTPS协议解
析
●文件还原：支持还原通过HTTP协议上传/下载的文件还原；支持通过
SMTP/POP3/IMAP4协议发送的邮件的附件还原
3.2.3 威胁检测
威胁检测能力主要依靠CIS的关联分析、大数据分析能力，其架构如下。

3.2.3.1 WEB异常检测原理
WEB异常检测主要用于检测通过WEB进行的渗透和异常通信，从历史数据中提取
HTTP流量元数据，通过分析HTTP协议中的URL、User-Agent、Refer和上传/下载的
文件MD5等信息，并结合沙箱文件检测结果，离线挖掘和检测下载恶意文件、访问不
常见网站和非浏览器流量等异常。

3.2.3.2 邮件异常检测原理
邮件异常检测主要从历史数据中提取邮件流量元数据，通过分析SMTP/POP3/IMAP协
议中的收件人、发件人、邮件服务器、邮件正文、邮件附件等信息，并结合沙箱文件
检测结果，离线挖掘和检测收发件人异常、下载恶意邮件、访问邮件服务器、邮件正
文URL异常等。

3.2.3.3 C&C异常检测原理
C&C异常检测主要通过对协议流量（DNS/HTTP/3,4层协议）的分析检测C&C通信异
常。

基于DNS流量的C&C异常检测采用机器学习的方法，利用样本数据进行训练，从而
生成分类器模型，并在客户环境利用分类器模型识别访问DGA域名的异常通信，从而
发现僵尸主机或者APT攻击在命令控制阶段的异常行为。

基于3,4层流量协议的C&C异常检测根据CC通讯的信息流与正常通讯时的信息流区
别，分析CC木马程序与外部通讯的信息的特点，区分与正常信息流的差异，通过流
量检测发现网络中所存在的CC通讯信息流。

对于基于HTTP流量的C&C异常检测采用统计分析的方法，记录内网主机访问同一个
目的IP+域名的所有流量中每一次连接的时间点，并根据时间点计算每一次连接的时间
间隔，定时检查每一次的时间间隔是否有变化，从而发现内网主机周期外联的异常行
为。

3.2.3.4 流量基线异常检测原理
流量基线异常检测主要解决网络内部的主机/区域之间（内外区域之间、内网区域与互
联网之间、内网主机之间、内网主机与互联网之间、内网主机与区域之间）的异常访
问问题。

流量基线是指网络内部主机之间、区域之间或者内外网之间的访问规则，包
括指定时间段内是否允许访问、访问的频次范围、流量大小范围等。

流量基线可以有两种来源：系统自学习和用户自定义配置。

流量基线自学习，就是系
统自动统计一段时间内（比如一个月）网络内部各主机、区域以及内外网之间的访问
和流量信息，以此访问和流量信息为基础（对于流量数据，还会自动设置合适的上下
浮动范围），自动生成流量基线。

用户自定义流量基线：用户手工配置网络内部各主
机、区域以及内外网之间的访问和流量规则。

流量基线异常检测将自学习和用户自定义的流量基线加载到内存中，并对流量数据进
行在线统计和分析，一旦网络行为与流量基线存在偏差，即输出异常事件。

3.2.3.5 隐蔽通道异常检测原理
隐蔽通道异常检测主要用于发现被入侵主机通过正常的协议和通道传输非授权数据的
异常，检测方法包括Ping Tunnel、DNS Tunnel和文件防躲避检测。

Ping Tunnel检测是通过对一个时间窗内同组源/目的IP之间的ICMP报文的载荷内容进
行分析和比较，从而发现Ping Tunnel异常通信。

DNS Tunnel检测通过对一个时间窗内同组源/目的IP之间的DNS报文的域名合法性检
测和DNS请求/应答频率分析，从而发现DNS Tunnel异常通信。

文件防躲避检测通过对流量元数据中的文件类型的分析和比较，从而发现文件类型与
实际扩展名不一致的异常。

3.2.3.6 恶意文件检测原理
FireHunter文件检测经过信誉查询、第三方A V检测、静态检测引擎检测、机器学习引
擎检测、CC检测引擎检测、沙箱检测引擎检测，最终在威胁分析引擎进行对各个检测
结果进行关联、联合分析和威胁判定，最终给出威胁检测结果。

其中，沙箱检测引
擎，又包括了web启发式引擎、PDF启发式引擎、PE启发式引擎和虚拟执行环境引
擎。

FireHunter可以针对主流的应用软件及文档实现检测、分析，支持Word、Excel、
PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可执行脚本文件、媒体
文件、LNK文件、压缩文件等软件及文档。

3.2.3.7 关联分析原理
关联分析主要通过挖掘事件之间的关联和时序关系，从而发现有效的攻击。

关联分析
采用了高性能的流计算引擎，直接从分布式消息总线上获取归一化日志装入内存，并
根据系统加载的关联规则进行在线分析。

系统预置了一部分关联分析规则，用户也可以自定义关联分析规则。

当多条日志匹配
了某一关联规则，则认为它们之间存在对应的关联关系，输出异常事件，同时将匹配
用到的原始日志记录到异常事件中。

3.2.3.8 威胁判定原理
威胁判定根据多个异常进行关联、评估和判定产生高级威胁，为威胁监控和攻击链路
可视化提供数据。

威胁判定按照攻击链的阶段标识/分类各种异常，并以异常发生的时
间为准，通过主机IP、文件MD5和URL建立异常的时序和关联关系，根据预定义的
行为判定模式判定是否高级威胁，同时根据相关联的异常的严重程度、影响范围、可
信度进行打分和评估，从而产生威胁事件。

3.2.3.9 云端威胁情报
华为资深安全专家和安全能力中心通过对第三方安全情报的收集分析，利用大数据、
机器学习技术，生成各类云端信誉库、特征库。

通过云端安全智能中心为各类安全设
备提供云端威胁情报的定期升级，包括URL分类库，恶意URL库、热点域名列表、
恶意文件信誉，IP信誉，C&C域名库等，实现最新安全威胁的快速同步，提高威胁防
御能力。

3.2.4 联动闭环
3.2.
4.1 保护网段
保护网段可以理解为一台防火墙保护的网段范围。

它可以通过手工的方式来配置，也
可以与AC-DCN协同自动学习。

通过保护网段，SecoManager感知了IP地址和防火墙
设备的关系，在联动策略下发的时候可以基于策略的源地址和目的地址自动找到承载
策略的防火墙设备。

下面是数据中心场景下，以VPC1为例，FW1的保护网段为VM1、VM2、VM3的IP
地址，那么VM1访问Internet的策略将自动下发到FW1。

通过这个原理，用户在配置
策略时就可以仅配置业务需求，而不需要关注具体是哪一个防火墙设备来实施这个策
略。

3.2.
4.2 威胁闭环
在数据中心场景，SecoManager可以跟CIS和AC-DCN协同实现威胁闭环。

威胁闭环
支持主机隔离和基于IP阻断2种特性。