基于SDN和NFV技術的網絡安全架構

曹鑫， 范國瑨， 王昊辰

(國網陜西省電力公司西咸新區供電公司，陜西，咸陽 712000)

0 引言

新一代的網絡主要基于軟件定義網絡(SDN)和網絡功能虛擬化(NFV)實現[1-2]。SDN將網絡設備的控制層和數據層分開。網絡不僅可以完成數據傳輸的任務，而且可以成為一種靈活的資源，經過虛擬化后可以作為計算和存儲資源進行部署。而NFV使軟件和硬件脫鉤，因此網絡設備功能不再依賴于特殊的硬件。基于此的虛擬化技術和功能抽象實現了基于實際業務需求的網絡功能軟件、新業務的快速發展和部署、自動部署、彈性擴展、故障隔離自我修復等功能。2015年，綠盟科技有限公司的軟件定義安全系統支持apt、云Web安全、自適應訪問控制、信息混合環境中的態勢感知和其他安全應用[3]。華為的SNC控制器可以提供端到端的完整解決方案，以幫助運營商快速部署SDN網絡，減少OPEX，快速部署新服務并加速業務創新[4]。但是，目前所提出的封閉系統仍然是單一的安全產品和解決方案，缺乏情報威脅分析和處理，無法提供真正的定制產品，并且檢測和深度數據挖掘機制無法找到真正的威脅。

本文提出了一種標準且開源的、用戶定義的新型網絡架構，該架構可以為許多安全產品和服務提供商提供一個可協調、可互操作、可控制的安全平臺，并為軟件定義安全提供了參考體系結構和藍圖。

1 基于SDN/NFV技術的軟件定義安全體系架構設計

SDS基礎架構圖，如圖1所示。整體上分為3個層次：安全應用層、安全控制層和基礎設施。其中，安全應用層即為安全App所在層次，App通過接口實現對安全控制和有關操作。基礎設施層包括了云平臺以及其相關的資源集合(主要是虛擬機)、安全資源池(CPU、內存、帶寬等軟硬件資源)。安全控制層是SDS架構的核心部分，下面將對該部分展開詳細介紹。

圖1 SDS基礎架構圖

基于NFV技術的虛擬安全資源池：基于NFV的思想，我們將安全產品的硬件與軟件分開，并在虛擬化池環境中運行它。

利用虛擬交換機實現導流平臺導流：利用部署在云環境中的分流虛擬機，將流量導出到云外網絡安全控制層的虛擬交換機中。

利用虛擬路由器實現流量分類：網絡安全控制層的虛擬路由管理器可以根據應用層發布的流量牽引策略設計流量分類策略，然后將流量分類策略發送給流量分類虛擬路由器。

虛擬安全功能(VSF)：VSF用來描述網絡中處理流量的安全功能，如防火墻、入侵檢測系統(IDS)、入侵防御系統(IPS)、負載平衡等。

安全服務功能鏈(SSFC)：安全服務功能鏈是將虛擬安全功能(如防火墻、入侵檢測系統、代理、入侵防御系統等)以鏈的形式連接起來，用于流量分類[5]。

安全服務功能路徑(SSFP)：SSFP是SSFC中包/幀從源到目標的邏輯路徑經過細粒度策略和操作約束后的結果。SSFP的優點是SSFC中的VSF模塊可以按照粒度策略和操作約束執行，而不需要改變SSFC的拓撲結構[6]。

網絡安全策略管理和流量牽引策略管理：在本系統中，PGA[7-8]負責安全策略管理模塊和流量牽引策略管理。在大型企業網的數據測試中，PGA表現出良好的數據處理能力和良好的時延，驗證了PGA的可行性[9]。

虛擬安全功能管理器(VSFM)：主要是負責虛擬安全功能的相關資源和生命周期管理。

虛擬安全基礎設施管理器(VSIM)：虛擬安全基礎設施(VSI)包括虛擬化層(如docker和虛擬交換機)[10]和物理資源(如服務器、交換機和計算、存儲和網絡資源)。而VSIM的主要功能是管理和監控整個基礎設施資源(包括硬件資源和虛擬資源)。

虛擬安全功能適配器(VSFO)：主要功能是創建虛擬網絡和網絡安全服務、監控虛擬網絡安全服務、編排虛擬網絡安全功能拓撲、VSFs和整體資源管理，它是整個SDS的控制核心結構。

應用層：安全控制層為應用層用戶提供編程接口，用戶可以控制網絡。

2 系統安全分析

系統不同部分的安全問題羅列如表1所示。假設系統包括了P個漏洞組，每個組np個成員；每個易受攻擊的組中的漏洞表述為Vp:{vp，1,vp,2,…….,vp,np}；每個漏洞組的用戶配置描述為Cp:{cp，1,cp,2,…….,cp,mp}；使用映射函數為πp，它將各個系統的配置和一組漏洞相關聯，其表述為πp:Cp→2vp。

表1 與系統不同部分相關的安全問題

配置和攻擊傳播序列如圖2所示。

圖2 配置和攻擊傳播序列

在圖2中，有6個漏洞組：p=1,2,3,4,5,6。每個漏洞組有2-4個漏洞。對于漏洞組1有4個可能的靈活性配置：C1:{c1，1,c1,2,c1,3,c1,4}。如圖2 ，配置方案我們選擇c1,4，其向攻擊者暴露了2個系統漏洞π1(c1,4)={v1,1,v1,2}。在配置方案{c1，1,c2,4,c3,5,c4,8,c5,2,c6,3}中，攻擊者可以成功的通過漏洞完成攻擊，如{v1，1,v2,1,v3,1,v4,1,v5,1,v6,2}。

如果系統配置方案保持靜態，攻擊者總有一刻可能攻擊成功。為了避免上述情況，防御者可以通過更改配置方案使得攻擊者基于原始網絡配置的攻擊計劃在新配置下失敗。防御者可以隨機配置系統中所有易受攻擊的組件，以抵抗多層次攻擊。

3 總結

正如文獻[5]的作者所說，軟件定義安全只是一種思考。也就是說，當分析不同SDS產品的不同實現時，我們不應該深究細節，而應該思考“如何提高這種架構的整體安全保護效率”。國內外很多廠商都推出了自己的SDS產品，我們需要一個類似于網絡安全操作系統的開放平臺。