压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　傳統的網絡安全防護方法通常是根據網絡的拓撲情況，以手動方式在安全域邊界串聯（例如UTM、IPS）或旁路部署（例如IDS、Audit）安全設備，對進出安全域的流量進行監控。如果將這種與接入模式、部署位置緊密耦合的防護方法沿用到物理與虛擬網絡共存的數據中心環境中，會存在諸多不適應性。

　　

• 安全設備部署過程繁復：傳統安全設備部署過程通常依賴手動的方式，各種設備依次接入，過程繁復，對網絡運行影響大，并且后期改動、調整起來也不靈活，擴展性差。對于虛擬計算環境而言，還會造成系統管理員與網絡安全管理員職責界限模糊，出現問題后難于追責。

　　

• 不能區別處理流經的流量：傳統的在安全域邊界連接一套安全設備的方法通常處理所有流經的流量，不能滿足各細分用戶/租戶的定制化需求，而在邊界連接多套安全設備的方法也是不現實的，因此帶來了不靈活性和資源浪費問題。

　　

• 安全防護范圍僵化：安全設備的防護范圍就是整個安全域。在物理環境中不會經常變動硬件機器的部署，因此安全域邊界較為固定。對于虛擬計算環境而言，由于虛擬機遷移過程簡單，虛擬機的遷入、遷出情況會更頻繁，導致相應的安全域邊界發生改變。如果安全設備不能隨之調整安全防護范圍，就會帶來安全隱患。

　　

• 安全設備成為單一故障點：采用串聯模式接入網絡的安全設備（例如UTM、IPS），在完成安全防護的同時，也起到了網絡連接的作用。如果安全設備出現故障，就會導致網絡連接的中斷。通常這種情況下會采用雙機熱備的部署方式來提高可用性，但在一些情況下（如軟件錯誤、攻擊發生），仍然存在雙設備故障的可能性。對于虛擬計算環境而言，雙機熱備意味著更多的占用虛擬計算平臺資源，安全風險加大。

　　

　　從上述問題可以看出，傳統的網絡安全防護方法不能完全滿足未來數據中心網絡安全防護需求，由此一種更為適用的防護方法——軟件定義安全（Software Defined Security，SDS）應運而生。SDS是從軟件定義網絡（Software Defined Network，SDN）引申而來，它的核心思想是將虛擬的和物理的網絡安全設備與它們的接入模式、部署位置解耦，抽象為安全資源池里的資源，統一通過軟件編程的方式進行智能化、自動化的管理和使用，安全資源、網絡流量、安全模型間通過開放的接口定義，靈活的實現了安全功能部署和安全能力的提供，從而完成虛擬和物理網絡的整體安全防護。

一、工作模型

　　圖1 軟件定義安全工作模型

　　就工作機制而言，SDS可以分解為軟件定義安全資源、軟件定義流量、軟件定義高級威脅模型，三個舉措環環相扣，形成一個動態、閉環的工作模型，如圖1所示。

　　1．軟件定義安全資源：配備安全資源是實現網絡安全防護的第一步。在軟件定義安全模式下，安全資源的配備是由軟件編程的方式來管理的。由管理中心對安全資源進行統一注冊、管理，才能夠實現后續的靈活使用。在虛擬計算環境下，管理中心還要支持虛擬安全設備模板的分發和設備的創建。

　　2．軟件定義流量：由軟件編程的方式來實現網絡流量的轉發控制，通過將目標網絡流量轉發到安全設備上，來實現安全設備的邏輯部署和使用。

　　3．軟件定義高級威脅模型：安全運營中心從各種設備上收集安全相關的事件、信息，通過預定義的算法進行自動化的整理和挖掘，實現對未知的威脅甚至是一些高級安全威脅的實時分析和建模，之后自動將建模結果再次應用于安全防護，從而實現一種動態、閉環的安全防護。

二、層次框架

　　就具體實現而言，SDS框架可以劃分為4個層次，由底至頂分別為安全資源層、轉發層、控制層、管理編排層，如圖2所示。

圖2 軟件定義安全層次框架

　　以一個數據中心為例，SDS框架的各個層次詳細介紹如下：

　　1．安全資源層：由數據中心內的各種物理形態或虛擬形態的網絡安全設備組成，兼容各家廠商的產品。這些安全設備不再采用單獨部署、各自為政的工作模式，而是由管理中心統一部署、管理、調度，以實現相應的安全功能。安全資源可以按需取用，支持高擴展性、高彈性，就像一個資源池一樣。

　　2．轉發層：即SDN網絡中的轉發層，是指一類僅支持根據控制器指令進行數據包轉發，而不再自主進行地址學習和選路的網絡交換設備。將網絡安全設備接入轉發層，通過將數據包導入或繞過安全設備，即可實現安全設備的部署和撤銷。

　　3．控制層：是指能夠從全局的角度進行網絡構建、管理，并提供開放API的網絡控制器。這里既包括進行邏輯網絡構建的控制器（例如SDN網絡控制器，通過給已有的下轄的交換機下發轉發表來實現網絡構建），也包括進行實際網絡構建的控制器（例如虛擬計算平臺的管理中心，通過創建虛擬交換機并連線來實現網絡構建）。

　　4．管理編排層：由側重于安全方面的應用組成，包含用戶交互界面，將用戶配置的或運行中實時產生的安全功能需求轉化為具體的安全資源調度策略，并基于控制層提供的API予以實現，做到安全防護的智能化、自動化、服務化。

三、特點分析

　　通過編程的方式調用安全設備資源，SDS實現了一種靈活的網絡安全防護，更加適用于情況復雜的數據中心網絡。與傳統的網絡安全防護方法相比，SDS有如下特（優）點：

　　1．安全功能部署靈活簡單：管理員可以隨時、隨地、采用多種設備對應用層軟件（例如管理中心）進行訪問，通過簡單的界面點擊操作來實現安全功能的自動化部署。由于不再需要復雜的手動操作去部署每臺安全設備，提高了可擴展性。

　　2．細粒度區分流量：通過轉發層對流經同一網絡的流量做細粒度區分，支持不同流量采用不同的安全策略，因此適用于多租戶環境。各個租戶可以按需進行個性化的安全服務定制，具備高彈性、可計量性。

　　3．安全防護范圍動態調整：集中化的管理方式使得控制層能夠快速感知虛擬機的動態遷移事件，該事件被上送到應用層，應用層隨之下發策略來改變安全資源的部署，最終現安全防護范圍的動態調整。

　　4．維護網絡高可靠性：安全功能的部署和撤銷均采用自動化的方式進行。當檢測到某個安全設備發生故障后，可以實時的將基于該安全設備的應用撤銷；當安全設備故障解除后，又可以實時的將基于該安全設備的應用恢復。這期間維持網絡不間斷，確保了網絡的可靠性。

　　5．安全功能易于創新：基于軟件的安全功能編排、與硬件安全設備的解耦使得安全功能的創新不再依賴硬件安全設備的升級。并且，控制層全局化的視角使得安全功能更容易根據實時運行情況作出調整，更具智能性。

四、支撐技術

　　采用現有技術已經能夠實現SDS。SDS實現的關鍵在于如何使用安全資源池里的資源來實現相應的安全功能，這里主要圍繞這部分進行介紹。要全面覆蓋現有的數據中心網絡情況，需要采用以下兩類關鍵技術：

　　1．基于SDN/Openflow技術：SDN思想將傳統網絡設備自帶控制功能和轉發功能分離，其中網絡設備僅保留轉發功能，構成轉發層；引入全局網絡控制器提供控制功能，構成控制層；并且應用程序可以調用控制器提供的API來構建網絡，構成應用層。OpenFlow協議被認為是SDN架構的控制層和轉發層間的第一個標準通信接口[1]。將安全設備接入SDN的轉發層，由應用層程序調用控制層API來設置轉發層的轉發表，基于這種流量轉發的可定義性來實現靈活的邏輯部署。目前，SDN/Openflow已經被多款流行的開源虛擬計算平臺（例如KVM、XEN）采納為虛擬網絡的實現技術，并且已有多家廠商的硬件交換機產品支持SDN/Openflow，也已有多款開源控制器可供選擇（例如floodlight、Opendaylight、Ryu）。因此基于SDN/Openflow實現的SDS，能夠適用于開源虛擬計算平臺上的虛擬網絡以及部分物理網絡的安全防護。

　　2．調用虛擬計算平臺提供的API：適用于閉源虛擬計算平臺上的虛擬網絡防護。這類平臺上的虛擬網絡設備通常采用傳統的自主工作模式，不能如技術1一樣通過設置轉發表來實現安全設備的部署和撤銷。這里可以調用平臺提供的API，通過將虛擬安全設備接入或斷出虛擬交換機的方法，實現安全設備的靈活使用。目前，主流的閉源虛擬計算平臺均有API接口滿足上述需求。

五、產品方案

　　基于SDS思想，我們提出了流安全平臺產品，該產品架構如圖3所示，通過把一臺或多臺防火墻、IDS/IPS、WAF、審計等安全設備連接到一臺或多臺SDN交換機上做安全資源的集群處理，根據安全策略的自定義模式將網絡流量牽引到指定的安全設備進行安全處理，包括：訪問控制、攻擊檢查、攻擊過濾、內容審計等，同時通過安全控制中心對安全設備進行策略集中管理和狀態實時監控，當設備出現異常時，能及時進行均衡負載或流量遷移，確保不影響正常的網絡通信，可以極大的提高安全設備整體防護能力和可靠性。適用于網絡流量大、安全需求多、可靠性要求特別高的場景。

圖3 流安全平臺架構圖

六、總結

　　目前，隨著虛擬化、SDN網絡在數據中心快速的發展、完善、應用，傳統網絡安全防護方法已經顯示出不適應性。為了滿足網絡安全新需求，工業界和學術界開始在SDS方面展開積極的探索。

　　據市場研究和咨詢公司IDC預測，到2016年，78%的新增機器都是虛擬機[2]，這意味著數據中心虛擬化規模將進一步擴大。SDS框架能夠支持數據中心物理與虛擬網絡并存、多租戶、易遷移、高彈性、自動化等特性需求，必將成為未來數據中心網絡安全防護的有力支撐。

　　參考文獻

　　1.Open networking foundation, Software-Defined Networking:The New Norm for Networks, april 13,2012.

　　2.Gary Chen，Oracle Virtual Networking Delivering Fabric Virtualization and Software Defined Networks，July 2013.