一種資源池+SDN引流的安全云專線技術(shù)

馬劍光，甘小強，陳 誠

（中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司江西省分公司，江西 南昌 330096）

由于當前日益復雜的網(wǎng)絡(luò)安全威脅，智能化的高端安全產(chǎn)品需求量不斷增加；同時，隨著云計算的快速發(fā)展，未來網(wǎng)絡(luò)安全需求也逐漸轉(zhuǎn)向云端實現(xiàn)。傳統(tǒng)的傳統(tǒng)安全產(chǎn)品是計算（檢測）+存儲（審計）+通信（網(wǎng)關(guān)）能力的組合體，主要以CPE終端（如防火墻）為核心，為用戶提供安全功能保障。因為成本較高，所以只適合企業(yè)、教育、集團、金融、政府等集團大客戶。同時，目前傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)也是問題重重：首先，企業(yè)網(wǎng)絡(luò)安全構(gòu)建的成本高、維護難度大，且3～5年后安全設(shè)備就存在軟件及硬件的升級換代問題；其次，網(wǎng)絡(luò)安全服務(wù)以硬件產(chǎn)品進行交付，交付周期長，需要專人進行開通及維護。最后，開通及安裝需要專業(yè)人員到達現(xiàn)場，不能實現(xiàn)快速安裝、不能一鍵免維，需要大量的專業(yè)技術(shù)人員進行裝機及維護。

1 研究目的

隨著SDN化技術(shù)的演進與發(fā)展，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)逐步演進為“資源池+SDN引流”的安全技術(shù)，通過現(xiàn)有SDN技術(shù)與云資源池、CPE設(shè)備（安全網(wǎng)關(guān)）相結(jié)合實現(xiàn)網(wǎng)絡(luò)安全的防護，從而實現(xiàn)了運營商實現(xiàn)快速安裝、極簡運維。

當前，利用“資源池技術(shù)+SDN引流”技術(shù)可實現(xiàn)通信設(shè)備與計算存儲資源的解耦，NFV技術(shù)在全球范圍內(nèi)得到大規(guī)模商用和驗證?！百Y源池技術(shù)+SDN引流技術(shù)”使運營商不僅能將網(wǎng)絡(luò)安全服務(wù)于企業(yè)、教育、集團、金融、政府等集團大客戶，也可提供適用于中小微企業(yè)及連鎖機構(gòu)、沿街商鋪、專業(yè)市場的網(wǎng)絡(luò)安全服務(wù)。

2 實現(xiàn)思路

2.1 總體實現(xiàn)思路

云技術(shù)是一種高度可擴展的計算方式，通過互聯(lián)網(wǎng)將資源以“按需服務(wù)”的形式提供給用戶，而用戶不需要了解、控制、支持這些服務(wù)的技術(shù)基礎(chǔ)架構(gòu)[1]。

安全云專線充分利用“資源池技術(shù)+SDN引流技術(shù)”技術(shù)，采用控制與存儲轉(zhuǎn)發(fā)分離的設(shè)計方式為企業(yè)用戶提供安全網(wǎng)絡(luò)服務(wù)。安全云專線需要兩個資源池來實施部署：一個云資源池發(fā)揮SDN控制器的作用，實現(xiàn)對安全資源池及安全網(wǎng)關(guān)的控制及調(diào)度；另一個云資源池為安全資源池，資源池采用內(nèi)嵌安全組件的方式實現(xiàn)流量的存儲轉(zhuǎn)發(fā)、安全功能的實現(xiàn)及安全審計日志存儲等功能。

2.2 總體設(shè)計方案

安全云專線是一種以“資源池技術(shù)+SDN引流”技術(shù)為核心，通過部署隨選節(jié)點實現(xiàn)overlay與underlay網(wǎng)絡(luò)相結(jié)合，通過VXLAN建立端到端跨業(yè)務(wù)域通道，實現(xiàn)安全服務(wù)的推送，提供一種面向客戶安全服務(wù)的overlay網(wǎng)絡(luò)[2]。

安全云專線網(wǎng)絡(luò)體系主要由門戶網(wǎng)站、ITMS終端管理平臺、SDN控制器、安全資源池以及安全網(wǎng)關(guān)組成。ITMS終端管理平臺實現(xiàn)企業(yè)用戶寬帶業(yè)務(wù)的開通，SDN控制器負責安全業(yè)務(wù)的開通，主要實現(xiàn)對資源池及安全網(wǎng)關(guān)管理及配置下發(fā)。

圖1 運營商安全云專線網(wǎng)絡(luò)結(jié)構(gòu)圖

安全云專線通過在安全網(wǎng)關(guān)與安全資源池之間內(nèi)嵌Vxlan隧道實現(xiàn)專線業(yè)務(wù)的互通，同時保障業(yè)務(wù)的安全隔離，從而實現(xiàn)安全業(yè)務(wù)的自助訂閱與自動開通。

⊙ ITMS網(wǎng)管負責傳統(tǒng)寬帶業(yè)務(wù)或者互聯(lián)網(wǎng)業(yè)務(wù)的管理及開通。

⊙ 接入城域網(wǎng)負責OLT及BRAS業(yè)務(wù)的數(shù)據(jù)下發(fā)和管理。

⊙ 用戶通過運營商門戶訂購安全產(chǎn)品，安全資源池負責將安全服務(wù)推送至安全網(wǎng)關(guān)，安全網(wǎng)關(guān)采用插件方式接收資源池推送的組件并內(nèi)置，為用戶提供可選購的安全服務(wù)。

安全云專線業(yè)務(wù)除了平臺、安全網(wǎng)關(guān)、資源池的部署外，同時也需通過如下4個關(guān)鍵技術(shù)，使企業(yè)客戶能根據(jù)不同業(yè)務(wù)實現(xiàn)自助訂閱不同的安全服務(wù)，實現(xiàn)用戶業(yè)務(wù)的網(wǎng)絡(luò)加固及安全保障：一是業(yè)務(wù)處理及和分流技術(shù)；二是實現(xiàn)資源統(tǒng)一管理的SDN技術(shù)；三是多租戶訪問技術(shù)；四是實現(xiàn)安全網(wǎng)關(guān)與安全池的VXLAN隧道構(gòu)建等關(guān)鍵技術(shù)。

2.3 業(yè)務(wù)處理及分流

安全云專線采用業(yè)務(wù)處理及分流技術(shù)，用戶可以根據(jù)其互聯(lián)網(wǎng)業(yè)務(wù)、專線業(yè)務(wù)、上云業(yè)務(wù)等，訂閱不同的安全服務(wù)。

圖2 業(yè)務(wù)處理及分流圖

（1）企業(yè)普通互聯(lián)網(wǎng)應用及寬帶上網(wǎng)，可通過網(wǎng)關(guān)識別業(yè)務(wù)流后，不加任何協(xié)議封裝及安全服務(wù)，通過BRAS直接轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)。

（2）企業(yè)需要安全的互聯(lián)網(wǎng)應用及寬帶上網(wǎng)業(yè)務(wù)，在網(wǎng)關(guān)識別業(yè)務(wù)流以后，通過VXLAN將其進行封裝并送至安全池進行安全加固后推送至互聯(lián)網(wǎng)。

（3）企業(yè)需要網(wǎng)絡(luò)安全服務(wù)的入云業(yè)務(wù)或者其他專線業(yè)務(wù)，在網(wǎng)關(guān)識別業(yè)務(wù)流、進行VXLAN封裝后將其傳輸至安全池進行安全加固，然后再轉(zhuǎn)發(fā)至目的IP地址。

2.4 方案特點

（1）業(yè)務(wù)自助訂閱、安全服務(wù)自助開通，可實現(xiàn)快速安裝、一鍵免維，無須耗費大量的專業(yè)技術(shù)人員及裝機及維護時間。

（2）安全防護及服務(wù)采用虛擬化技術(shù)提供，以云資源池部署軟件的形態(tài)存在?？砂从脩粜枨笞灾嗛喓螅ㄟ^工單方式由SDN控制器下發(fā)配置到用戶端。

（3）通過對安全設(shè)備的資源池化，實現(xiàn)對安全資源的統(tǒng)一納管、集中調(diào)度和調(diào)配，彈性可擴展[3]。

（4）通過門戶Portal、OSS與SDN控制器的協(xié)同，實現(xiàn)安全服務(wù)、業(yè)務(wù)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)等相關(guān)網(wǎng)絡(luò)功能，同時實現(xiàn)對安全實例的高效流量牽引[3]。

（5）采用多租戶的概念，使得不同租戶訪問同一虛擬機成為可能，降低了安全資源池的建設(shè)成本及耗費的云資源。

2.5 安全服務(wù)描述

表1 安全服務(wù)功能表

2.6 安全網(wǎng)關(guān)與安全池的VXLAN隧道構(gòu)建

由SDN控制安全網(wǎng)關(guān)并對安全網(wǎng)關(guān)訪問安全資源池要求進行發(fā)令請求，安全網(wǎng)關(guān)的訪問請求能夠通過接入的網(wǎng)絡(luò)進行有效的轉(zhuǎn)發(fā)，與公共網(wǎng)絡(luò)中安全資源池進行通信，而安全資源池里的Vroute及Vnat功能在對本地的流表實施查詢的同時可進行最合理有效地匹配。流表在匹配中完全成功后，就能送達安全池的安全組件。如果安全池能夠充分接受相關(guān)訪問請求，用戶就能夠訪問相關(guān)的安全資源。在請求指令發(fā)送之后，SDN控制器就能夠直接接受該方面的指令請求，同時對整個網(wǎng)絡(luò)結(jié)構(gòu)中的相關(guān)安全網(wǎng)關(guān)部署狀況實施查詢。在現(xiàn)網(wǎng)中如果部署了安全網(wǎng)關(guān)，SDN控制器就向此網(wǎng)絡(luò)中的安全資源池發(fā)送指令，同時構(gòu)建路由，建立Vxlan實現(xiàn)安全傳輸。

2.7 多租戶訪問技術(shù)

傳統(tǒng)安全云的租戶概念采用一個租戶訪問一個虛擬機方式，導致安全云資源池資源缺乏有效利用，因而建設(shè)成本高。安全云專線采用統(tǒng)一的架構(gòu)和管理平臺為多租戶提供可自定義的私有云環(huán)境，且各環(huán)境之間相互獨立、互不干擾。安全資源池采用多租戶訪問技術(shù)，可使得多個租戶訪問一個安全虛擬機，每個租戶建立不同的用戶訪問界面，使安全池的CPU及內(nèi)存資源利用率大大提高：同一個虛擬機支持每租戶單獨的日志信息、租戶之間的信息相互隔離、相互無法查看，從而保證租戶信息安全。

2.8 安全云專線可提供的安全服務(wù)及保障

安全云專線采用“資源池技術(shù)+SDN引流”架構(gòu)，將安全組件內(nèi)置于云資源池內(nèi)，通過SDN安全網(wǎng)關(guān)引流方式實現(xiàn)對用戶的網(wǎng)絡(luò)安全服務(wù)?？商峁┑闹饕踩?wù)如下。

（1）互聯(lián)網(wǎng)訪問行為審計與控制：應用識別、URL過濾、流量控制、流量清洗、行客認證、商客認證、日志報表等服務(wù)。

（2）入侵防御與病毒防護：安全策略、L2～L7層的全面防護、應用識別檢測、數(shù)據(jù)防泄漏等服務(wù)。

（3）威脅檢測與溯源：數(shù)據(jù)采集、AI智能建模及算法、攻擊模擬分析、攻擊及威脅分析處置、業(yè)務(wù)性能分析等服務(wù)。

（4）上網(wǎng)行為感知：工作效率分析、關(guān)鍵事件分析、校園網(wǎng)貸過濾、沉迷網(wǎng)絡(luò)防護、用戶行為畫像等服務(wù)。

3 安全云專線的方案特點

安全云專線相比傳統(tǒng)防火墻具備有以下幾個特點。

（1）安全服務(wù)可自助訂閱、自助開通，具有快速安裝、一鍵免維等特點，因此避免了大量的專業(yè)技術(shù)人員及裝機及維護時間的消耗。

（2）安全服務(wù)采用虛擬化技術(shù)提供，以云資源池部署軟件的形態(tài)存在，可按用戶需求自助訂閱后通過工單方式，采用SDN控制器下發(fā)配置到安全網(wǎng)關(guān)實現(xiàn)。

（3）通過安全設(shè)備的資源池化，實現(xiàn)對安全資源及設(shè)備的統(tǒng)一納管與集中調(diào)度，具備彈性可擴展的優(yōu)點。

（4）通過門戶Portal、OSS與SDN控制器的協(xié)同，實現(xiàn)了安全服務(wù)及業(yè)務(wù)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)等網(wǎng)絡(luò)功能，最大程度對安全實例進行高效的流量牽引。

（5）采用多租戶的概念，使得不同租戶訪問同一虛擬機成為可能，降低了安全資源池的建設(shè)成本及耗費的云資源。

4 結(jié)束語

網(wǎng)絡(luò)技術(shù)在企業(yè)辦公和生產(chǎn)中發(fā)揮難以取代的作用，因此網(wǎng)絡(luò)安全問題也將長期存在且日益重要。如何保證用戶網(wǎng)絡(luò)安全性，為企業(yè)構(gòu)建低成本、高效、安全的網(wǎng)絡(luò)環(huán)境是目前各運營商需要考慮的問題，“資源池+SDN引流”技術(shù)的安全云專線實現(xiàn)了用戶安全服務(wù)的自助訂閱、自助開通，同時采用多租戶技術(shù)為用戶提供性價比更高的安全服務(wù)?！?/p>