软件定义安全：SDN-NFV新型网络的安全揭秘SoftwaredefinedsecurityinthenextgenerationinspiredbySDN-NFVtechnology.pdf

农夫三拳

32页

0次

2023-11-27

100墨值下载

序

软件定义网络（SDN）的发展之迅猛，超出所有人的预料。从2007年斯坦福大学的Ethane项目和普林斯顿大学的4D架构，

到如今数十亿美元并持续快速增长的市场规模，SDN冲破网络界长期以来愈发烦冗、日趋垄断的藩篱，为技术创新和产业发展打

开了一片新天地。SDN从象牙塔到投资潮前所未有的推进速度，也及时响应了云计算的呼唤。然而，正如互联网在成熟过程中所

揭示的那样，网络连通技术的每一次阶跃都需要网络安全技术的伴随。反之，用户采纳新技术时对安全性的疑虑，会使其普及遭

遇瓶颈。

SDN安全因而成为近年来学术研究和产业开发的热点。软件定义网络的安全性有什么特点？如何构建相应能力保护SDN安

全？如何利用SDN的优势提升网络的安全性？这些都成为SDN安全的研发内容，包括SDN的安全（Secure SDN或Security for

SDN）和软件定义的网络安全（SDN Security或Security by SDN）。我国SDN学术研究开展得较晚，2011年才在INFOCOM上有所

展示，但产业开发的进展很快，2012年就召开了“中国开放网络高峰会议”。尽管近几年国内已经出版了一些关于SDN的书籍，

但关于SDN安全较为全面的总结和介绍尚不多见。本书填补了这方面的空白，从学术前沿到实用案例，做了一番综合梳理的可贵

尝试，也凝结了作者的研发成果。

SDN从技术到市场仍处于成熟期的“前夜”，而SDN安全的研究和开发更是处于茁壮成长的婴儿期，在很多方面尚未达成共

识，标准化和商业化也还比较薄弱。然而，SDN引领未来网络发展的势头毋庸置疑，SDN安全更是面临着各种新兴网络的安全挑

战。网络的虚拟化与隔离、入侵与泄露的防范、攻击的抵御与缓解，特别是安全策略的动态有效管理，从架构到算法、从理论到

实践、从学术到产业，都还有很大的研发空间。虽然本书只是SDN安全技术的一个阶段性总结，但我相信它会成为业界向新的技

术前沿发起冲击的“加油站”，为SDN安全的蓬勃发展起到推动作用。

李军

清华大学研究员，博士生导师

清华大学信息科学技术学院常务副院长兼信息技术研究院院长

清华信息科学技术国家实验室副主任

前言

光阴荏苒，SDN和NFV等新的网络技术提出也不过短短数年。在这数年中，笔者见证了网络和安全圈的很多变化：从勒索软

件肆虐、DDoS产业化到网络保险初露端倪，从Target丑闻到数据泄露天天见，从Hacking Team武器库曝光到各种安全事件层出不

穷，从APT关注回落到威胁情报满天飞，从网信办成立、“三法”推出

[1]

到网络安全上升到国家战略，似乎每天都有“好戏”出

台。可以说，这是一个最坏的时代，也是一个最好的时代。信息安全从业者如果不能适应这些矛盾、拥抱这种变化，迟早会被淘

汰。

不仅安全业务日新月异，攻击手段也层出不穷，就连人们所依赖的基础设施也都在发生翻天覆地的变革。如果5年前人们对

云计算还尚存疑虑，那么现在人们使用手机享受云端服务时，似乎早已理所当然。而支撑这些SaaS应用的计算、存储和网络很可

能是虚拟形态的。Gartner公司的成熟度曲线早已指出，在不久的未来，SDN、NFV等新技术会重构现有的网络基础设施。那么如

何认识这些新技术，如何在这些新型网络环境中部署安全防护机制，都是给从业者提出的现实问题。

本书内容如下。

第1章介绍了SDN和NFV技术的基本概念和发展方向。

第2章从架构、协议、资源、应用和系统实现等方面阐述了SDN和NFV面临的风险和解决方法。

第3~5章依次介绍了软件定义安全的背景、概念和架构。

第6章从原理上介绍了使用SDN和NFV技术实现一些安全防护的功能。

第7章介绍了业内在SDN和NFV安全方面提出的思想和产品方案。

第8章介绍了国内外企业在软件定义安全方面所做的实践工作。

由于笔者水平有限，书中难免会有错误或表达不当之处，希望读者、专家指出，以便笔者修正，在此衷心感谢！

[1] “三法”是指《中华人民共和国刑法修正案（九）》《网络安全法（草案）》和《国家安全法》。

第1章　SDN和NFV：下一代网络的变革

1.1　什么是SDN和NFV

1.1.1　SDN/NFV诞生的背景

计算机网络的高速发展催生了海量的网络应用，而以TCP/IP协议为核心的互联网早已渗透到人们工作、生活的各个领域，

如信息化系统、搜索引擎、电子商务和社交网络等。随着网络用户数量的急剧增加，网络规模不断扩大，网络设备承载了过多复

杂的网络协议。由于传统网络设备大都以封闭硬件的形态交付和部署，网络中充斥着烟囱式产品形态的网络设备。因此，网络设

备的封闭性增加了网络定制与优化的难度，使得现有的计算机网络在丰富的网络应用面前，越来越突显其架构演进的局限性。

近年来，虚拟化与云计算技术的兴起给网络动态性提出了更高的要求。随着云计算和移动互联网技术的飞速发展，越来越多

的网络业务逐渐向云数据中心迁移，而网络流量也随之呈爆发式增长。根据思科《全球云指数（2013——2018）》

[1]

的预测：

全球数据中心的网络流量在2018年将达8.6ZB（1ZB=2

PB）；相较于传统数据中心，云数据中心的网络流量占比将从2013年

的54%提升至2018年的76%；从流量类型上看，74.5%的网络流量发生在数据中心内部。网络业务和流量的快速增长极大地提

高了云服务商对云数据中心网络，尤其是云数据中心内部网络的管理难度。另一方面，云计算以“租用”的方式改变了IT资源的

交付手段。租户对资源“按需申请”和“按使用付费”，使得部署在云数据中心网络中的各种资源处于持续改变的状态。网络拓

扑的动态性给网络运维人员带来了前所未有的管理挑战。

众多网络领域的学者认为，以TCP/IP为基础的传统自治的网络架构的弊端在多年的发展演进中逐渐显露，这些问题难以通

过打补丁的方式从根本上得到解决。因此，网络架构的重构势在必行。重构的新的网络体系架构一方面能够尽可能地考虑当前的

of 32

100墨值下载

软件定义安全

关注

评论