【hcie-cloud】【27】华为云Stack网络安全防护_华为云stack云原生防火墙( cfw )

前言

• 业务互通必须通过网络，无论是从内部还是外部访问，网络安全至关重要，而网络攻击类型也是多种多样，通过本章的学习，我们将了解如何保障云平台的网络安全，以及华为云Stack所能提供的网络安全防护能力。
• 学完本课程后，您将能够：
  • 了解常见网络攻击类型
  • 掌握网络安全服务原理和使用

网络安全概述

常见网络攻击类型

流量型攻击DDoS

• DDoS攻击是指攻击者通过控制大量僵尸主机，向攻击目标发送大量攻击报文，导致被攻击目标所在网络的链路拥塞，系统资源耗尽，从而无法向正常用户提供服务。
  

• 流量型攻击从攻击层面可以分为网络层和应用层，通过构造大量报文造成接口流量拥塞、设备处理卡顿，从而使正常业务流量无法得到及时处理的问题，借此来中断业务。
  • TCP flood：攻击者首先伪造地址对服务器发起SYN请求，服务器就会回应一个ACK+SYN，而真实的IP没有发送请求，不作回应。服务器没有收到回应，会重试3-5次并且等待一个SYN Time（一般30秒-2分钟）后，丢弃这个连接。如果攻击者大量发送这种伪造源地址的 SYN请求，服务器端将会消耗非常多的资源来处理这种半连接（SYN_RECV状态），保存遍历会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行 SYN+ACK的重试，服务器无暇理睬正常的连接请求造成拒绝服务。这种情况称作服务器端受到了SYN Flood攻击（SYN洪水攻击）
  • UDP flood：UDP协议是一种无连接的服务,攻击者向服务器发送大量UDP协议数据包，导致服务器带宽和系统资源耗尽，无法提供正常服务。比较常见的是攻击者利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器等。
  • ICMP flood：ICMP Flood 攻击属于流量型的攻击方式，攻击者使用工具发送大量的伪造源IP的ICMP报文，造成服务器带宽资源被大量占用，给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文， 因此ICMP Flood出现的频度较低。
  • HTTP flood：常见的HTTP Flood攻击分为HTTP get flood、HTTP post flood，是指利用应用层Http协议，向服务器发送海量Http请求，造成服务器繁忙和资源耗尽，无法正常提供服务的DDoS攻击。

单包攻击

• 单包攻击不是通过使网络拥塞，或消耗系统资源的方式进行攻击，而是通过发送有缺陷的报文，使主机或服务器在处理这类报文时系统崩溃，或发送特殊控制报文、扫描类报文探测网络结构，为真正的攻击做准备。
  • 扫描型攻击
    攻击者运用ICMP报文探测目标地址，以确定哪些目标系统确实存活着并且连接在目标网络上；或攻击者对端口进行扫描探测，探寻被攻击对象目前开放的端口，从而确定攻击方式。
  • 畸形报文攻击
    攻击者通过发送大量有缺陷的报文，从而造成主机或服务器在处理这类报文时系统崩溃。典型的有Teardrop攻击，Smurf攻击，Land攻击等。
  • 特殊报文控制类攻击
    一种潜在的攻击行为，不具备直接的破坏行为，攻击者通过发送特殊控制报文探测网络结构，为后续发起真正的攻击做准备。典型的有超大ICMP报文控制攻击，IP报文控制攻击等。

网络攻击防范

• 单包攻击防范
  防火墙
  

• 流量型攻击防范

  • 防火墙
  • AntiDDoS
    

网络安全服务

华为云Stack网络防护

HCS租户网络纵深防护

HCS常用网络安全防护服务对比

云防火墙详述

云防火墙（CFW）- 定义

云防火墙（Cloud Firewall），分散在每一台弹性云服务器前，通过为每一台弹性云服务器提供直接防护，实现最细粒度的微隔离访问控制。在流量可视化的辅助下，可提供基于用户业务属性标签的安全策略配置能力，降低安全运维复杂度。

云防火墙（CFW）- 实现原理

• 云防火墙架构
  

• CFW业务流如下：
• 用户通过ManageOne运营面（B2B场景为ManageOne租户面）上的云防火墙界面创建、管理不同的属性、业务区和规则，并为用户的弹性云服务器打上已创建属性的标签。
• CFW-Service调用Neutron提供的FWaaS接口完成规则的创建。
• Neutron向CFW-ES/CFW-DF写入弹性云服务器的流量信息。
• CFW-Service从CFW-ES/CFW-DF中读取弹性云服务器的流量信息并呈现给CFW-Console。

云防火墙（CFW）- 功能

云防火墙（CFW）- 应用场景和价值

CFW用户业务模型

• 云防火墙的使用基于如下常见的用户业务模型，以一个新闻网站业务系统为例进行说明。

• 以一个新闻网站应用系统的全生命周期流程为例，通常一个应用系统需要部署多套，分别在开发环境、测试环境、生产环境，以对应开发、测试、上线生产等不同阶段的需要。如上图所示，采用经典的web-app-db三层结构，每层都是多台能力相同的弹性云服务器做等价分担。

CFW用户业务模型（续）

• 防火墙规则配置示例：

  • web层的弹性云服务器只允许外网访问其80端口。
  • app层只允许被web层的弹性云服务器访问其8848端口。
  • db层只允许app层的弹性云服务器访问其4094端口。

• 角色

  • 角色是为弹性云服务器（实质为ECS网卡）指定的一类属性标签，该属性标签通常用来描述ECS在业务中承担的能力，例如图中的web、app、db就可以作为角色属性。

• 应用

  • 应用也是为弹性云服务器（实质为ECS网卡）指定的一类属性标签，该属性标签通常用来描述弹性云服务器属于哪个应用系统，例如新闻网站业务系统就可以作为应用属性。

• 环境

  • 环境也是为弹性云服务器（实质为ECS网卡）指定的一类属性标签，该属性标签通常用来描述弹性云服务器属于生命周期的哪个阶段，例如上页图中的开发、测试、生产就可以作为环境属性。

• 业务区

  • 业务区是用环境和应用属性标签标记并创建的区域，通常用于指明某环境下的某个应用系统。如上页图中所示就可以认为代表了3个业务区，可以为每个业务区配置不同的安全策略。

• 策略
  - 建设模式：业务区刚创建时，策略是建设模式，业务区内所有网卡之间的访问全部放通，配置的规则未真正生效；

  • 实施模式：当用户根据流量线配置完规则后可将其发布为实施模式，配置的规则才真正生效。

云防火墙（CFW）- 配置流程

• 创建属性标签—创建业务区—为虚机打属性标签—添加规则
  • 分别创建角色、应用和环境；
    • 角色、应用、环境是用多个维度的属性标签的来描述一个弹性云服务器（实质是弹性云服务器网卡）的归属，以便于梳理用户的业务系统的资产和访问控制。
  • 创建业务区
    • 识别并创建业务区，创建业务区时需要绑定应用和环境，通常根据环境来创建业务区，如案例中的3个环境，开发、测试、生产则可以创建3个业务区。
  • 为虚机打属性标签
    • 通过资产管理页签，查看租户已创建的ECS资源，编辑属性，为对应网卡绑定应用、环境和角色。
  • 添加规则
    两种方式进行管理：
    • 通过策略管理页签进入，添加配置规则；
    • 通过拓扑图页签进入，点击对应流量线，进入流量配置界面，添加配置规则。

云防火墙（CFW）- 添加规则

• 拓扑图确认流量线配置放行规则
  

网络ACL详述

网络ACL - 定义

• 网络ACL（Network ACL）是虚拟私有云的安全服务，对子网进行访问控制，支持黑白名单（即允许和拒绝策略），根据与子网关联的入方向/出方向ACL（Access Control List）规则，判断数据包是否被允许流入/流出子网。
• 通过服务器的iptables实现的分布式网络ACL，针对南北和东西流量的全防护。

网络ACL - 使用说明

• 网络ACL可以与虚拟私有云相关联，为虚拟私有云提供安全防护。

TCP/IP五元组

• 5元组是一个通信术语，通常指由源IP（source ip），源端口（source port），目标IP （destination ip），目标端口（destination port），4层通信协议（the layer 4 protocol）5个字段来表示一个会话。
• 如下图所示，一个数据包的封装格式中包含了五元组信息，安全组、网络ACL、防火墙等技术都是通过解析数据包中的信息进行规则匹配。

网络ACL配置案例

某企业部署了一个web网站系统，按照典型的三层架构部署，web、app、db分别属于不同的子网，为保障数据库安全，现要求ECS-web只能访问ECS-app，不能访问ECS-db，ECS-app可以访问ECS-db 3306端口，请用网络ACL实现此需求。

网络ACL - 配置流程

申请网络ACL—关联子网—添加网络ACL规则

网络ACL - 添加规则

• 根据五元组，添加规则
  • 入方向规则
  • 出方向规则
• 根据要求，应添加两条规则
  • 允许ecs-web访问ecs-app，请问动作、协议、源地址、目的地址分别填写什么？
  • 允许ecs-app访问ecs-db 3306端口，各个项分别填写什么？

边界防火墙详述

边界防火墙（EdgeFW）- 定义

EdgeFW（Edge Firewall），即边界防火墙，位于内、外部网络的边界处，是连接内网与外网的桥梁。边界防火墙针对云数据中心与外部网络之间的南北向流量，为用户提供边界安全防护功能，支持以弹性IP为防护对象的入侵检测防御（IPS）和网络防病毒（AV）功能。

边界防火墙（EdgeFW）- 实现原理

• 边界防火墙架构
  

• EdgeFW的业务流为：
  • 用户通过ManageOne运营面（B2B场景为ManageOne租户面）安全服务界面申请EdgeFW，并设置安全策略。
  • SCC-LB将设置的策略发送给SCC-Service。
  • SCC-Service调用SecoManager，安全策略经过SecoManager自动编排后下发到硬件防火墙。
  • 硬件防火墙将检测到的EIP流量异常记录至SSA-ES/SSA-DF中。
  • SCC-Service利用SSA-ES的搜索能力，为用户提供报表统计和日志查询。
  • 在防护过程中，SCC-Service将读取的配置信息保存至SCC-GaussDB。

边界防火墙（EdgeFW）- 功能和应用场景

• EdgeFW服务有以下功能：

  • 安全防护：可针对弹性IP进行南北向流量的访问控制、入侵防御和防病毒
  • 安全日志：根据源、目的IP、日期、攻击事件、协议等查看日志明细
  • 统计报表：图表的形式展示攻击类型、趋势、协议等排行

• 约束

  • 弹性IP的流量必须流经该硬件防火墙才能被本服务保护

• 应用场景：
  当用户的核心业务暴露在互联网外时，可以使用边界防火墙的入侵检测模块进行防护，并对攻击行为进行统计
  

边界防火墙（EdgeFW）- 配置流程

1、 创建策略组

开启防护

查看威胁日志和报表

学习推荐

• 学习推荐
  华为support网站：https://support.huawei.com