胡騰，李觀文，周華春

?

面向服務(wù)的數(shù)據(jù)中心安全框架

胡騰1，李觀文2，周華春2

（1. 中國工程物理研究院計算機(jī)應(yīng)用研究所，四川 綿陽 621900； 2. 北京交通大學(xué)電子信息工程學(xué)院，北京 100044）

隨著數(shù)據(jù)中心網(wǎng)絡(luò)在云計算領(lǐng)域的大規(guī)模商用，數(shù)據(jù)網(wǎng)絡(luò)的安全問題愈發(fā)受到重視。然而，由于傳統(tǒng)數(shù)據(jù)中心安全設(shè)備部署方式靜態(tài)僵化，難以滿足動態(tài)多變的網(wǎng)絡(luò)安全態(tài)勢，無法應(yīng)對新的安全威脅。因此，提出一種面向服務(wù)的數(shù)據(jù)中心安全框架?；谔摂M化技術(shù)和軟件定義網(wǎng)絡(luò)，將虛擬化的安全功能靈活組合，并實現(xiàn)安全策略動態(tài)更新的過程。通過原型系統(tǒng)測試驗證了所提安全框架的可行性和有效性，為數(shù)據(jù)中心網(wǎng)絡(luò)的靈活性和安全性提升提供了一種解決方案。

數(shù)據(jù)中心網(wǎng)絡(luò)；安全功能鏈；安全策略部署

1 引言

隨著云計算的發(fā)展與普及，數(shù)據(jù)中心規(guī)?；鲩L的需求與日俱增。但是，當(dāng)前網(wǎng)絡(luò)安全態(tài)勢十分嚴(yán)峻，數(shù)據(jù)中心網(wǎng)絡(luò)面臨的安全威脅更是不容忽視。Cisco 2017 數(shù)據(jù)中心安全研究報告[1]指出，88% 的數(shù)據(jù)中心管理者稱2016年收到的安全攻擊有所增多，而只有38% 的管理者認(rèn)為數(shù)據(jù)中心應(yīng)對安全威脅的能力較好。面對不斷增多的安全威脅，數(shù)據(jù)中心網(wǎng)絡(luò)需要更加靈活和動態(tài)的安全保障方案。

然而，面對復(fù)雜的網(wǎng)絡(luò)安全局勢，一方面，傳統(tǒng)數(shù)據(jù)中心安全設(shè)備集成度高、安裝部署復(fù)雜、更新成本大等局限，導(dǎo)致其難以有效應(yīng)對新的安全威脅和更多樣化的安全需求[2]；另一方面，云計算的應(yīng)用帶來更加個性化的用戶服務(wù)，也對數(shù)據(jù)中心安全提出更高的要求，過去靜態(tài)僵化的安全服務(wù)將無法滿足未來數(shù)據(jù)中心網(wǎng)絡(luò)動態(tài)靈活的安全需求[3,4]。因此，需要建立面向服務(wù)的數(shù)據(jù)中心按需安全框架。

逐漸成熟的NFV（network function virtualization，網(wǎng)絡(luò)功能虛擬化）技術(shù)[5]結(jié)合SDN（software- defined networking，軟件定義網(wǎng)絡(luò)）[6]，可以實現(xiàn)對網(wǎng)絡(luò)流量的靈活調(diào)度與網(wǎng)絡(luò)資源的動態(tài)組合。參考文獻(xiàn)[7]由此提出了一種移動目標(biāo)防御框架，實現(xiàn)靈活的數(shù)據(jù)中心安全防護(hù)，可以有效緩解多種安全攻擊。參考文獻(xiàn)[8]則基于SDN架構(gòu)提出一種分析網(wǎng)絡(luò)流量安全需求并部署相應(yīng)安全功能的框架。直到SFC（service function chaining，服務(wù)功能鏈）工作組[9]提出一種基于SDN/NFV的服務(wù)功能鏈架構(gòu)，將現(xiàn)有的基礎(chǔ)網(wǎng)絡(luò)功能進(jìn)行有序組合，首先提出在數(shù)據(jù)中心部署安全功能鏈[10]，以滿足未來數(shù)據(jù)中心網(wǎng)絡(luò)更加靈活、多樣化的安全需求。參考文獻(xiàn)[11]綜合考慮了當(dāng)前網(wǎng)絡(luò)面臨的主要安全威脅，總結(jié)了12種基本的網(wǎng)絡(luò)安全防御模式，提出針對不同類型安全威脅的安全功能鏈構(gòu)建方式，現(xiàn)已經(jīng)基本實現(xiàn)常見安全場景的覆蓋。參考文獻(xiàn)[12]進(jìn)一步將SFC的設(shè)計思想融入數(shù)據(jù)中心安全防護(hù)，通過動態(tài)調(diào)整流量的安全檢測路徑，適應(yīng)用戶動態(tài)的安全需求。然而，為應(yīng)對新的安全威脅，除了安全功能的動態(tài)組合，還需要安全策略的快速部署與及時更新。I2NSF（interface to network security function，網(wǎng)絡(luò)安全功能接口）工作組[13]提出一種安全策略部署框架，期望實現(xiàn)安全策略動態(tài)按需的管理，可以為數(shù)據(jù)中心網(wǎng)絡(luò)的安全管理員提供更加便捷、靈活的安全策略管理模式，有效降低安全策略，更新成本。然而，目前尚缺乏一種統(tǒng)一的數(shù)據(jù)中心安全框架，可以同時實現(xiàn)安全功能的靈活組合與安全策略的動態(tài)更新。

因此，本文結(jié)合I2NSF與SFC的設(shè)計思想，提出一種面向服務(wù)的數(shù)據(jù)中心安全框架。該架構(gòu)將傳統(tǒng)的基礎(chǔ)安全功能進(jìn)行虛擬化與資源池化，同時解耦控制層面與數(shù)據(jù)轉(zhuǎn)發(fā)層面，可以針對不同安全威脅靈活組合所需的安全功能，有效降低安全功能重新部署的成本，并支持?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)動態(tài)可變的安全需求。同時，采用面向服務(wù)的策略管理方法，降低數(shù)據(jù)中心網(wǎng)絡(luò)安全維護(hù)成本和網(wǎng)絡(luò)管理員的操作復(fù)雜度，從而提高策略配置的效率和正確性。

2 面向服務(wù)的安全框架

本框架采用虛擬化技術(shù)，將傳統(tǒng)網(wǎng)絡(luò)安全功能資源池化，實現(xiàn)對網(wǎng)絡(luò)中安全服務(wù)資源的統(tǒng)一管理和靈活調(diào)度。該框架基于安全功能鏈思想，根據(jù)用戶業(yè)務(wù)的特定需求，將多種安全功能進(jìn)行鏈?zhǔn)浇M合，并根據(jù)需要在各安全功能上部署相應(yīng)的安全策略，動態(tài)構(gòu)建所需的安全功能鏈。此外，考慮到用戶業(yè)務(wù)可能經(jīng)過分布式的多數(shù)據(jù)中心結(jié)構(gòu)，該框架可實現(xiàn)跨域的安全互聯(lián)，同時保障用戶側(cè)和數(shù)據(jù)側(cè)的安全。提出的面向服務(wù)的安全框架設(shè)計如圖1所示。

圖1 面向服務(wù)的安全框架設(shè)計

2.1 安全服務(wù)層

安全服務(wù)層致力于滿足網(wǎng)絡(luò)安全管理員的安全服務(wù)需求，并針對這些安全服務(wù)需求進(jìn)行安全服務(wù)的分類與安全策略的分配，確定網(wǎng)絡(luò)安全管理員所需的邏輯安全功能鏈。安全服務(wù)管理器實現(xiàn)從安全服務(wù)需求到邏輯安全功能鏈及相應(yīng)安全策略的匹配過程。

安全服務(wù)需求可以由網(wǎng)絡(luò)安全管理員手動配置，即先通過安全功能配置界面設(shè)定所需的安全功能，然后，跳轉(zhuǎn)到安全策略配置界面，根據(jù)安全功能的類型制定相應(yīng)的安全策略。安全服務(wù)管理器根據(jù)網(wǎng)絡(luò)安全管理員的配置生成邏輯的安全功能鏈，通過安全功能鏈配置接口交付給資源適配層的安全功能鏈管理器，安全策略則通過安全策略配置接口交付給安全策略管理器做進(jìn)一步處理。

2.2 資源適配層

資源適配層從安全服務(wù)層獲得網(wǎng)絡(luò)安全管理員所需的邏輯上的安全功能鏈與安全略，然后，分別交付給安全功能鏈管理器與安全策略管理器。其中，安全功能鏈管理器由安全適配模塊、容器管理模塊及流表管理模塊組成。

安全適配模塊首先解析安全服務(wù)層的邏輯安全功能鏈，匹配系統(tǒng)可提供安全功能實例資源，獲知所需安全功能的類型與具體數(shù)量，然后，向容器管理模塊發(fā)起資源請求。容器管理模塊可以基于當(dāng)前網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)（如計算節(jié)點(diǎn)的CPU利用率和鏈路擁塞情況）和已開啟的安全功能實例資源的負(fù)載狀態(tài)信息，選擇創(chuàng)建新的安全功能實例或重用已有安全功能實例。之后，容器管理模塊會返回所請求的安全功能實例的相關(guān)信息（如網(wǎng)絡(luò)位置信息）給安全適配模塊。安全適配模塊由此構(gòu)建完整的網(wǎng)絡(luò)拓?fù)湫畔?，并通告流表管理模塊。流表管理模塊據(jù)此建立該安全功能鏈對應(yīng)的完整的安全功能路徑配置信息。此外，容器管理模塊還可以動態(tài)調(diào)整安全功能實例資源，及時釋放空閑的網(wǎng)絡(luò)系統(tǒng)資源，提供系統(tǒng)資源的利用率。

安全策略管理器包括安全控制器和規(guī)則分發(fā)器，實現(xiàn)從面向用戶的安全策略向面向功能的安全規(guī)則轉(zhuǎn)換的翻譯過程與規(guī)則下發(fā)過程。面向用戶的安全策略由網(wǎng)絡(luò)安全管理員進(jìn)行配置，采用人類可讀的語言描述，卻無法直接由安全功能實例執(zhí)行，因此，需要安全控制器對其進(jìn)行一次策略翻譯，實現(xiàn)從面向用戶的安全策略到面向功能的安全規(guī)則的轉(zhuǎn)換過程。與此同時，安全策略管理器也會收到來自安全功能鏈管理器分配的安全功能實例的相關(guān)信息，以生成實際可部署的安全規(guī)則，并調(diào)用規(guī)則分發(fā)器下發(fā)這些安全規(guī)則到對應(yīng)的安全功能實例。

此外，資源適配層需要維護(hù)兩個數(shù)據(jù)庫，即安全功能信息庫（security function information base， SFIB）和安全策略信息庫（security policy information base，SPIB）。安全功能信息庫存儲網(wǎng)絡(luò)中所有的安全功能實例資源的相關(guān)信息，用于容器管理模塊動態(tài)查詢與更新。安全策略信息庫存儲所有的安全策略信息，并維護(hù)面向用戶的安全策略與面向功能的安全規(guī)則之間的映射關(guān)系。

2.3 數(shù)據(jù)轉(zhuǎn)發(fā)層

數(shù)據(jù)轉(zhuǎn)發(fā)層由兩類實體組成，分別是安全功能組件和路由轉(zhuǎn)發(fā)組件。

安全功能組件由容器管理模塊動態(tài)維護(hù)，負(fù)責(zé)提供安全功能實例資源。安全功能實例基于資源適配層的安全策略管理器下發(fā)的安全規(guī)則，對數(shù)據(jù)流執(zhí)行實際的安全處理。

路由轉(zhuǎn)發(fā)組件是數(shù)據(jù)流的基礎(chǔ)轉(zhuǎn)發(fā)設(shè)備，根據(jù)資源適配層的流表管理模塊下發(fā)的流表信息，對數(shù)據(jù)流執(zhí)行路由轉(zhuǎn)發(fā)操作。路由轉(zhuǎn)發(fā)組件包括分類器與轉(zhuǎn)發(fā)器。其中，分類器負(fù)責(zé)對不同數(shù)據(jù)流標(biāo)記相應(yīng)的SPI（service path ID，服務(wù)路徑標(biāo)識）并分配初始的SI（service index，服務(wù)索引值），而轉(zhuǎn)發(fā)器負(fù)責(zé)將數(shù)據(jù)流導(dǎo)入相應(yīng)的安全功能實例，并對經(jīng)過安全處理的數(shù)據(jù)流的SI執(zhí)行減一操作。

3 關(guān)鍵技術(shù)

該框架涉及的關(guān)鍵技術(shù)包括安全功能的靈活組合與安全策略的動態(tài)部署兩部分，分別介紹實現(xiàn)對應(yīng)功能的安全功能鏈管理系統(tǒng)與安全策略管理系統(tǒng)。

3.1 安全功能鏈管理系統(tǒng)

安全功能鏈管理系統(tǒng)涉及安全服務(wù)層的安全需求配置界面、資源適配層的安全功能鏈管理系統(tǒng)與數(shù)據(jù)轉(zhuǎn)發(fā)層的安全功能組件與路由轉(zhuǎn)發(fā)組件。安全需求配置界面基于OpenDaylight SFC項目[14]實現(xiàn)。

安全功能鏈管理器是面向服務(wù)的數(shù)據(jù)中心安全框架中控制平面的重要組成部分，實現(xiàn)虛擬網(wǎng)絡(luò)資源的動態(tài)管理與適配、安全功能實例的按需選擇或?qū)嵗?、安全功能路徑的動態(tài)創(chuàng)建與管理。安全功能鏈管理器的模塊組成如圖2所示。

安全功能鏈管理系統(tǒng)由安全適配模塊、容器管理模塊及流表管理模塊組成。由于虛擬化的安全功能采用容器技術(shù)實現(xiàn)，對應(yīng)的容器管理模塊采用Docker Swarm技術(shù)[15]管理網(wǎng)絡(luò)中可用的安全功能資源。Docker Swarm采用TCP與基礎(chǔ)設(shè)施網(wǎng)絡(luò)中的安全功能組件（計算節(jié)點(diǎn)）組成集群，同時為安全適配模塊提供了系統(tǒng)調(diào)用的接口。流表管理模塊基于OpenDaylight SFC項目開發(fā)，它采用OpenFlow協(xié)議管理數(shù)據(jù)轉(zhuǎn)發(fā)層中的路由轉(zhuǎn)發(fā)組件，支持網(wǎng)絡(luò)安全管理員通過Web界面配置邏輯安全功能鏈，同時也為安全適配模塊提供了RESTful接口調(diào)用?？紤]實際的安全功能鏈可能跨越多個數(shù)據(jù)中心域，擴(kuò)展了OpenDaylight SFC的跨域互聯(lián)功能，可生成跨域的轉(zhuǎn)發(fā)流表?；赑ython開發(fā)了安全適配模塊，它一方面負(fù)責(zé)從安全服務(wù)層獲得用戶或網(wǎng)絡(luò)安全管理員所需的邏輯上的安全功能鏈；另一方面，支持Docker Swarm與OpenDaylight SFC之間的通信與信息交互。

圖2 安全功能鏈管理系統(tǒng)設(shè)計

安全功能鏈管理系統(tǒng)的工作流程如下。

（1）網(wǎng)絡(luò)管理員通過安全需求配置界面定制所需的安全服務(wù)，生成邏輯的安全功能鏈。

（2）安全適配模塊采用系統(tǒng)調(diào)用的方式向容器管理器請求提供相應(yīng)的安全功能實例，后者基于當(dāng)前的資源信息，選擇已有的安全功能實例或創(chuàng)建新的安全功能實例，并返回所選實例的網(wǎng)絡(luò)信息。

（3）安全適配模塊調(diào)用RESTful接口向流表管理模塊通告該安全功能鏈的轉(zhuǎn)發(fā)配置。

（4）流表管理模塊利用OpenFlow協(xié)議向數(shù)據(jù)轉(zhuǎn)發(fā)層中的安全感知組件和路由轉(zhuǎn)發(fā)組件下發(fā)流表配置。

安全功能鏈管理系統(tǒng)的主要優(yōu)勢如下。

（1）支持安全功能的虛擬化及對應(yīng)實例的管理選擇

數(shù)據(jù)轉(zhuǎn)發(fā)層采用容器技術(shù)實現(xiàn)安全功能的輕量虛擬化，安全功能鏈管理器中容器管理模塊負(fù)責(zé)對這些虛擬化的安全功能實例進(jìn)行統(tǒng)一管理。容器管理模塊可以遠(yuǎn)程管理和控制每個計算節(jié)點(diǎn)的虛擬資源，根據(jù)系統(tǒng)運(yùn)行狀態(tài)和負(fù)載狀態(tài)動態(tài)創(chuàng)建、刪除安全功能實例。安全適配器可以調(diào)用容器管理模塊選擇所需的安全功能實例。

（2）支持?jǐn)?shù)據(jù)中心域內(nèi)的安全功能鏈自動化部署

安全功能鏈管理器的安全適配模塊可以獲得網(wǎng)絡(luò)拓?fù)湫畔⒉⒏嬷鞅砉芾砟K，由流表管理模塊根據(jù)安全功能鏈的路徑生成對應(yīng)的轉(zhuǎn)發(fā)流表，下發(fā)到數(shù)據(jù)轉(zhuǎn)發(fā)層。數(shù)據(jù)轉(zhuǎn)發(fā)層的路由轉(zhuǎn)發(fā)組件采用Open vSwitch軟件交換機(jī)[16]實現(xiàn)，可以實現(xiàn)安全功能鏈中的分類器與轉(zhuǎn)發(fā)器。通過安全功能鏈管理器下發(fā)流表到Open vSwitch，可以實現(xiàn)數(shù)據(jù)中心域內(nèi)安全功能鏈的自動化部署。

（3）支持跨數(shù)據(jù)中心域的安全功能鏈部署

擴(kuò)展數(shù)據(jù)攜帶的頭部信息，可存儲數(shù)據(jù)流跨數(shù)據(jù)中心域轉(zhuǎn)發(fā)時所需的SPI/SI信息，并擴(kuò)展OpenDaylight SFC，實現(xiàn)控制層面對跨域轉(zhuǎn)發(fā)邏輯的支持。通過預(yù)定義跨域所需的SPI/SI信息，可以支持在多數(shù)據(jù)中心域中自動化部署安全功能鏈。

3.2 安全策略管理系統(tǒng)

安全策略管理系統(tǒng)涉及安全服務(wù)層的安全策略配置界面、資源適配層的安全策略管理器和數(shù)據(jù)轉(zhuǎn)發(fā)層的安全功能組件。

安全策略管理器基于I2NSF控制平面設(shè)計，可以實現(xiàn)網(wǎng)絡(luò)安全管理員通過Web界面手動配置具體的安全策略，并通過安全控制器下發(fā)到格式化的策略到制定的安全功能組件。安全策略管理器的基本工作流程如圖3所示。

圖3 安全策略管理系統(tǒng)設(shè)計

安全策略管理系統(tǒng)由用戶界面和安全控制器組成。用戶界面為網(wǎng)絡(luò)安全管理員提供可視化的安全策略配置界面，可指定所需安全服務(wù)類型與策略。安全控制器實現(xiàn)面向用戶的安全策略到面向功能的安全規(guī)則的翻譯過程，并實現(xiàn)安全規(guī)則的自動化下發(fā)過程。

安全策略管理系統(tǒng)的工作流程如下。

（1）網(wǎng)絡(luò)安全管理員通過Web界面制定特定安全功能的安全策略，將策略存入安全策略信息庫，同時發(fā)送給安全控制器。

（2）安全控制器根據(jù)安全功能鏈管理器提供的安全功能實例信息，將收到的面向服務(wù)的安全策略翻譯為面向功能的安全規(guī)則，并對其進(jìn)行XML格式化。

（3）安全控制器調(diào)用規(guī)則分發(fā)器將格式化的策略配置通過Netconf協(xié)議發(fā)送到安全功能實例上。

安全策略管理系統(tǒng)的主要優(yōu)勢如下。

（1）支持動態(tài)策略更新

因為靜態(tài)設(shè)置的數(shù)據(jù)編號，過去同一安全對象的安全策略無法進(jìn)行更新，而這將不利于本地的策略維護(hù)與多域策略協(xié)同處理。因此，應(yīng)采用時間相關(guān)函數(shù)為安全策略分配動態(tài)編號，初步實現(xiàn)本地策略更新功能。

（2）支持多數(shù)據(jù)庫同步

考慮多域安全策略共享與查詢問題，控制平面采用可集群部署的數(shù)據(jù)庫存儲域內(nèi)的安全策略。由于Redis數(shù)據(jù)庫[17]可以快速實現(xiàn)集群的部署且擁有較好的數(shù)據(jù)同步功能，因此，應(yīng)選用Redis數(shù)據(jù)庫作為安全策略數(shù)據(jù)庫。

4 系統(tǒng)驗證

為驗證提出的面向服務(wù)的數(shù)據(jù)中心安全框架，本文基于OpenStack[18]建立虛擬化的測試床，參考SFC工作組草案[10]給出的多數(shù)據(jù)中心環(huán)境下的多SFC域互聯(lián)場景，建立如圖4所示的系統(tǒng)驗證場景。

該場景中，數(shù)據(jù)中心1構(gòu)成一個云辦公平臺，可以為不同用戶提供定制化和安全的云辦公環(huán)境。而數(shù)據(jù)中心2通過虛擬化技術(shù)整合底層設(shè)施資源，可以為多個用戶同時提供應(yīng)用層服務(wù)。每個數(shù)據(jù)中心域內(nèi)采用SDN/NFV技術(shù)搭建傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)的fat-tree拓?fù)?。由于兩?shù)據(jù)中心地理位置相距較遠(yuǎn)，數(shù)據(jù)中心1的用戶可通過互聯(lián)網(wǎng)遠(yuǎn)程訪問數(shù)據(jù)中心2中的服務(wù)資源。假定某一云辦公平臺用戶希望訪問位于數(shù)據(jù)中心2中的某種特定服務(wù)資源，則該用戶的數(shù)據(jù)請求與傳輸需要跨域兩個不同的數(shù)據(jù)中心。為保障整個通信過程的安全，需要為該用戶的服務(wù)流建立一條跨域的安全功能鏈。其中，每個數(shù)據(jù)中心的接入層和匯聚層的虛擬交換機(jī)與核心層交換機(jī)均可視為轉(zhuǎn)發(fā)器，入口/出口網(wǎng)關(guān)作為分類器，而安全功能實例則通過容器方式在虛擬交換機(jī)上按需開啟。該場景中的安全功能鏈需要跨兩個數(shù)據(jù)中心域，同時，保護(hù)用戶側(cè)和數(shù)據(jù)側(cè)安全。其中，用戶側(cè)包括用于流量監(jiān)控的入侵檢測系統(tǒng)和進(jìn)行內(nèi)部防護(hù)的防火墻，數(shù)據(jù)側(cè)則包含阻止外部入侵的防火墻與用于DDoS攻擊緩解的入侵檢測服務(wù)。兩側(cè)安全功能實例分別部署在靠近用戶側(cè)和數(shù)據(jù)側(cè)的虛擬交換機(jī)上。

圖4 系統(tǒng)驗證場景

為驗證提出的面向服務(wù)的數(shù)據(jù)中心安全框架，首先，通過安全服務(wù)管理器的配置界面部署該安全功能鏈，包括兩個防火墻（FW）功能與兩個入侵檢測（IDS）功能。其中，左側(cè)的防火墻與入侵檢測系統(tǒng)位于數(shù)據(jù)中心1，右側(cè)的防火墻與入侵檢測系統(tǒng)位于數(shù)據(jù)中心2。安全功能鏈管理器根據(jù)安全需求分配安全功能鏈，并自動生成相應(yīng)的SPI為165，如圖5所示。其中，防火墻功能由iptables軟件[19]實現(xiàn)，入侵檢測功能由Snort軟件[20]實現(xiàn)。

圖5 安全功能鏈配置界面

通過安全功能鏈管理系統(tǒng)對該安全功能鏈進(jìn)行解析，并下發(fā)相應(yīng)流表到對應(yīng)的虛擬交換機(jī)上，以深度分組檢測為例，其流表配置如圖6所示。

圖6 將數(shù)據(jù)流導(dǎo)入入侵檢測功能的流表項

從圖6中可以看到，交換機(jī)接收到數(shù)據(jù)流后，通過流表逐條匹配SPI為165（流表項中表示為nsp）且SI為255（流表項中表示為nsi）的數(shù)據(jù)流。由于255為SI初始值，可以獲知需要該數(shù)據(jù)流需要經(jīng)過第一個安全攻能，即入侵檢測功能。然后匹配最終的流表條目，通過基于NSH（network service header，網(wǎng)絡(luò)服務(wù)報頭）的SFC流轉(zhuǎn)發(fā)方式[21]，將數(shù)據(jù)流轉(zhuǎn)發(fā)到入侵檢測功能實例中。類似地，由于經(jīng)過入侵檢測功能處理后的數(shù)據(jù)流的SI值會減一（即SPI仍為165，SI為254），通過匹配如圖7所示流表，以類似方式轉(zhuǎn)發(fā)數(shù)據(jù)流至下一跳交換機(jī)。

圖7 處理從入侵檢測功能流出數(shù)據(jù)的流表項

安全功能鏈系統(tǒng)通過解析網(wǎng)絡(luò)安全管理員配置的安全需求，自動向每個轉(zhuǎn)發(fā)器下發(fā)類似的流表，從而實現(xiàn)數(shù)據(jù)流在整個安全功能路徑內(nèi)的轉(zhuǎn)發(fā)操作，確保數(shù)據(jù)流可以依次經(jīng)過每個所需的安全功能實例。

安全功能鏈確定后，還要根據(jù)安全需求設(shè)定相應(yīng)的安全策略。以該安全功能鏈中的入侵檢測功能為例，首先，通過安全策略配置界面中的安全功能選擇頁面，選擇需要配置策略的安全功能的類型，如圖8所示。

圖8 安全功能選擇界面

然后，可以看到如圖9所示安全策略詳細(xì)配置界面。在這里，網(wǎng)絡(luò)安全管理員可以定義該策略的名稱、策略的匹配項目和所需要執(zhí)行的安全行為。對于入侵檢測功能，這里定義檢測到源IP地址為10.0.0.24的數(shù)據(jù)流后進(jìn)行告警操作。

配置好后選擇提交，即可完成該功能的策略配置過程，后續(xù)的策略翻譯與下發(fā)均由安全策略管理系統(tǒng)自動完成。其中，安全策略管理系統(tǒng)基于Cisco的ConfD引擎[22]實現(xiàn)Netconf協(xié)議傳輸配置好的策略，在安全功能實例上可以實時看到策略接收過程，如圖10所示。此外，其他安全功能的策略配置過程也是類似的，此處不再贅述。

圖9 入侵檢測配置界面

圖10 入侵檢測功能實例的策略接收過程

此外，還可以通過如圖11所示的安全功能日志選項，查看已配置好的安全策略，為網(wǎng)絡(luò)安全管理員后續(xù)添加或修改安全策略做參考，避免錯誤配置或重復(fù)配置。

圖11 安全策略配置日志

最后，配置好的入侵檢測系統(tǒng)策略被部署到入侵檢測功能實例上。由于本文采用的入侵檢測功能實例由Snort實現(xiàn)，可以看到如圖12所示的Snort規(guī)則文件中存在新配置的條目，證明該安全策略已成功配置。

圖12 入侵檢測功能的規(guī)則文件

5 結(jié)束語

本文考慮到現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)靜態(tài)僵化的安全部署方案難以有效地應(yīng)對日趨多樣化的安全威脅，提出一種面向服務(wù)的數(shù)據(jù)中心網(wǎng)絡(luò)安全框架，將網(wǎng)絡(luò)安全功能進(jìn)行虛擬化后統(tǒng)一管理；設(shè)計相應(yīng)的安全功能管理與安全策略下發(fā)系統(tǒng)，以實現(xiàn)安全功能的靈活組合與安全策略的動態(tài)更新。通過原型系統(tǒng)測試，驗證提出的安全框架可以滿足未來數(shù)據(jù)中心網(wǎng)絡(luò)更加靈活、個性的安全需求。

[1] Cisco. Cisco Data Center Security Study[R]. 2017.

[2] 韋樂平. SDN的戰(zhàn)略性思考[J]. 電信科學(xué), 2015, 31(1): 7-12.

WEI L P. Strategic thinking on SDN [J]. Telecommunications Science, 2015, 31(1): 7-12.

[3] 王歆平, 王茜, 劉恩慧, 等. 基于SDN的按需智能路由系統(tǒng)研究與驗證[J]. 電信科學(xué), 2014, 30(4): 8-14.

WANG X P, WANG Q, LIU E H, et al. Research and verification on SDN-based on-demand smart routing system [J]. Telecommunications Science, 2014, 30(4): 8-14.

[4] 李丹, 劉方明, 郭得科, 等. 軟件定義的云數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)理論與關(guān)鍵技術(shù)[J]. 電信科學(xué), 2014, 30(6): 48-59.

LI D, LIU F M, GUO D K, et al. Fundamental theory and key technology of software defined cloud data center network [J]. Telecommunications Science, 2014, 30(6): 48-59.

[5] HAN B, GOPALAKRISHNAN V, JI L, et al. Network function virtualization: challenges and opportunities for innovations[J]. IEEE Communications Magazine, 2015, 53(2): 90-97.

[6] NICK M, TOM A, HARI B, et al. OpenFlow: enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74.

[7] CHUNG C J, XING T, HUANG D, et al. SeReNe: on establishing secure and resilient networking services for an SDN-based multi-tenant datacenter environment[C]// IEEE International Conference on Dependable Systems and Networks Workshops, June 22-25, 2015, Rio de Janeiro, Brazil. Piscataway: IEEE Press, 2015.

[8] AMMAR M, RIZK M, ABDEL-HAMID A, et al. A framework for security enhancement in SDN-based datacenters[C]//2016 8th IFIP International Conference on New Technologies, Mobility and Security, November 21-23, 2016, Larnaca, Cyprus. Piscataway: IEEE Press, 2016.

[9] JOEL H, CARLOS P. Service function chaining, RFC Editor, October 2015[R/OL]. (2015-10-01)[2017-11-14]. https://www. rfc-editor.org/rfc/rfc7665.txt.

[10] KUMAR S, TUFAIL M, MAJEE S, et al. Service function chaining use cases in data centers. Internet-Draft draft-ietf- sfc- dc-use-cases-06[RB/OL]. (2017-01-01)[2017-11-14]. http://www. ietf.org/internet-drafts/draft-ietf-sfc-dc-use-cases-06.txt.

[11] LEIVADEAS A, FALKNER M, LAMBADARIS I, et al. Resource management and orchestration for a dynamic service chain steering model[C]//IEEE Global Communications Conference, December 4-8, 2016,Washington, DC, USA. Piscataway: IEEE Press, 2016.

[12] WANG X, LIU Z, LI J, et al. Tualatin: towards network security service provision in cloud datacenters[C]//2014 3rd International Conference on Computer Communication and Networks, August 4-7, 2014, Shanghai, China. Piscataway: IEEE Press, 2016.

[13] LOPEZ D, LOPEZ E, DUNBAR L, et al. Framework for interface to network security functions. Internet-Draft draft- ietf-i2nsf-framework-08, IETF Secretariat, October 2017[R/OL]. (2017-10-10)[2017-11-10]. https://www.ietf.org /archive/id/draft- ietf-i2nsf-framework-08.txt.

[14] OpenDaylight SFC project [EB/OL]. (2016-10-21)[2017-11-10]. https://github.com/opendaylight/sfc.

[15] Docker [EB/OL]. (2017-01-01)[2017-11-10]. https://www. docker.com.

[16] Open vSwitch [EB/OL]. (2016-01-01)[2017-11-10]. http:// openvswitch.org.

[17] Redis [EB/OL]. (2017-01-01)[2017-11-10]. https://redis.io.

[18] Openstack [EB/OL]. (2017-01-01)[2017-11-10]. https://www. openstack.org.

[19] Iptables [EB/OL]. (2014-01-01)[2017-11-10]. http://www.netfilter.

org/projects/iptables/index.html.

[20] Snort [EB/OL]. (2017-01-01)[2017-11-10]. https://www. snort.org.

[21] PAUL Q, URI E, CARLOS P. Network service header (NSH): Internet-Draft draft-ietf-sfc-nsh-28[EB/OL]. (2017-11-03) [2017-11-10]. http://www. ietf.org/internet- drafts/draft-ietf-sfc- nsh-28.txt.

[22] Conf D[EB/OL]. (2017-01-01)[2017-11-10]. http://developer. cisco.com/site/confd.

Service-oriented security framework for datacenter networks

HU Teng1, LI Guanwen2, ZHOU Huachun2

1. Institute of Computer Application, China Academy of Engineering Physics, Mianyang 621900, China 2. School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China

With the large-scale deployment of datacenters in cloud computing, there is an increasing attention to their security issues. However, with the ossify deployment of traditional security devices, it is hard to meet the requirements of dynamical network security situation and copy with new kinds of security threats. Therefore, a service-oriented security framework for datacenter networks was proposed, which was able to compose the virtualized security functions flexibly and update the security policies dynamically based on virtualization technology and software-defined networking. With the implementation of prototype, the feasibility and availability of the proposed security framework was proved, and a solution to promote the flexibility and security of datacenter networks was provided.

datacenter network, security function chaining, security policy deployment

TP393

A

10.11959/j.issn.1000?0801.2018031

2017?11?14；

2017?12?13

NSAF聯(lián)合基金資助項目（No. U1530118）；國家自然科學(xué)基金資助項目（No. 61271202）；國防基礎(chǔ)科研基金資助項目（No. JCKY2016212C005）

NSAF (No. U1530118), The National Natural Science Foundation of China(No. 61271202), National Defense Basic Scientific Research Program of China(No. JCKY2016212C005)

胡騰（1988?），男，中國工程物理研究院計算機(jī)應(yīng)用研究所工程師，主要研究方向為計算機(jī)技術(shù)與信息安全。

李觀文（1992?），男，北京交通大學(xué)電子信息工程學(xué)院博士生，主要研究方向為軟件定義網(wǎng)絡(luò)與網(wǎng)絡(luò)安全。

周華春（1965?），男，博士，北京交通大學(xué)電子信息工程學(xué)院教授、博士生導(dǎo)師，主要研究方向為移動互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全與衛(wèi)星網(wǎng)絡(luò)。