山石网科：中国银行防火墙入围品牌，助力金融行业云计算发展

某大型国有银行合肥数据中心金融行业云网融合异构安全解决方案

1. 案件概况

1. 案件背景

2017年，央行发布《“十三五”中国金融业信息技术发展规划》，明确指出“十三五”期间金融业要全力支撑深化改革，并提出目标：到“十三五”末，银行业互联网场景下重要信息系统全部迁移到云计算架构平台，其他系统迁移比例不低于60%。在此文件的指引下，国内金融业逐步加大了在云计算方向的技术研究和应用力度。

山石网络是中国银行入围防火墙品牌之一，山石网络防火墙在总行数据中心和分行都有大量部署，设备在运行过程中特别稳定，原有的售后服务也得到了用户的一致好评，在这期间我们和客户建立了非常好的关系，深信服这个品牌是完全可以信赖的。

根据中行信息科技发展规划，合肥园区将建设成为集团金融科技中心，成为分布式架构系统和中行私有云中心的重要生产中心，主要用于满足集团客户服务、中银易业务、大数据平台等分布式架构生产系统的发展需求，为全辖及海外用户和客户提供私有云服务和设备集中托管服务以及境内分支机构和海外机构的灾难备份。根据合肥中心配套网络建设的相关需求，制定了合肥中心的网络架构规划，其中外网防火墙与内网防火墙须为异构的，外网防火墙须具备下一代防火墙的功能。

2019年，该行在金融云建设新阶段开始引入由国内多家ICT厂商基于Openstack开源框架研发的商用云平台，并采用SDN构建基础网络，在此架构基础上完成了测试云、业务云等多个项目的建设，初步形成了总行自建云、各子公司按需申请使用的金融行业云运营使用模式。运维管理区和子公司组织区采用云平台和SDN，不同业务采用不同的云平台，采用VPC进行业务隔离，防火墙配置vSYS，将不同VPC承载的业务打通。在云平台和SDN环境中采用Hillstone Cloud•Collection完成对接，实现安全业务的编排调度，实现云环境下的FWaaS功能。

2. 用户需求与痛点

在此运营模式下，如何让云平台以及云平台所承载的业务系统符合国家、行业政策、法规和安全监管要求，满足银行自身情况和发展需求，成为银行总行信息中心关注的重点，是信息安全建设中的一个重要课题。

该银行与山石网络、云平台/SDN厂商合作，梳理了当前的业务需求，总结出信息安全建设的几个问题：

1）目前银行生产云运营模式是总行负责统一建设和基础设施维护，各业务系统根据需求申请计算资源和网络资源，各租户对申请到的资源进行运营管理。（包括计算资源、网络资源、安全服务等）必须做到线上自动分配。目前云平台和SDN已经可以做到线上申请资源并自动分配，但防火墙无法与云平台和SDN联动，无法做到资源和配置的自动分配。

2）由于金融行业的特殊性，现阶段用户仍倾向于使用硬件防火墙进行安全防护、实现云网联动以及支持多租户环境的解决方案和产品。

3）因为需要支持多租户，并且使用硬件防火墙，如果采用传统方案，需要为每个租户提供硬件防火墙，失去了云的灵活性，也增加了用户的前期建设投资。

4）如果未来要采用软防火墙，需要有可以同时支持软硬防火墙的解决方案，但目前市面上的产品和方案只支持软件防火墙与云平台的联动，无法支持软硬防火墙混合使用。

该行总行信息中心还根据相关政策法规、行业技术发展趋势和自身情况，对网络信息安全规划提出了几点基本要求：

1）解决方案在技术上应具有前瞻性和可扩展性，并希望最大程度地实现解耦；

2）需要异构的基础设施和安全性；

3）解决方案需支持Openstack开源架构，并符合NFV架构；

4）我们希望把安全变成一种服务，为租户提供真正的SECaas（安全即服务）。

3. 案件概况

只有解耦开放才能构建健康的供应链，实现自主可控，只有自主可控才能真正保证安全和业务，实现私有云的正常运行。平台与H3C SDN的案例，使得多家厂商可以通过标准接口实现云、网、安一体化，方案部署成功后，可以在业务部署开通上节省大量时间，同时也提供了强大的防火墙接口，将云平台接口合二为一，提高整个云平台的业务灵活性，保证业务效率。

2.解决方案

1. 解决方案概述

针对项目中存在的问题和用户提出的要求，山石网络与云平台、SDN提供商进行了深入的技术探讨，结合双方产品的技术优势，参考Openstack开源框架和ETSI NFV框架设计了此解决方案。

经过与用户、云平台厂商多轮沟通、一个月的测试联调，我们最终确定了国内金融行业首个采用山石云·极+硬件防火墙实现云网融合异构安全的方案，方案实施概述如下：

1）防火墙采用Hillstone E系列硬件防火墙，可提供最大80Gbps的吞吐量和极高的可靠性，并可支持vSys功能，通过vSys功能可以在一台硬件防火墙上虚拟出多台虚拟防火墙（v​​FW）提供租户级的防火墙功能服务；

2）Hillstone Networks开发了适配云平台的HS FWaas Driver插件，云平台配合替换原有的FWaas Driver插件，实现租户自动在线创建虚拟防火墙（v​​FW）；

3）Hillstone Networks 的 FW Driver 提供接收 L3 事件的接口，通过 RPC 从云平台获取 L3 事件；Hillstone Networks 的 HSFWaas Plugin 支持查询接口互联信息，用于配置回程路由；

4）SDN厂商可以在VCFC控制器中添加第三方防火墙异构能力；

1. 联网与实施

a) 网络拓扑

图1 网络拓扑

Hillstone Networks E系列防火墙采用并排部署，逻辑上串行，每台防火墙通过4根10G光纤与Border_Leaf交叉连接，4条链路捆绑在一起，通过interface-vlan在逻辑上实现互联。

防火墙采用双心跳线配置HA A/P模式，提高防火墙的高可用性。

制定防火墙故障逃生预案，当防火墙发生故障时，可以启用此预案，保证业务可用性，确保业务不会受到防火墙故障的影响。

b) 解决方案流量模型

图2 流量模型

采用并行模式流量模型，南北方向通过Root-vSys实现，跨vSys流量通过Cross vRouter实现，默认情况下所有vSys都需要互联互通，实现方式为：先建立两个vSys互联路由，再与前两个建立第三条互联路由，与前三个建立第四条互联路由，……，如果某个vSys添加了子网，那么该子网默认与其它所有vSys建立互联路由，否则删除。

在Root-vSys上配置全通策略，非Root-vSys配置安全策略。租户的出流量到达VxLAN GW进行VxLAN到VLAN数据的转换，然后通过租户对应的VLAN子接口进入相应的防火墙。租户vSys：租户的vSys处理完之后，发送给Root-vSys，然后流量发送到网络出口。

租户之间的流量到达VxLAN GW进行VxLAN到VLAN数据的转换，然后通过租户对应的VLAN子接口进入防火墙对应的租户vSys，租户的vSys处理完成后发送给远端的vSys，端的vSys处理完数据后发送给租户内网，互联的租户之间的vSys需要配置相应的防火墙策略。

c)防火墙内部架构图

图3 防火墙内部架构

防火墙与VxLAN GW通过Trunk连接，并配置VLAN子接口分别连接vsys和租户。防火墙上启用vsys功能，每个vsys对应一个租户。

根vsys对应测试网络的核心，配置一个h3c_vsys，用于SDN网络overlay和underlay的带内通信管理。

Ex-switch 连接根 vsys 和其他非根 vsys，负责租户的南北流量互联。

In-switch 连接所有非根 vsys，负责租户之间的东西向流量互联。

配置租户到测试网络核心的流量的默认路由，配置进入租户的流量的静态路由。配置租户之间东西向流量的静态路由。

d) 用户结构网络

图 4 组网

User Fabric组网采用并行模式，所有跨vRouter的流量或者南北向的流量都会经过FW，FW充当内部防火墙，VCFC与防火墙之间的连接可以自动实现。

e）用户 Fabric 基本网络逃生计划

图5 交通逃逸模型

当用户发现南北向流量不通，且确定故障为FW故障时，可以启用逃生预案，在Border Leaf上配置高优先级路由，手动触发流量从Border Leaf直走核心设备，保证业务可用性及业务可靠性，不会受到防火墙故障的影响。

f）VPC（租户）互访方案

图6 VPC间访问流量

租户间的互通是方案的基本需求，在OpenStack模型中，没有vRouter间流量互通的模型，但现实中，租户间或者租户内不同vRouter间的这种互通需求非常普遍，因此需要扩展Neutron服务提供VPC。本方案中VPC互通由Hillstone Networks直接实现，通过根墙互联互通，与VCFC控制器无关。跨vSys的互通需要通过单独的vSwitch来实现，具体实现为：vMwanif有配对的vPort接口，与simple switch绑定，simple switch学习mac，根据目的mac进行单播或者泛洪，从而实现vSys间的互通。

租户之间的流量到达VxLAN GW进行VxLAN到VLAN数据的转换，然后通过租户对应的VLAN子接口进入防火墙对应的租户vSys，租户的vSys处理完成后发送给远端的vSys，端的vSys处理完数据后发送给租户内网，互联的租户之间的vSys需要配置相应的防火墙策略。

2.云/网络（SDN）和防火墙互联解决方案

图7 总体架构

OpenStack模型没有体现FW的物理位置，而是以FWaas的形式提供服务，在模型上比较模糊。SDN模型明确了Router与FW的界限，FW作为vRouter与外网之间的FW设备存在。vRouter功能体现在SDN网关设备的VRF中，虚拟机与VRF之间的模型与OpenStack一致。在SDN私有云场景下，由于FW的位置明确，很多特性都可以通过FW实现，比如VPC-Connection、QoS、NAT等功能。同时FW可以以HA的方式部署，本方案中山石网络FW以Underlay环境连接在SDN网关与Internet之间。山石网络在云平台上部署HS FWaas Driver，轻量级的FWaaS Plugin（Driver）降低了对接难度，加快了上云速度。平台对接速通负责接收路由器等PRC信息；大量功能逻辑由山石云集实现，最大程度与云平台解耦。山石云集订阅VCFC获取相关信息，VCFC分配相关资源。云集负责配置FW，实现VCFC与FW解耦。Hillstone FW可以帮助租户实现VPC边界网络安全、全网南北向流量的网络安全，也可以帮助租户实现VPC间或者租户间的网络互通。

2. 技术优势及方案亮点

1.全生命周期管理

图 8 生命周期

山石云极解决了自动化对接部署的难点，考虑到后期运维的难点，提供了智能对接排错功能，可以简化复杂集成系统的维护，让复杂的底层对接日志变得清晰易懂，便于显示，便于运维人员定位和分析问题；同时通过自动和手动配置检测，可以及时发现上下游设备配置是否存在问题，协助运维人员定位解决问题，第一时间恢复系统，保障系统稳定运行，提高运行效率。

2. 支持解决方案演进

深信服云集是深信服网络最新发布的NFV网元管理产品，遵循ETSI NFV框架，采用ETSI定义的标准北向接口，可快速对接NFVO、G-VNFM组件，通过深信服定制的开放接口与遵循Openstack框架的云平台、SDN控制器对接，实现云网联动的安全解决方案，具备同时支持软、硬件防火墙的能力。

图9 NFV框架

Hillstone Cloud Ji 可提供软/硬防火墙和安全资源池的统一管理能力，根据用户不同的业务场景和安全需求，按需提供不同类型、等级的安全服务。通过与 LMS（License Management Server）配合，可动态发放和回收 vFW License，支持 vFW 在线自动性能扩容和功能增减，大大提高安全即服务的灵活性，大幅降低用户的建设成本。

图10 硬件资源演进计算资源

深信服云•采集不仅实现了小规模解决方案向大规模解决方案的扩展，更实现了传统硬件设备向NFV解决方案的平滑对接，深信服云•采集支持硬件或NFV网元的管理，实现统一集成对接，支持扩展管理多个硬件设备或计算节点，为企业提供从小规模试点到大规模运营的平滑过渡；也可从硬件设备切换到NFV网元，提供从传统硬件方案到领先NFV解决方案的过渡。

3.商业价值

1. 商业部署规模及实际效果

本方案采用硬件设备实现云网融合异构安全解决方案，是云计算技术与SDN、NFV技术融合的典型案例，积极有效地探索了云/网融合方向，攻克了SECaaS（安全即服务）技术，解决了云网融合技术只能通过软件防火墙实现的技术难题，为云网融合技术在金融行业的大规模推广使用奠定了坚实的理论和实践基础。

本方案为用户提供了能够满足其运维需求的云网一体化安全产品，通过vSys技术的成功应用，节省了前期采购大量硬件防火墙的直接成本，大大节省了因采购大量硬件而产生的机房空间、配电资源、硬件实施部署、硬件维护管理等相关成本，以及宝贵的时间成本，符合国家节能减排、提高效率、绿色环保的号召。

2.用户价值

展望未来，随着软硬件一体化安全即服务解决方案的推出，用户可以更加灵活地配置和管理自身的安全资源，通过对软硬件安全产品的不同配置，在安全合规与成本控制之间找到平衡点。

结尾

*案例文章内容版权归投稿单位所有，最终解释权归本单位所有*

【2021年2月8日-3月21日】点击下方链接，报名参加“2020SDN、NFV、网络AI优秀案例评选活动”！

会议

讨论

经过

知道