HiSec CloudFabric解决方案技术白皮书

1、HiSecCloudFabric 解决方案技术白皮书目录 HYPERLINK l _bookmark0 方案背景1 HYPERLINK l _bookmark1 云安全风险分析1 HYPERLINK l _bookmark2 云计算业务特点与业务需求1 HYPERLINK l _bookmark3 安全需求总结2 HYPERLINK l _bookmark4 方案价值2 HYPERLINK l _bookmark5 方案概述3 HYPERLINK l _bookmark6 方案架构3 HYPERLINK l _bookmark7 方案介绍5 HYPERLINK l _bookmark8 安全服

2、务化5 HYPERLINK l _bookmark9 方案概述5 HYPERLINK l _bookmark10 方案设计5 HYPERLINK l _bookmark11 方案架构5 HYPERLINK l _bookmark12 安全资源池7 HYPERLINK l _bookmark13 租户级安全服务8 HYPERLINK l _bookmark14 业务链编排8 HYPERLINK l _bookmark15 VAS 服务类型11 HYPERLINK l _bookmark16 VAS 服务使用场景11 HYPERLINK l _bookmark17 网安一体化联动方案13 HYPE

3、RLINK l _bookmark18 方案概述13 HYPERLINK l _bookmark19 数据采集14 HYPERLINK l _bookmark20 威胁检测16 HYPERLINK l _bookmark21 WEB 异常检测原理17 HYPERLINK l _bookmark22 邮件异常检测原理17 HYPERLINK l _bookmark23 C&C 异常检测原理17 HYPERLINK l _bookmark24 流量基线异常检测原理17 HYPERLINK l _bookmark25 隐蔽通道异常检测原理18 HYPERLINK l _bookmark26 恶意文件

4、检测原理18 HYPERLINK l _bookmark27 关联分析原理18 HYPERLINK l _bookmark28 威胁判定原理19 HYPERLINK l _bookmark29 云端威胁情报19 HYPERLINK l _bookmark30 联动闭环19 HYPERLINK l _bookmark31 保护网段19 HYPERLINK l _bookmark32 威胁闭环19 HYPERLINK l _bookmark33 主机隔离20 HYPERLINK l _bookmark34 基于 IP 阻断20 HYPERLINK l _bookmark35 典型部署场景21 HY

5、PERLINK l _bookmark36 网安一体联动典型部署场景21 HYPERLINK l _bookmark37 网安一体联动（软件墙）典型部署场景22 1方案背景 HYPERLINK l _bookmark1 云安全风险分析 HYPERLINK l _bookmark2 云计算业务特点与业务需求 HYPERLINK l _bookmark3 安全需求总结 HYPERLINK l _bookmark4 方案价值云安全风险分析虽然云计算给用户提供了一种新型的计算、网络、存储环境，但是在系统和应用上提供的服务等方面却并未发生革命性的改变。在云计算平台上，认证和授权类、逻辑攻击类、客户端攻击

6、类、命令执行类、信息泄露类威胁仍然是不可忽视的，除了传统的网络安全威胁，虚拟化本身的安全问题、租户间隔离等都是云计算环境下引入的安全风险。云计算业务特点与业务需求云计算的业务特点就是“服务化”。服务化架构的特点包括：多租户、海量用户、数据共享、无边界计算、业务动态变化、业务模型不受网络拓扑限制等特点。云计算模式对于安全保障提出了更高的要求。要求安全保障方案，能够适配云计算所代表的按需自服务、资源池化、快速弹性扩展、安全策略自适应业务变化（业务随 行）等要求。由于多租户、多安全设备和云业务的动态变化，管理符合用户业务要求的安全策略非常困难，手工配置几乎不可接受，传统的云安全策略管理机制在云中几乎

7、不可实施。以传统安全设备为代表的安全解决方案是无法满足上述要求的。举例来说，在用户部署了虚拟化计算技术和 SDN 网络虚拟化技术之后，网络和计算业务的开通只需要几个小时，而配套的安全技术的部署可能要好几周甚至几个月。使用传统安全技术保护虚拟化数据中心，会使得安全成为用户业务最大的瓶颈。云中的“安全服务化”是必备功能。安全需求总结云用户对安全的需求分成 2 个方面：1、威胁防御能力：数据中心存在大量核心业务服务器，往往成为恶意攻击者的主要目标。攻击者通过社会工程学、0day 漏洞等高级攻击技术入侵数据中心，从而窃取或破坏高价值资产。因此需要高级安全防御能力，以应对传统攻击与APT 攻击，保障受保

8、护目标的安全。2、安全服务化架构能力：安全架构能够满足云计算业务中多租户、资源灵活性、无边界计算、全流量防护、安全业务随行等要求。如：一套相同的网络基础设施，需要满足不同类型的用户业务需求；安全业务能够快速上线，满足多租户环境等。方案价值在虚拟化和云环境下，华为提出 HiSecCloudFabric 安全解决方案，其主要价值如下：智能防御东西向流量精细隔离控制，有效避免威胁横向扩散。配套大数据智能分析系统，可检测未知威胁。网络与安全智能联防闭环，可快速响应隔离内部威胁，防止威胁扩散。按需弹性安全资源池化，可支持东西和南北资源池的分离，资源池可按需弹性扩缩。安全业务分钟级开通，提供多种类的安全服

9、务，并基于 SDN 统一调度、自动化编排发放安全业务。安全业务功能与物理拓扑解耦，基于应用动态地使用业务链排来编排安全服务。支持全面的 IPv6 过渡技术，包含 NAT64 地址转换技术、双栈技术，无缝连接 IPv6 部署的不同阶段。 2方案概述 HYPERLINK l _bookmark6 2.1方案架构方案架构华为HiSecCloudFabric 安全解决方案的分层和组件如图所示。业务呈现/协同层云网一体化场景FusionSphere（华为云操作系统解决方案）：由 ManageOne 提供统一Portal，租户通过 ManageOne Portal 订阅、动态打通VAS 服务，其中由Ope

10、nStack 定义的 VAS 服务通过Agile Controller-DCN 分发给 SecoManager 处理，由 SecoManager 下发配置到防火墙设备上，非OpenStack 定义的 VAS 服务由 ManagerOne 直接和 SecoManager 对接完成发放。第三方 OpenStack：租户通过第三方Portal 或者第三方云平台订阅 VAS 服务，第三方OpenStack 云平台调用 Agile Controller-DCN 接口动态开通 VAS 服务，Agile Controller- DCN 将 VAS 服务请求分发给 SecoManager 处理。网络虚拟化场景

11、AC Orchestration 作为 Agile Controller-DCN 和SecoManager 的业务呈现层，作为网络和安全的控制界面。控制/管理/分析层Agile Controller-DCN：完成网络建模、实例化、自动编排下发网络配置等，并负责将流量引流到 VAS 设备。eSight+eLog：实现安全设备管理和日志报表管理。SecoManager：实现 VAS 服务的编排和策略管理。CIS：大数据安全分析系统，可动态监测分析APT 安全威胁，并提供整网安全态势，可通过控制器联动防火墙、交换机等设备阻断安全威胁。网络/设备层由物理和虚拟网络设备组成，用于承载Overlay 网络

12、。其中，安全设备获取数据流量， 并基于安全策略执行安全功能。本层提供硬件和软件两种设备形态，可满足数据中心边界安全防护、租户边界和租户内安全防护的需求。Agile Controller-DCN 和 SecoManager 以服务化集成方式对接，SecoManager 的界面集成到 Agile Controller-DCN 的安全菜单中，融合部署在一套服务器，不独占资源，服务间交互通过 API 接口调用来实现。 3方案介绍 HYPERLINK l _bookmark8 安全服务化 HYPERLINK l _bookmark17 网安一体化联动方案安全服务化方案概述安全服务化是一种安全能力的供给和

13、管理方式。保证安全可以满足云计算业务所需的资源按需分配、弹性扩展、安全策略自适应业务变化，安全自动化运维等要求。云安全服务化需要解决的问题主要有：僵化的安全资源不适应云业务的弹性要求；僵化的安全策略不适应云业务的动态变化；固定的安全功能不满足租户多变的安全要 求；无法实现边界及网内的全流量防护。云安全服务化架构融合 SDN 思路，将弹性和快捷的特性引入安全方案中，安全方案做到“控制层-功能层”分离；功能层面打通硬件、软件防火墙形成“安全资源池”，控制层面统一进行安全资源调度，按需组合安全功能，实现安全自适应能力。方案设计方案架构安全服务化适应 CloudFabric 中网络虚拟化场景和云网一体

14、化场景架构。网络虚拟化场景架构图：云网一体化场景架构图：方案架构涉及组件概述表：组件网络虚拟化场景云网一体化场景第三方 OpenStack/ FusionSphere不涉及发放包括 SNAT、EIP、FWaas、IPsec VPN 的 L4L7 业务ManageOne不涉及发放 L4L7 业务，包含安全策略、IPS、AVAgile Controller-DCN1、发放逻辑网络服务， 负责华为VAS 设备和L2/3Fabric 双向互联网络的编排；2、管理华为 CE 交换机。1、对接云平台 L2L7 plugin，将云平台 SNAT、EIP、FWaas、IPSec VPN 相关业务分发给Seco

15、Manager 处理；2、发放逻辑网络服务，负责华为VAS 设备和 L2/3Fabric 双向互联网络的编排；2、管理华为 CE 交换机。SecoManager负责华为VAS 设备的业务编排，管理华为VAS 设备，并向其下发相关配置。1、支持直接对接ManageOne 定义 IPS、AV 等安全功能；2、负责华为VAS 设备的业务编排，管理华为VAS 设备，并向其下发相关配置；华为VAS 设备华为防火墙负责提供安全策略、EIP、SNAT、IPSec VPN 、IPS、AV的业务功能华为防火墙负责提供安全策略、EIP、SNAT、IPSec VPN 、IPS、AV 的业务功能安全资源池安全资源池是

16、为租户提供按需安全服务的基础，SecoManager 通过纳管硬件防火墙或者软件防火墙来生成安全资源池，硬件和软件防火墙都具有一虚多功能（vsys，virtual system），能将一台防火墙虚拟为多个独立的防火墙实例，租户在申请 VAS 服务时， SecoManager 为租户在安全资源池中分配使用逻辑 VAS（vSys），无需感知底层 FW 设备。安全资源池化流程：1、硬件防火墙旁挂在核心交换机上或者通过 Service Leaf 节点接入到DCN 网络中；软件防火墙通过 Service Leaf 节点接入到 DCN 网络中。2、选择多台硬件/软件防火墙（建议主备双机部署），通过 Sec

17、oManager 组建安全资源池，安全资源池创建成功后，加入资源池的设备资源即由 SecoManage 统一管理、分配3、租户需要安全功能时，SecoManager 从安全资源池中分配安全资源给该租户，资源池支持一虚多时，系统会在安全设备上创建 vsys，并将 vsys 分配给租户；资源池不支持一虚多时，系统会把物理防火墙设备分配给租户。4、安全资源分配后，AC-DCN 在交换机分配VRF 给该租户，从而实现租户流量向安全资源池的引流。租户级安全服务业务链编排租户级安全服务虚拟化网络中，不同的租户应用运行在同一物理机上，使网络的物理边界消失， 只存在逻辑的边界，造成边界模糊，虚拟化二层流量直接

18、通过 vSwitch 交互，流量不可视不可控。针对租户不同的流量，安全资源池通过如下方式进行安全检测：流量 1：租户的南北向流量，大部分场景在申请 LogicVas 时已经通过网络编排把流量引入到安全资源池中，或者通过业务链的方式引流到安全资源池中。流量 2：租户的东西向流量，直接通过 TOR 转发，不经过安全资源池，通过配置基于EPG 的安全策略来编排业务链将流量引到安全资源池中，引流后即为流量2。EPG（端点组）介绍EP（End Point）是指接入网络的物理设备或虚拟设备，比如物理机、虚拟机、存储、物理网卡、虚拟网卡。EPG（End Point Group，端点组）则是一组具有相同特征的

19、 EP 集合，代表了一组应用或服务，这些应用或服务通常都具有相同的安全策略等级，一个 EPG 内可以包含多个子网。EPG 可按不同方式划分，比如：按网络规格划分（如子网、VLAN ID、VNI ID），按照应用类型划分（如 Web EPG、APP EPG、DB EPG），按照分区原则划分（如 Front EPG、Backend EPG、DMZ EPG）。业务链介绍（ Service Function Chaining）业务链是一个业务功能有序图，保证指定的业务流按顺序通过这些业务功能节点。当 EPG 之间存在互通需求时，则需要通过编排业务链配置 EPG 间的互访策略，包括互访关系、流动作、是否

20、要经过防火墙以及提供的业务的顺序。业务链可以看做是在 SDN 控制器的控制下，使用 Overlay 技术将 VAS 服务链映射和物理服务设备解耦，只要承载网 IP 可达，即可将虚拟层服务链映射到承载层服务设备的技术。同 VPC 的东西向流量互访模型：红色虚线表示相同VPC 不同子网互访的：EPG1 与EPG2； 蓝色虚线表示相同VPC 同子网互访：EPG2 与EPG2；EPG1 对应 subnet1，EGP2 对应 subnet2：不同子网的业务隔离：配置基于EPG 的安全策略：源EPG 为 EPG1，目的EPG 对应 EPG2。同子网的业务隔离：配置基于EPG 的安全策略：源和目的 EPG

21、都对应EPG2。跨 VPC 的东西向流量互访模型通过配置“VPC 互通实例”设置跨VPC 流量是否通过防火墙。VAS 服务类型服务类型网络虚拟化云网一体化SNAT为租户提供私网 IP 到公网 IP 的地址转换服务，将用户的私有源 IP 地址转换为指定的公有 IP 地址，实现访问Internet；支持在云平台上编排。EIP为租户提供 VM 的弹性 IP 服务，将一个公有 IP 地址绑定到租户网络的私有 IP 地址上，实现租户网络的各种资源通过固定的公有 IP 地址对外提供服务；支持在云平台上编排。IPSec VPN为租户提供 IPSecVPN 加密传输服务，当租户数据中心和外部有安全通信需求时，

22、可通过 IPSec VPN 实现互通；支持在云平台上编排。NAT64适用于数据中心内部租户已经切换为 IPv6，外网服务器还是IPv4 的场景， 内网用户主动访问外网服务的场景；云网场景中只支持在电信云场景对应FusionSphere 6.3 云平台编排。带宽策略为租户提供会话连接数限制功能，避免因为攻击导致连接数耗尽，无法正常服务。不支持云平台编排Anti- Ddos提供DDoS 防护，避免造成网络的链路拥塞、系统资源耗尽，导致拒绝向正常用户的请求提供服务。不支持云平台编排IPS入侵防御支持通过 ManageOne 发放AV防病毒支持通过 ManageOne 发放URL过滤限制可访问 URL

23、 列表不支持云平台编排ASPFASPF 功能可以保证系统对多通道协议中临时协商的端口正常进行报文过滤和 NAT。不支持云平台编排安全策略支持五元组安全策略配置、地址集匹配、指定时间段等。通过 Fwaas，支持五元组安全策略配置、地址集匹配、指定时间段等，可在云平台上编排安全策略、FWaas、NAT64、ASPF 功能支持 IPv6 和 IPv4，其他功能只支持 IPv4。VAS 服务使用场景VPC 内部互访流量防护针对VPC 内东西向同子网或不同子网间的流量防护，使用业务链，将同子网或不同子网流量重定向到 VAS 设备，发放安全策略、IPSecVPN 等 VAS 服务，实现同VPC 内流量的防

24、护。VPC 与外网流量防护：针对VPC 内与外网的南北流量防护，使用业务链，将外部网络作为其中一个EPG，可以灵活引流到多个 VAS，发放安全策略、IPSec VPN、EIP、IPS 等 VAS 服务。VPC 间流量防护场景一：多个VPC 关联到同一个外部网络当多个 VPC 关联到同一个外部网络时，默认各 VPC 间 L3 互通，因此不需要配置各VPC 间的互访安全策略，租户管理员单独配置各VPC 使用的 VAS 服务即可。场景二：分别规划每对VPC 间的互访策略当各VPC 间应用间互访关系相对固化，策略不需要频繁变更时，可以选择单独规划每一对VPC 间互通及互访策略，此时各互通的 VPC 间

25、分别配置不同的 VAS 服务。网安一体化联动方案方案概述网安一体联动方案总体架构图如下：分析器：CIS、FireHunter：具备大数据安全分析和文件分析的能力，能够通过文件， 流量和日志综合分析，结合威胁情报，识别未知威胁，联动安全控制器下发安全策略。控制器：SecoManager：安全控制器，根据 CIS 下发的安全联动策略任务自动化生成对应安全控制策略，下发到对应安全执行器或网络控制器进行执行。Agile Controller-DCN：网络控制器，通过与 SecoManager 联动，接收其安全联动策略，并下发给交换机等网络设备进行执行。执行器：NGFW：接收安全控制器SecoManag

26、er 下发的具体指令，进行安全策略部署，实现安全处置闭环。交换机：接收网络控制器Agile Controller-DCN 下发的具体指令，进行安全策略部署，实现安全处置闭环。数据采集CIS 日志采集器负责日志采集，实现日志/事件的高性能采集和预处理；日志采集流程包括日志接收、日志分类、日志格式化和日志转发。Syslog 日志在上送大数据平台之前要进行归一化处理，将其转换为大数据平台能理解的统一格式。支持如下功能：支持采集网络/安全设备上报的Netflow 数据支持采集第三方系统（ArcSight CEF 格式, IBM Qradar Json 格式）和安全设备的Syslog 日志；日志采集器到

27、大数据平台的实现 SSL 加密传输CIS 流探针或防火墙内置流探针负责原始流量采集，通过优化的DPI 技术高效提取原始流量的协议特性，实现高性能的流量数据采集和协议还原。流探针支持报文捕获功能，生成的PCAP 文件保存在流探针的本地磁盘上，CIS 大数据安全平台通过 HTTPS 定时读取流探针上存储的PCAP 文件流量采集主要功能包含：协议解析：支持HTTP 协议解析、邮件协议解析、DNS 协议解析、HTTPS 协议解析文件还原：支持还原通过HTTP 协议上传/下载的文件还原；支持通过SMTP/POP3/IMAP4 协议发送的邮件的附件还原威胁检测威胁检测能力主要依靠CIS 的关联分析、大数据

28、分析能力，其架构如下。服务功能流探针负责对网络中的原始流量进行数据协议特征提取，生成Netflow和 Metadata 数据，并将这些数据上送给大数据安全平台。采集器负责安全设备、网络设备、主机和终端的日志和Netflow 数据采集，并对日志进行归一化处理后转发给大数据安全平台。大数据平台负责接收采集器上报的归一化日志和 Netflow 数据以及流探针上报的 Metadata 和Netflow 数据，并对上报数据预处理后进行分布式存储和索引，为可视化管理子系统提供可视化展示的数据支 撑，为威胁检测子系统提供历史与实时数据访问支撑。威胁检测服务负责根据预置的检测模型和自定义的检测规则对归一化日志

29、、Netflow 和 Metadata 数据进行实时/离线分析，检测异常行为并对异常进行关联和评估，从而发现并判定高级威胁。可视化平台负责提供威胁可视化，智能检测和配置管理等功能。WEB 异常检测原理WEB 异常检测主要用于检测通过 WEB 进行的渗透和异常通信，从历史数据中提取HTTP 流量元数据，通过分析HTTP 协议中的 URL、User-Agent、Refer 和上传/下载的文件 MD5 等信息，并结合沙箱文件检测结果，离线挖掘和检测下载恶意文件、访问不常见网站和非浏览器流量等异常。邮件异常检测原理邮件异常检测主要从历史数据中提取邮件流量元数据，通过分析 SMTP/POP3/IMAP

30、协议中的收件人、发件人、邮件服务器、邮件正文、邮件附件等信息，并结合沙箱文件检测结果，离线挖掘和检测收发件人异常、下载恶意邮件、访问邮件服务器、邮件正文 URL 异常等。C&C 异常检测原理C&C 异常检测主要通过对协议流量（DNS/HTTP/3,4 层协议）的分析检测 C&C 通信异常。基于DNS 流量的 C&C 异常检测采用机器学习的方法，利用样本数据进行训练，从而生成分类器模型，并在客户环境利用分类器模型识别访问 DGA 域名的异常通信，从而发现僵尸主机或者APT 攻击在命令控制阶段的异常行为。基于 3,4 层流量协议的C&C 异常检测根据 CC 通讯的信息流与正常通讯时的信息流区别，分

31、析CC 木马程序与外部通讯的信息的特点，区分与正常信息流的差异，通过流量检测发现网络中所存在的 CC 通讯信息流。对于基于HTTP 流量的C&C 异常检测采用统计分析的方法，记录内网主机访问同一个目的 IP+域名的所有流量中每一次连接的时间点，并根据时间点计算每一次连接的时间间隔，定时检查每一次的时间间隔是否有变化，从而发现内网主机周期外联的异常行 为。流量基线异常检测原理流量基线异常检测主要解决网络内部的主机/区域之间（内外区域之间、内网区域与互联网之间、内网主机之间、内网主机与互联网之间、内网主机与区域之间）的异常访问问题。流量基线是指网络内部主机之间、区域之间或者内外网之间的访问规则，包

32、括指定时间段内是否允许访问、访问的频次范围、流量大小范围等。流量基线可以有两种来源：系统自学习和用户自定义配置。流量基线自学习，就是系统自动统计一段时间内（比如一个月）网络内部各主机、区域以及内外网之间的访问和流量信息，以此访问和流量信息为基础（对于流量数据，还会自动设置合适的上下浮动范围），自动生成流量基线。用户自定义流量基线：用户手工配置网络内部各主机、区域以及内外网之间的访问和流量规则。流量基线异常检测将自学习和用户自定义的流量基线加载到内存中，并对流量数据进行在线统计和分析，一旦网络行为与流量基线存在偏差，即输出异常事件。隐蔽通道异常检测原理隐蔽通道异常检测主要用于发现被入侵主机通过正

33、常的协议和通道传输非授权数据的异常，检测方法包括Ping Tunnel、DNS Tunnel 和文件防躲避检测。Ping Tunnel 检测是通过对一个时间窗内同组源/目的 IP 之间的 ICMP 报文的载荷内容进行分析和比较，从而发现Ping Tunnel 异常通信。DNS Tunnel 检测通过对一个时间窗内同组源/目的 IP 之间的 DNS 报文的域名合法性检测和DNS 请求/应答频率分析，从而发现 DNS Tunnel 异常通信。文件防躲避检测通过对流量元数据中的文件类型的分析和比较，从而发现文件类型与实际扩展名不一致的异常。恶意文件检测原理FireHunter 文件检测经过信誉查询、

34、第三方 AV 检测、静态检测引擎检测、机器学习引擎检测、CC 检测引擎检测、沙箱检测引擎检测，最终在威胁分析引擎进行对各个检测结果进行关联、联合分析和威胁判定，最终给出威胁检测结果。其中，沙箱检测引擎，又包括了 web 启发式引擎、PDF 启发式引擎、PE 启发式引擎和虚拟执行环境引擎。FireHunter 可以针对主流的应用软件及文档实现检测、分析，支持 Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可执行脚本文件、媒体文件、LNK 文件、压缩文件等软件及文档。关联分析原理关联分析主要通过挖掘事件之间的关联和时序关系，从而发现有效的攻击

35、。关联分析采用了高性能的流计算引擎，直接从分布式消息总线上获取归一化日志装入内存，并根据系统加载的关联规则进行在线分析。系统预置了一部分关联分析规则，用户也可以自定义关联分析规则。当多条日志匹配了某一关联规则，则认为它们之间存在对应的关联关系，输出异常事件，同时将匹配用到的原始日志记录到异常事件中。威胁判定原理威胁判定根据多个异常进行关联、评估和判定产生高级威胁，为威胁监控和攻击链路可视化提供数据。威胁判定按照攻击链的阶段标识/分类各种异常，并以异常发生的时间为准，通过主机 IP、文件 MD5 和 URL 建立异常的时序和关联关系，根据预定义的行为判定模式判定是否高级威胁，同时根据相关联的异常

36、的严重程度、影响范围、可信度进行打分和评估，从而产生威胁事件。云端威胁情报华为资深安全专家和安全能力中心通过对第三方安全情报的收集分析，利用大数据、机器学习技术，生成各类云端信誉库、特征库。通过云端安全智能中心为各类安全设备提供云端威胁情报的定期升级，包括URL 分类库，恶意 URL 库、热点域名列表、恶意文件信誉，IP 信誉，C&C 域名库等，实现最新安全威胁的快速同步，提高威胁防御能力。联动闭环保护网段保护网段可以理解为一台防火墙保护的网段范围。它可以通过手工的方式来配置，也可以与 AC-DCN 协同自动学习。通过保护网段，SecoManager 感知了 IP 地址和防火墙设备的关系，在联

37、动策略下发的时候可以基于策略的源地址和目的地址自动找到承载策略的防火墙设备。下面是数据中心场景下，以 VPC1 为例，FW1 的保护网段为VM1、VM2、VM3 的 IP 地址，那么 VM1 访问 Internet 的策略将自动下发到 FW1。通过这个原理，用户在配置策略时就可以仅配置业务需求，而不需要关注具体是哪一个防火墙设备来实施这个策略。威胁闭环在数据中心场景，SecoManager 可以跟CIS 和AC-DCN 协同实现威胁闭环。威胁闭环支持主机隔离和基于 IP 阻断 2 种特性。CIS 根据威胁范围判断下发主机隔离或基于 IP 阻断，当攻击源在外网且需要阻断攻击源双向流量时，向相应的TOR 交换机下发主机隔离阻断；其他威胁场景，向防火墙下发基于 IP 阻断。主机隔离具体实现流程：CIS 通过异常检测模型发现威胁事件，当命中联动规则后，CIS 下发对应的联动策略给 SecoManager 进行主机隔离，避免横向扩散。SecoManager 收到主机隔离请求后，调用 AC-DCN 北向接口请求隔离。AC-DCN 根据隔离VM 的 IP 找到对应的 TOR 交换