基于SDN/NFV構(gòu)建防火云平臺*

戚建淮，唐 娟，宋 晶，劉建輝，鄭偉范

0 引 言

云計算（Cloud Computing）是以網(wǎng)絡(luò)技術(shù)、虛擬化技術(shù)、分布式計算技術(shù)為基礎(chǔ)，以按需分配為業(yè)務(wù)模式，具備動態(tài)擴(kuò)展、資源共享、寬帶接入等特點(diǎn)的新一代網(wǎng)絡(luò)化商業(yè)計算模式。開放的網(wǎng)絡(luò)環(huán)境為云計算用戶提供了強(qiáng)大的計算和存儲能力，現(xiàn)已逐漸在產(chǎn)業(yè)界得到廣泛應(yīng)用。然而，伴隨云計算技術(shù)的飛速發(fā)展，其所面臨的安全問題日益凸顯[1-3]。緊迫的安全威脅，催生著傳統(tǒng)安全服務(wù)和產(chǎn)品的改變。對企業(yè)或機(jī)構(gòu)來說，安全產(chǎn)品“老三樣”中的防火墻更是首當(dāng)其沖。

防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)、訪問內(nèi)部網(wǎng)資源以及內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)訪問和進(jìn)入外部網(wǎng)絡(luò)，從而保護(hù)內(nèi)部網(wǎng)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。防火墻的發(fā)展歷程主要有第一代軟件防火墻、第二代硬件防火墻、第三代ASIC防火墻、第四代UTM（統(tǒng)一威脅網(wǎng)關(guān)）以及云計算環(huán)境下的第五代云火墻[4-5]。雖然防火墻性能逐步加強(qiáng)、功能逐步完善，但是前四代都是被動防御為主，在保護(hù)信息安全方面不足。第五代云火墻基于web2.0，具有云上數(shù)據(jù)中心的動態(tài)更新，支持Netflow流量監(jiān)控，屬于主動和動態(tài)的安全防護(hù)體系，具有高可用、跨平臺、拓展性高的特點(diǎn)，在部署、運(yùn)維、防病毒、抗DDoS攻擊、流量訪問等方面優(yōu)勢明顯[6]。但是，隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的發(fā)展，防火墻面臨的業(yè)務(wù)急劇增加，多用戶高并發(fā)連接的情況下，現(xiàn)有的產(chǎn)品仍然面臨諸多問題。

（1）業(yè)務(wù)應(yīng)用紛繁復(fù)雜

受保護(hù)網(wǎng)絡(luò)系統(tǒng)中規(guī)模龐大的用戶實(shí)體、日益繁多的業(yè)務(wù)類型、漸進(jìn)復(fù)雜的協(xié)議流程、愈加隱蔽的攻擊方式和不可避免的漏洞隱患，使得過濾判斷規(guī)則在設(shè)置難度、種類數(shù)目等方面均呈現(xiàn)出幾何級的增長趨勢，由此帶來的代價開銷是傳統(tǒng)防火墻無法承受的。

（2）防御模式被動受限

網(wǎng)絡(luò)行為流量檢測依賴于協(xié)議內(nèi)容解析和公開缺陷特征等先驗(yàn)信息，難以有效應(yīng)對潛藏威脅行為帶來的嚴(yán)峻挑戰(zhàn)。網(wǎng)絡(luò)區(qū)域邊界防護(hù)局限于應(yīng)對外網(wǎng)攻擊，無法以網(wǎng)絡(luò)節(jié)點(diǎn)為保護(hù)對象，最大限度地消除存在于內(nèi)部網(wǎng)絡(luò)環(huán)境中的安全隱患。

（3）割裂耦合離散安全

粗放化方式集成VPN（Virtual Private Network）、PKI（Public Key Infrastructure）、IPSec、防病毒、入侵防御等多種附加功能的防火墻，處于割裂業(yè)務(wù)耦合關(guān)系下的離散安全形態(tài)。面對動態(tài)性且復(fù)合性強(qiáng)的網(wǎng)絡(luò)攻擊，它無法根據(jù)具體的網(wǎng)絡(luò)應(yīng)用環(huán)境實(shí)施自適應(yīng)且集約化的聯(lián)動防御。

新型云計算應(yīng)用環(huán)境下，要求防火墻能夠保證行為模式的強(qiáng)一致性、計算能力的高性能化、功能架構(gòu)的自適應(yīng)等。目前，SDN/NFV技術(shù)[7-8]可以實(shí)現(xiàn)流量在數(shù)據(jù)平面與控制平面的分離，有利于流量的精細(xì)化管理與控制。機(jī)器學(xué)習(xí)[9-10]等智能計算技術(shù)提供了攻擊模式的自動學(xué)習(xí)、識別和發(fā)現(xiàn)能力，可實(shí)現(xiàn)防火墻的自學(xué)習(xí)和自防護(hù)能力。這些新的技術(shù)應(yīng)用為新一代防火墻突破現(xiàn)有瓶頸提供了技術(shù)途徑。本文在現(xiàn)有的云火墻如思科的云火墻[11]等產(chǎn)品基礎(chǔ)上，基于SDN/NFV、機(jī)器學(xué)習(xí)等技術(shù)，設(shè)計和實(shí)現(xiàn)一種防火云平臺（或系統(tǒng)）——永達(dá)防火云，并將其應(yīng)用于實(shí)際的業(yè)務(wù)系統(tǒng)安全防護(hù)。該平臺具有卓越的功能和性能，能滿足現(xiàn)代云計算環(huán)境下大規(guī)模復(fù)雜系統(tǒng)的網(wǎng)絡(luò)整體安全性。

1 防火云的總體設(shè)計

1.1 設(shè)計思路

在高性能化先進(jìn)計算能力和自適應(yīng)型彈性網(wǎng)絡(luò)架構(gòu)的支撐下，基于角色權(quán)限細(xì)分的強(qiáng)制訪問控制正常業(yè)務(wù)模式庫，以多尺度辨識模式提供行為審計取證和數(shù)據(jù)完整保護(hù)功能，正確執(zhí)行與業(yè)務(wù)模式保持強(qiáng)一致性的網(wǎng)絡(luò)行為，精準(zhǔn)鎖定偏差性未知應(yīng)用和異常威脅，從而顯著降低安全風(fēng)險。具體包括：以受保護(hù)網(wǎng)絡(luò)系統(tǒng)中業(yè)務(wù)模式的行為大數(shù)據(jù)，訓(xùn)練建模基于角色權(quán)限細(xì)分的強(qiáng)制訪問控制業(yè)務(wù)操作流，塑造“元操作、服務(wù)鏈、請求樹”形態(tài)存在的正常業(yè)務(wù)模式庫；在SDN/NFV支持下的高性能連接與計算環(huán)境下，通過多因子聯(lián)合診斷，推動各尺度下受保護(hù)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)行為的標(biāo)準(zhǔn)符合性認(rèn)定，并形成基于工作流的業(yè)務(wù)痕跡審計取證體系。

1.2 技術(shù)路線

（1）依據(jù)產(chǎn)品說明，定義正常業(yè)務(wù)模式

依據(jù)受保護(hù)網(wǎng)絡(luò)系統(tǒng)中的業(yè)務(wù)應(yīng)用系統(tǒng)規(guī)程說明和數(shù)據(jù)處理與存儲系統(tǒng)結(jié)構(gòu)說明，離線狀態(tài)下覆蓋性激勵測試“凈化”的受保護(hù)網(wǎng)絡(luò)系統(tǒng)，形成全業(yè)務(wù)、全功能網(wǎng)絡(luò)行為的流量表征大數(shù)據(jù)。

塑造多尺度下受保護(hù)網(wǎng)絡(luò)系統(tǒng)的正常業(yè)務(wù)模式庫，基于網(wǎng)絡(luò)行為實(shí)例化的流量大數(shù)據(jù)，訓(xùn)練建模基于角色權(quán)限細(xì)分的強(qiáng)制訪問控制業(yè)務(wù)邏輯流，塑造“元操作、服務(wù)鏈、鏈表樹”形態(tài)存在的正常業(yè)務(wù)模式庫。

（2）多維辨識應(yīng)用，分析發(fā)現(xiàn)安全威脅

網(wǎng)絡(luò)行為流量數(shù)據(jù)實(shí)時監(jiān)測。線上實(shí)時采集基于角色權(quán)限的網(wǎng)絡(luò)操作行為實(shí)例在全功能與全業(yè)務(wù)范疇上的表征化流量數(shù)據(jù)。

通過正常業(yè)務(wù)模式庫辨識未知應(yīng)用與異常威脅。通過“元操作、服務(wù)鏈、鏈表樹”形態(tài)存在的正常業(yè)務(wù)模式庫，推動受保護(hù)網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)邏輯行為的標(biāo)準(zhǔn)符合性認(rèn)定；基于智能學(xué)習(xí)，從行為層面分類業(yè)務(wù)應(yīng)用、辨識未知網(wǎng)絡(luò)攻擊行為，實(shí)現(xiàn)強(qiáng)制訪問控制，并形成基于工作流的業(yè)務(wù)痕跡審計取證體系。

（3）立體閉環(huán)防護(hù)，形成精準(zhǔn)安全體系

云、管、端全網(wǎng)全程運(yùn)維。基于云（云端日志管理）、管（應(yīng)用流量防護(hù)）、端（內(nèi)網(wǎng)資產(chǎn)識別）打造立體防護(hù)體系，面向全網(wǎng)系統(tǒng)的事前預(yù)警、事中防護(hù)、事后分析，支持可循環(huán)往復(fù)的捕獲檢測、轉(zhuǎn)發(fā)控制與審計取證的防護(hù)鏈條。

（4）支持軟件定義，保障計算服務(wù)能力

可定義、可重構(gòu)、可演進(jìn)的云服務(wù)安全。在實(shí)現(xiàn)安全資源虛擬化基礎(chǔ)上，基于多樣化的資源調(diào)度策略，確保物理平臺、通信資源、計算資源的負(fù)載整合與全局優(yōu)化，支持業(yè)務(wù)無損彈性擴(kuò)展，支持親和部署與最短路徑優(yōu)化，實(shí)現(xiàn)故障遷移與恢復(fù)的智能化。

1.3 系統(tǒng)邏輯架構(gòu)

采用“數(shù)據(jù)搜索安全”的技術(shù)路徑，而“請求響應(yīng)數(shù)據(jù)的制造”與“請求響應(yīng)數(shù)據(jù)的應(yīng)用”決定了平臺的架構(gòu)。“請求響應(yīng)數(shù)據(jù)的制造”以后臺的方式，由操作請求樹配置管理、服務(wù)響應(yīng)鏈生成管理等兩大設(shè)施承擔(dān)完成，扮演“廠”的角色；“請求響應(yīng)數(shù)據(jù)的應(yīng)用”以前端的方式，基于“流水串行計算”和“異步并行計算”兩種模式，支撐面向網(wǎng)絡(luò)行為的全面內(nèi)容檢測，并形成業(yè)務(wù)流審計取證體系，扮演“店”的角色。兩者彼此緊密合作，形成“前店后廠”的架構(gòu)，如圖1所示。

1.4 物理架構(gòu)

可信防火云由各個單元組成，而組成單元由工控機(jī)或板卡組成。各單元之間通過管理總線和業(yè)務(wù)總線相連，組成集群計算網(wǎng)絡(luò)，如圖2所示。

（1）防火云單元

支持以基于角色權(quán)限細(xì)分的強(qiáng)制訪問控制正常業(yè)務(wù)模式庫，對網(wǎng)絡(luò)行為開展“元操作、服務(wù)鏈、鏈表樹”的符合性計算識別，以用戶身份、角色權(quán)限、應(yīng)用類型、傳輸內(nèi)容等多維度，從網(wǎng)絡(luò)行為上精準(zhǔn)鎖定未知應(yīng)用和異常威脅；支持?jǐn)?shù)據(jù)包的各個組成部分被完整檢測，以識別畸形包、錯誤、已知攻擊和其他異常數(shù)據(jù)；支持快速識別并阻止木馬、病毒、垃圾郵件、入侵行為以及其他違反正常通信協(xié)議的行為；支持跨越多層協(xié)議對流量進(jìn)行完整檢測，并提供全棧式多層流量標(biāo)準(zhǔn)化的解構(gòu)和拆分?jǐn)?shù)據(jù)包。

（2）防火云主控單元

支持中心化管理，實(shí)現(xiàn)在統(tǒng)一應(yīng)用界面下部署、查看和控制所有的防火云單元活動，確保自動化日常任務(wù)、復(fù)用元素、部署快速路徑和深度調(diào)查，以最小的工作成本產(chǎn)生最大的工作成果；以虛擬化支持云安裝、配置、部署的方式，實(shí)現(xiàn)防火云單元的即插即用，實(shí)現(xiàn)受保護(hù)網(wǎng)絡(luò)系統(tǒng)的高可用性和高抗壓性；以過濾規(guī)則引擎對受保護(hù)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行狀態(tài)進(jìn)行學(xué)習(xí)，建立以鏈表樹形式表達(dá)的多維度行為動態(tài)安全模型，且動態(tài)化更新安全模型，常規(guī)性地自動推薦策略配置；支持形成以異常報警事件分析、違規(guī)操作行為分析、系統(tǒng)運(yùn)維數(shù)據(jù)分析為主要內(nèi)容的責(zé)任認(rèn)定和審計取證功能。

（3）SDN交換機(jī)

支持防火云架構(gòu)的可改變性和自適應(yīng)性，構(gòu)建可定義、可重構(gòu)、可演進(jìn)的云服務(wù)設(shè)施，以網(wǎng)絡(luò)通信的強(qiáng)連接、計算能力的并行化、節(jié)點(diǎn)資源的分布式，保證數(shù)據(jù)檢測、策略控制、路由轉(zhuǎn)發(fā)等大數(shù)據(jù)分析執(zhí)行任務(wù)的實(shí)時性，確保最大效率地分發(fā)執(zhí)行所需安全策略，具備適應(yīng)各種預(yù)算范圍和系統(tǒng)彈性架構(gòu)的能力，能夠根據(jù)需求轉(zhuǎn)變角色，或是防火墻，或是入侵檢測，或是VPN。

圖1 防火云邏輯結(jié)構(gòu)

圖2 防火云總體邏輯架構(gòu)設(shè)計

1.5 工作流程

所有數(shù)據(jù)到達(dá)服務(wù)器前先經(jīng)過可信防火云。首先到達(dá)SDN，智能分配數(shù)據(jù)流到檢測陣列。防火云各級檢測單元協(xié)同完成檢測，并根據(jù)檢測結(jié)果采取是否放行、攔截、告警等措施。業(yè)務(wù)流程如圖3所示。

2 防火云的性能指標(biāo)

（1）基本性能指標(biāo)

①合法用戶的登錄時間：＜5 s；

②連續(xù)運(yùn)行能力：7×24 h；

③中心結(jié)點(diǎn)主備切換能力（中心節(jié)點(diǎn)）：＜5 s；

④在最大吞吐量90%的條件下，千兆防火云的64 Byte短包平均延遲：＜500 μs；

⑤在最大吞吐量90%的條件下，萬兆或以上防火云的64 Byte短包平均延遲：＜90 μs；

⑥開啟入侵保護(hù)功能時，平均延遲增加不應(yīng)超過原來的50%。

（2）最大新建連接速率

①千兆防火云的最大新建連接數(shù)速率應(yīng)不小于30 000個/秒；

圖3 防火云工作流程

②萬兆或以上防火云的最大新建連接數(shù)速率應(yīng)不小于150 000個/秒；

③千兆防火云的最大并發(fā)數(shù)應(yīng)不小于200萬個；

④萬兆或以上防火云的最大并發(fā)數(shù)應(yīng)不小于500萬個。

（3）應(yīng)用層吞吐量

①千兆防火云應(yīng)用層吞吐量應(yīng)不小于900 Mb/s；

②萬兆或以上防火云應(yīng)用層吞吐量應(yīng)不小于8 Gb/s；

③開啟入侵保護(hù)功能時，應(yīng)用層吞吐量下降不超過原來的30%。

（4）網(wǎng)絡(luò)層吞吐量

在不丟包的情況下，一對相應(yīng)速率的端口在具有多條（如200條）包過濾的條件下，應(yīng)達(dá)到的雙向吞吐量指標(biāo)為：

①對64 Byte短包，千兆防火云應(yīng)不小于線速的50%，萬兆或以上應(yīng)不小于線速的70%；

②對512 Byte中長包，千兆防火云應(yīng)不小于線速的85%，萬兆或以上應(yīng)不小于線速的90%；

③對1 518 Byte長包，千兆防火云應(yīng)不小于線速的95%，萬兆或以上應(yīng)不小于線速的98%；

④開啟入侵保護(hù)功能時，網(wǎng)絡(luò)層吞吐量下降不超過原來的30%。

3 防火云的特點(diǎn)

3.1 規(guī)則定義與應(yīng)用識別方面

在規(guī)則定義與應(yīng)用識別方面，能夠做到完全契合業(yè)務(wù)，支持保證網(wǎng)絡(luò)行為與正常業(yè)務(wù)模式的強(qiáng)一致性。

傳統(tǒng)防火墻。對各層次網(wǎng)絡(luò)協(xié)議的理解主要依賴人工分析，并聚焦于異常黑色、漏洞缺陷等先驗(yàn)特征信息的分析，解析效果“得”不償失，由此定義的過濾規(guī)則難以識別未知威脅且數(shù)量規(guī)模龐大，導(dǎo)致應(yīng)用識別往往處于被動防御狀態(tài)且性能低下。

永達(dá)防火云。離線環(huán)境下覆蓋性測試“凈化”的受保護(hù)網(wǎng)絡(luò)系統(tǒng)，生成正常業(yè)務(wù)模式的表征化數(shù)據(jù)，以機(jī)器學(xué)習(xí)的方式實(shí)施數(shù)據(jù)驅(qū)動的訓(xùn)練建模，智能化構(gòu)筑“元操作、服務(wù)鏈、鏈表樹”形態(tài)存在的正常業(yè)務(wù)模式庫。基于用戶身份、角色權(quán)限、應(yīng)用類型、傳輸內(nèi)容等多維度，對網(wǎng)絡(luò)行為開展正常業(yè)務(wù)模式庫的符合性計算識別，實(shí)現(xiàn)網(wǎng)絡(luò)行為與正常業(yè)務(wù)模式的強(qiáng)一致性和精準(zhǔn)施策。

3.2 計算資源與服務(wù)能力方面

在計算資源與服務(wù)能力方面，能夠做到彈性調(diào)度擴(kuò)展，支持?jǐn)?shù)據(jù)檢測、策略控制和路由轉(zhuǎn)發(fā)的實(shí)時性。

傳統(tǒng)防火墻。基礎(chǔ)設(shè)施僅僅局限于本機(jī)承載，在規(guī)則匹配與識別分析的計算任務(wù)面前，資源提供“力”不從心，導(dǎo)致防火墻功能長期處于中途夭折的狀態(tài)，即計算還未完成，網(wǎng)絡(luò)連接中斷。

本文防火云以SDN/NFV實(shí)現(xiàn)硬件與安全功能的解耦，打造可感知重構(gòu)且動態(tài)演進(jìn)的網(wǎng)絡(luò)計算基礎(chǔ)設(shè)施，以網(wǎng)絡(luò)通信的強(qiáng)連接、計算能力的并行化、節(jié)點(diǎn)資源的分布式，保證數(shù)據(jù)檢測、策略控制和路由轉(zhuǎn)發(fā)等大數(shù)據(jù)分析執(zhí)行任務(wù)的實(shí)時性。

4 結(jié) 語

隨著web2.0的發(fā)展，web應(yīng)用防火墻取得了長足發(fā)展，技術(shù)日趨成熟。本文防火云在企業(yè)級的安全管理控制平臺的實(shí)際工程應(yīng)用中，在分布式可管控防火墻的基礎(chǔ)上研發(fā)而來。它綜合利用目前SDN/NFV、機(jī)器學(xué)習(xí)等前沿技術(shù)，能夠依據(jù)產(chǎn)品說明，定義正常業(yè)務(wù)模式；多維辨識應(yīng)用，分析發(fā)現(xiàn)安全威脅；立體閉環(huán)防護(hù)，形成精準(zhǔn)安全體系；支持軟件定義，保障計算服務(wù)能力。平臺實(shí)現(xiàn)了動態(tài)的主動式安全訪問控制，可以滿足現(xiàn)代云計算環(huán)境下大規(guī)模復(fù)雜系統(tǒng)的網(wǎng)絡(luò)訪問控制要求。

[1] 張玉清,王曉菲,劉雪峰等.云計算環(huán)境安全綜述[J].軟件學(xué)報,2016,27(06):1328-1348.ZHANG Yu-qing,WANG Xiao-feng,LIU Xue-feng,et al.Survey on Cloud Computing Security[J].Journal of Software,2016,27(06):1328-1348.

[2] Bodkhe A P,Dhote C A.Cloud Computing Security:An Issue of Concern[J].Int’l Journal of Advanced Research in Computer Science and Software Engin-eering,2015,5(04):1337-1342.

[3] Ali M,Khan S U,Vasilakos A V.Security in Cloud Computing:Opportunities and Challenges[J].Information Sciences,2015(305):357-383.

[4] 姚軍光,翟乃強(qiáng),姜文化.淺析基于云火墻的網(wǎng)絡(luò)安全[J].青島遠(yuǎn)洋船員學(xué)院學(xué)報,2011(02):58-61.YAO Jun-guang,ZHAI Nai-qiang,JIANG Wenhua.Analysis Network Security Based On Cloud Firewall[J].Journal of Qingdao Ocean Shipping Mariners College,2011,32(02):58-61.

[5] 張學(xué)峰,劉祥深.云火墻在校園網(wǎng)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010(09):24-26.ZHANG Xue-feng,LIU Xiang-shen.The Application of Cloud Firewall in Network Security of Campus[J].Network Security Technology & Application,2010(09):24-26.

[6] 王李樂,李明,汪浩等.云WAF技術(shù)系統(tǒng)研究[J].等級保護(hù),2014(12):1-6.WANG Li-le,LI Ming,WANG Hao,et al.Research on Cloud WAF Systems[J].Netinfo Security,2014(12):1-6.

[7] 張志強(qiáng).SDN和NFV對網(wǎng)絡(luò)變革發(fā)展影響綜述[J].現(xiàn)代電信科技,2015(01):1-6.ZHANG Zhi-qiang.An Overview of the Impact of SDN and NFV on the Development of Network Transformation[J].Modern Science & Technology of Tele communications,2015(01):1-6.

[8] 趙慧玲,史凡.SDN_NFV的發(fā)展與挑戰(zhàn)[J].電信科學(xué),2014(08):13-18.ZHAO Hui-ling,SHI Fan.Development and Challenge of SDN/NFV[J].Telecommunications Science,2014(08):13-18.

[9] 何清,李寧,羅文娟等.大數(shù)據(jù)下的機(jī)器學(xué)習(xí)算法綜述[J].模式識別與人工智能,2014,27(04):327-336.HE Qing,LI Ling,LUO Wen-juan,et al.A Survey of Machine Learning Algorithms for Big Data[J].Pattern Recognition and Artificial Intelligen ce,2014,27(04):327-336.

[10] 黃宜華.大數(shù)據(jù)機(jī)器學(xué)習(xí)系統(tǒng)研究進(jìn)展[J].大數(shù)據(jù),2015,1(01):28-47.HUANG Yi-hua.Research Progress on Big Data Machine Learning System[J].Big Data Research,2015,1(01):28-47.

[11] 郭慶.激活云火墻殲滅網(wǎng)絡(luò)僵尸[J].信息安全與通信保密,2009(11):37.GUO Qing.Activate the Cloud Firewall Destroy Botnet[J].Information Security and Communications Privacy,2009(11):37.