5G用户的流量远超过4G,5G应用的复杂度远高于4G,因此,5G网络的安全要求远远高于4G。本文将探讨部署在4G/5G核心网和Internet之间的电信级防火墙方案。
电信级防火墙部署于4G/5G核心网和Internet之间,除提供常见的网络保护功能和目前主流的虚拟化软墙功能外,还需要提供CGNAT(电信级网络地址转换)功能,以及具备大流量场景下的IP路由和LB(负载均衡)功能,满足IPv4和IPv6双栈需求,主要功能包括:
- 防火墙的基本功能(网络保护):域间隔离策略、ACL(Access Control Lists)、状态保护、ASPF(Application Specific Packet Filter)、DoS/DDoS等;
- 虚拟化功能:按需扩展、快速部署、高性能和高可靠性等;
- IP路由和负载均衡功能:路由控制、负载均衡等;
- CGNAT功能:NAT44、NAT64、NAT44 ALG、NAT64 ALG等。
下面将重点阐述电信级防火墙基本功能外的其他三大特色功能。
虚拟化功能和先进的架构设计
虚拟化防火墙,即软墙,叠加先进的分离架构设计,支持虚机方式部署和容器方式部署(见图1),容器方式部署又包括独立部署和内置UPF部署两种方式。虚拟化防火墙具体有以下六大特点:
- 标准ETSI架构使得快速集成成为可能;
- 丰富的网络保护功能集,包括主动预防性保护;
- 弹性和快速部署,中心化管理,可视化的安全管控;
- 电信级的平台架构,提供高性能和高可靠性;
- 多种产品形式,适合各种网络保护场景;
- 支持多种虚拟化平台,实现软硬件解耦。
因此,虚拟化防火墙特别适合小容量局点,不仅具有占用资源少、部署灵活的特点,而且拥有一般硬件防火墙不可比拟的四大优点:
- 快速集成和部署:虚拟化产品简洁配置,一键部署;
- 灵活的架构设计:中心化管理+分布式架构,控制面和媒体面分离提升性能;同时把控全局流量,既能隔离大网攻击流量(宏隔离),又能及时阻断内部威胁流量(微隔离),还可以对接安全中心接受策略;
- 高性能:支持DPDK和SRIOV等加速技术以及多种网卡;实时任务调度和控制转发分离技术,缩短包处理和传输时延,性能对齐一般防火墙;
- 高可靠:支持端口聚合、数据备份、主备容灾,实现业务快速恢复,并极大降低切换时延,可靠性优于一般防火墙。
图1 5G电信级防火墙架构
IP路由和负载均衡
5G网络的超大流量特点显著,相应的5G核心网媒体面网元一般采用多处理模块配置,以提升吞吐量指标,这使得防火墙的现有IP路由机制不能满足需求。
为此,5G电信级防火墙方案,一方面引入包括多处理模块的LB(Load Balance)组件,实现特定的负载均衡算法,另一方面兼容NAT和非NAT两种场景。电信级防火墙采用多处理模块(FWU,Firewall Units)架构,路由机制将确保业务的请求和响应会话流量回到同一个模块处理,如图2。
图2 电信级防火墙的路由机制
- 上行路由过程
业务网元如PGW/UPF,将UE(用户终端)的业务请求流量通过默认路由发送到VR1(虚拟路由器)。PGW/UPF会把UE路由信息发布到VR1,以便响应消息返回到PGW/UPF。VR1根据路由策略将PGW/UPF的请求流量转发给LB的某一个处理模块。LB通过特定的负载均衡算法选择合适的防火墙的FWU(业务处理模块)。该算法保证同一会话的流量转发给同一个FWU。不需要NAT的业务流量,转发给VR2。对于需要NAT的业务流量,防火墙执行NAT,如NAT44、NAT64等,然后将流量转发给VR2。
- 下行路由过程
对于需要NAT的业务流量,VR2根据防火墙同步的路由信息将流量从Internet转发到相应的FWU。对于不需要NAT的业务流量,VR2将流量从Internet转发到LB,LB通过特定的负载均衡算法选择合适的FWU。FWU将流量转发至VR1,不通过LB。VR1根据PGW/UPF同步的路由信息将流量转发给PGW/UPF。
兼容多种NAT功能
移动网络给用户和网络设备分配的是“私网地址”,而直接访问Internet的设备需要配置公网地址,前者地址数和后者不配合,产生电信级的地址转换需求。为此,电信级防火墙要兼容多种NAT功能。
如图3所示,以处理IPv6流量为例,防火墙会处理成三种类别:无NAT的流量、非NAT64的流量、NAT64的流量。NAT64和非NAT64都源于NAT功能,NAT64是在IPv6的影响下从NAT功能发展而来。相应地,防火墙要提供多种NAT功能,下面介绍IPv4和IPv6双协议栈下的NAT64功能。
图3 NAT功能内置防火墙
NAT64功能
NAT最初的设计目的是实现私有网络访问公共网络的功能,对于移动运营商网络,移动终端分配的是私有地址,而核心网访问Internet用的是公网地址。NAT44在原有NAT的特性上,支持用户溯源功能及动态端口预留方式,并实现了地址映射关系上报日志服务。
随着IPv6网络到来,NAT44不支持通过 IPv6网络侧的用户发起连接访问IPv4侧的网络资源,IPv6网络不兼容IPv4网络,为此,NAT64应运而生。当然,NAT64也支持通过手工配置静态映射关系,实现IPv4网络用户主动访问IPv6网络。
NAT64是一种有状态的网络地址与协议转换技术,是IPv6和IPv4网络共存阶段使用的NAT技术,使得DNS-ALG(应用层网关)不再必要。NAT64 Router内置于防火墙,承担NAT64功能,和DNS64 Server分开部署。DNS64 Server完成pre64前缀合成IPv6地址,NAT64 Router识别pre64前缀完成NAT64转换,从而满足IPv6用户访问IPv4服务器的需求。
结束语
5G时代的电信级防火墙方案,以虚拟化产品为主打,不仅承担“网络保护”的重任,还提供IPv4和IPv6双栈下的路由和负载均衡方案,以便适应大容量和多处理模块的业务系统。此外,防火墙支持内置CGNAT多种功能,除本文介绍的NAT44和NAT64,还包括ALG(应用层网关)、源地址NAT、目的地址NAT、端口重用、端口奇偶校验等功能。
针对5G时代的大流量、高性能需求,面对复杂多变的多业务场景,电信级防火墙方案支持虚机和容器等多种虚拟化技术,并采用业务多模块架构,不仅满足防火墙的通用需求,还适合ToB等市场的小容量场景,既提供快速集成、灵活设计,又不失高性能和高可靠等特点,是构建5G安全城池的不二之选。