基于NFV的網絡安全技術研究

劉曉童

（山東青年政治學院，山東 濟南 250103）

0 引言

當今社會，網絡技術日益成熟，線上購物、網上外賣、共享經濟等新型業態發展速度日益加快，民眾對網絡的依賴度日益增加，我國有關部門為進一步加快社會發展速度，針對網絡制定了具體的政策法規，使得我國網民數量進一步增加。但是由于網民數量不斷增加，網絡安全問題出現的頻率也不斷增加，對我國的發展造成了嚴重影響。NFV技術可以提高網絡安全性，備受研究人員關注。但是與之前所不同的是，伴隨網絡的不斷發展，網絡安全問題也在向多樣化方向發展，基于此，如何發揮NFV技術最大價值成了有關人員的重點關注內容。

1 NFV技術

在之前，網絡運營商需要借助專業物理設備提供網絡服務，對硬件基礎設施、服務功能以及網絡拓撲等因素提出了較高要求，與當今社會發展需求不符，在此背景下，NFV技術應運而生［1］。NFV技術本質為借助IT虛擬化技術對網絡環境進行虛擬化處理，提高各功能模塊的緊密性，開發新業務，以滿足客戶所提需求。NFV技術最早出現在2012年，由歐洲電信標準協會提出，之后被廣泛應用在行業當中［2］。與傳統網絡技術相比，NFV技術具有成本低、利潤高等優點，在實際的應用過程中主要具備以下3大優勢：

(1）可以對軟硬件進行解耦處理。

NFV虛擬網元設備不再依賴專用硬件設施，軟件服務與硬件設備被劃分為兩個獨立個體，使得ISP空間得到了進一步擴大，在開發NFV與服務鏈時擁有更多可能性。

(2）網絡部署功能靈活性更好。

傳統網絡需要借助專用硬件設備方可完成網絡部署，在部署完成后，調整難度較高［3］。但是借助NFV技術則可以消除此類困擾，工作人員僅需要根據自身需求調整網元結構就可獲得全新網絡部署。

(3）業務編排更加集中。

NFV架構可以滿足集中式控制器業務編排方式，可以根據用戶需求對其提供針對性服務，提高服務質量［4］。

通常情況下，NFV架構主要由3部分組成，分別是NFV基礎設施層、虛擬網絡功能層以及管理編排層，具體架構形式如圖1所示。

圖1 NFV基本架構

其中，基礎設施層(NFVI）內部包括完成NFV部署構建的虛擬化層與物理硬件資源，以確保NFV可以連接各個物理位置，及時傳遞運行所需虛擬資源，滿足客戶需求；虛擬網絡功能層(VNFs）主要功能為實現VNF模塊定制化，以用戶所提需求為基礎，借助ISP將VNF組合成不同形式；管理與編排層，在VNF技術中，此結構扮演“管理者”角色，協調內部所擁有資源，由NFV協調器、VNF管理器以及虛擬化基礎架構管理器3部分組成［5］。

2 基于NFV網絡的試驗系統及分析

2.1 NFV試驗網絡

為了還原現實網絡環境，保證測量精準度，筆者開展了虛擬化環境構建工作，以提高后續試驗精度。

首先，借助Brite拓撲生成器構建一個符合冪律分布規律的簡單網絡拓撲，并以Linux Container為切入點完成NFV網絡NETI試驗環境搭建。其次，為提高網絡環境真實性，筆者還在其中加入了由D-ITG生成的泊松分布式背景流量，并參考Quagga完成網橋構建、路由協議參數確定。最后，在網絡邊緣布置虛擬中間盒(VMB），所部署VMB由LXC與多功能VNF構成，不僅可以滿足多種網絡測量方式，還具有可控性高、測量難度低、易于觀察等優點，屬于理想測試場所［6］。

在開始試驗前，筆者以網絡攻防定量分析環境為基礎，結合NETI完成了LDDoS環境構建，其內部擁有邊界設備6個(R1~R6）、路由器24個(n1~n24），同時各個路由器均屬于開放式最短路徑，運行期間遵循OSPF協議完成選路工作。

2.2 試驗及分析

為保證實際工作質量，筆者針對兩種不同情況展開了具體實驗，供相關人員參考使用。

2.2.1 試驗1

攻擊周期T與RTO同步。實現攻擊周期T與RTO同步是LDDoS形成的關鍵。在具體試驗中，LDDoS會同時輸送多個攻擊脈沖能力，并在一定時間內進行周期性重復。同時，筆者應提高對可以決定攻擊效果的攻擊周期T的關注度，借助如下4個公式完成攻擊數據計算：

2.2.2 試驗2

攻擊周期T與RTO不同步。在試驗中，筆者為驗證“攻擊同步是形成LDDoS的關鍵”這一說法的準確性，特設計了對比試驗，即攻擊周期T與RTO不同步。需要注意的是，在此試驗中，雖然攻擊源傳遞攻擊小流的時間存在差異，但是所傳遞的攻擊小流均為獨立個體。試驗結果表明，“攻擊同步是形成LDDoS的關鍵”這一說法成立［7］。

3 基于NFV網絡平臺的拓撲探測與評價方法

3.1 網絡拓撲探測及還原方法

對NFV網絡進行測量，假設網絡環境穩定且處于理想情況，則不存在探測主機同步困難問題，在此時，僅需要針對主流traceroute進行選擇測量即可，并且還可以在網絡邊界設備部署多個測量點NFV，以加快測量效率［8］。在之后，筆者應借助對稱路徑測量技術對網絡內部路由器節點接口與鏈路進行分析，完成網絡拓撲還原。其測量結果分為以下兩步。

3.1.1 測量數據預處理

首先，對自動獲取VNF所收集的traceroute路徑數據進行分析，然后將其以key、網絡節點IP等形式進行存儲，完成路徑信息表繪制，最后結合整理情況對其進行補齊處理。需要注意的是，由于所選擇NFV網絡使用OSPF路由協議，在實際探測中工作人員需面臨均衡負載問題，因此為保證探測結果的準確性，需要對其進行消除處理。OSPF路由協議均衡負載問題為在路由選擇過程中，路由器判斷鏈路為負載狀態，當遇到權值相同的兩條鏈路時，如果一條鏈路存在復雜，則數據會在另一條鏈路中傳遞，以至于對traceroute所獲取數據準確性造成影響，進而對別名解析模塊造成影響，導致所生成拓撲與實際拓撲不符［9］。在實際工作中，工作人員應借助KAPAR消除負載算法完成數據修正。

3.1.2 別名解析

以對稱路徑為切入點，對已完成預處理的路由信息表進行別名解析。以預處理路徑完成對稱路徑選擇，可以獲得兩條長度相等、路徑首尾節點相等的路徑。對所獲得兩條路徑首尾節點進行分析，并對其進行命名，然后將其收錄到IP地址別名表中，可以降低拓撲還原難度。

3.2 網絡拓撲探測及評價方法

在使用網絡拓撲進行拓撲信息還原時，需要借助定量評估拓撲探測水平方法，對所獲得的探測結果數據與實際網絡拓撲數據進行對比處理，分析網絡拓撲關鍵指標的真實性。在實際工作中，筆者需要借助層次分析法，對網絡拓撲各屬性關系，構建綜合網絡拓撲評估模型，以判斷探測者網絡拓撲探測能力。

首先，分析網絡拓撲屬性關聯，了解屬性分類以及重要性，構建網絡拓撲分析模型。其中網絡拓撲屬性指標主要包括：節點連通度、節點重要性、鏈路數、路徑長度等，在分析網絡拓撲屬性時，需要參考屬性參數關聯性；其次，筆者對所收集探測拓撲數據與NFV網絡實際拓撲數據進行對比處理；最后，選擇具有較高權威性的綜合評價方法對探測結果進行定量分析，提高了分析結果的準確度，降低了后續工作開展難度［10］。

需要注意的是，影響網絡拓撲探測完整性的因素有很多，因此供筆者選擇的AHP方法也有很多，基于此，在實際選擇時，應結合自身專業素質，選擇最終的網絡拓撲參數，完成網絡探測能力全面評價，完成樹狀多層次指標構建。

借助指標層次結構，筆者可以對元素重要性進行分析，完成判斷矩陣，并借助數值量化法分析其重要性。在實際測試中，借助aij代表指標i與對比指標j的相對重要性，具體取值方法以1~9標度方法與拓撲屬性系數相結合。

3.3 基于NFV網絡的試驗系統及分析

3.3.1 基于NFV網絡的拓撲測量評估環境

為幫助技術高效、優質地完成網絡拓撲探測能力評估，在測試過程中，筆者為探測者營造出可測量的NFV網絡試驗環境。

在實際探測過程中，筆者以邊界開放接口為切入點，結合實際情況選擇網絡探測方法，然后完成VMB拓撲探測部署。在探測結束后，筆者應使用所獲得測量數據對拓撲進行還原處理，以獲得綜合評分，用于分析網絡拓撲探測能力。

3.3.2 網絡拓撲探測及評價試驗

為驗證前文所提供網絡拓撲探測方法及綜合評價方法準確性，筆者構建了兩種不同規模的NFV原型系統場景。

(1）場景一。在此場景中，筆者所布置拓撲由10個內部路由構成，其測試結果如表1所示。

表1 場景一拓撲探測及評價結果

(2）場景二。在此場景中，筆者所布置拓撲由32個內部路由構成，其測試結果如表2所示。

表2 場景二拓撲探測及評價結果

針對探測結果進行分析可知，伴隨NFV網絡環境規模復雜程度不斷提高，實際復原能力將呈下降趨勢。即在之后的工作中，有關人員應加大研究力度，對此項技術進行優化升級。

4 結語

現階段，網絡安全問題成了民眾重點關注內容，由于其具有復雜性特點，因此在實際工作中，技術人員必須學會實際問題實際分析，選擇最合適的處理手段，在面對復雜型難題時，應嘗試借助技術引進方式進行解決。雖然應用NFV技術可以提高網絡安全性，但是通過本文研究發現，此項技術仍然存在較大提升空間，有關人員應加大研究力度，挖掘其潛力。