網(wǎng)絡(luò)安全系統(tǒng)的分布式部署淺論

◆任俊明

（山西潞安環(huán)保能源開發(fā)股份有限公司煤炭運(yùn)銷總公司 山西 046204）

網(wǎng)絡(luò)安全系統(tǒng)的分布式部署淺論

◆任俊明

（山西潞安環(huán)保能源開發(fā)股份有限公司煤炭運(yùn)銷總公司 山西 046204）

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)出現(xiàn)了網(wǎng)絡(luò)配置復(fù)雜度高、網(wǎng)絡(luò)安全設(shè)備性能出現(xiàn)瓶頸等問題，可編程網(wǎng)絡(luò)的相關(guān)研究為解決這些問題提供了理論依據(jù)和數(shù)學(xué)支撐。網(wǎng)絡(luò)安全配置如果能分布式部署在網(wǎng)絡(luò)接入層設(shè)備上，將大大減輕網(wǎng)絡(luò)邊界安全設(shè)備的壓力，提高網(wǎng)絡(luò)運(yùn)行效率。本文討論了在可編程網(wǎng)絡(luò)的相關(guān)技術(shù)下，實(shí)現(xiàn)網(wǎng)絡(luò)安全的分布式部署的理論可行性。

可編程網(wǎng)絡(luò)；分布式；網(wǎng)絡(luò)安全

0 引言

近年來(lái)，隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，計(jì)算機(jī)可以處理的數(shù)據(jù)和程序也由單臺(tái)計(jì)算機(jī)上的數(shù)學(xué)運(yùn)算、文件處理，拓?fù)浣Y(jié)構(gòu)較簡(jiǎn)單的局域網(wǎng)上的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（Intranet）、企業(yè)外部網(wǎng)（Extranet）、全球互聯(lián)網(wǎng)（Internet）的企業(yè)級(jí)信息處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。隨著“云計(jì)算”、“物聯(lián)網(wǎng)”、“大數(shù)據(jù)”、“互聯(lián)網(wǎng)+”、“萬(wàn)物互聯(lián)”等新興計(jì)算機(jī)概念的興起，計(jì)算機(jī)網(wǎng)絡(luò)越來(lái)越成為影響國(guó)計(jì)民生的重大基礎(chǔ)設(shè)施。網(wǎng)絡(luò)安全日益成為關(guān)系國(guó)家安全和主權(quán)、社會(huì)穩(wěn)定的重要問題。網(wǎng)絡(luò)安全正隨著全球信息化步伐的加快而變得越來(lái)越重要。同時(shí)，隨著網(wǎng)絡(luò)安全需求的日益提高，不少企業(yè)和大中型組織在維護(hù)網(wǎng)絡(luò)安全卻遇到了很多困境。

1 網(wǎng)絡(luò)安全的困境

1.1 網(wǎng)絡(luò)威脅種類越來(lái)越多

現(xiàn)在的網(wǎng)絡(luò)威脅形式，早已不是簡(jiǎn)單的針對(duì)網(wǎng)絡(luò)邊界網(wǎng)關(guān)的攻擊，網(wǎng)絡(luò)威脅更大幾率是從網(wǎng)絡(luò)內(nèi)部的某臺(tái)計(jì)算機(jī)上觸發(fā)的，往往由于某臺(tái)計(jì)算機(jī)接入了不明來(lái)源的移動(dòng)存儲(chǔ)設(shè)備或打開了某個(gè)外網(wǎng)的壓縮包就被感染了病毒，隨機(jī)感染了大量?jī)?nèi)網(wǎng)計(jì)算機(jī)。以往那種在網(wǎng)絡(luò)出口處安裝一個(gè)防火墻（或增強(qiáng)型的所謂統(tǒng)一網(wǎng)關(guān)之類設(shè)備）就能防御所有網(wǎng)絡(luò)威脅的方案顯然不再適用，由于威脅來(lái)自內(nèi)部，并沒有通過(guò)網(wǎng)絡(luò)邊界，網(wǎng)絡(luò)邊界上再?gòu)?qiáng)的處理能力都望洋興嘆。也有很多網(wǎng)絡(luò)安全公司（主要是殺毒軟件廠商）開始提出“網(wǎng)絡(luò)版殺毒”的概念，究其原理，不過(guò)是在入網(wǎng)的每臺(tái)計(jì)算機(jī)上安裝一套殺毒（或防火墻）軟件，再由企業(yè)自建的統(tǒng)一殺毒軟件升級(jí)服務(wù)器對(duì)這些殺毒軟件和防火墻進(jìn)行病毒定義和安全規(guī)則升級(jí)。更甚一些的，會(huì)通過(guò)IEEE802.1x協(xié)議，對(duì)入網(wǎng)計(jì)算機(jī)進(jìn)行“準(zhǔn)入控制”，強(qiáng)制要求必須安裝這一殺毒軟件（甚至可以限制操作系統(tǒng)、USB端口是否啟用等“準(zhǔn)入條件”）的計(jì)算機(jī)才可以接入網(wǎng)絡(luò)。這一方案也有其弊端，首先，在每一臺(tái)計(jì)算機(jī)終端上安裝相同的殺毒軟件在幾年前也許還有可能，在BYOD（Bring Your Own Device指攜帶自己的設(shè)備辦公，這些設(shè)備包括個(gè)人電腦、手機(jī)、平板等）大潮愈演愈烈的當(dāng)今，隨著終端的類型、性能、歸屬等的參差不齊，幾乎不可能完成統(tǒng)一殺毒軟件這樣的任務(wù)，更進(jìn)一步說(shuō)，很多殺毒軟件極其耗費(fèi)系統(tǒng)資源，對(duì)性能較低的終端，根本無(wú)法滿足安裝的需求；其次，即便所有終端都滿足了殺毒軟件安裝的性能需求，同時(shí)也是企業(yè)內(nèi)部管理的計(jì)算機(jī)，同樣會(huì)由于殺毒軟件占用系統(tǒng)資源而造成運(yùn)算能力的浪費(fèi)，以至于很多用戶戲稱“裝殺毒軟件還不如中個(gè)病毒，起碼電腦能快點(diǎn)”；最后，殺毒軟件或系統(tǒng)補(bǔ)丁都屬于被動(dòng)安全，網(wǎng)絡(luò)威脅產(chǎn)生時(shí)，如果安全軟件廠商或操作系統(tǒng)廠商沒有及時(shí)更新病毒定義或系統(tǒng)補(bǔ)丁，甚至沒有及時(shí)反饋到安全威脅，那么這套體系將眼睜睜看著網(wǎng)絡(luò)威脅肆虐而無(wú)能為力。

1.2 對(duì)防火墻性能要求越來(lái)越高

即使是應(yīng)對(duì)傳統(tǒng)的針對(duì)邊界設(shè)備的安全威脅，防火墻性能也是一個(gè)不得不考慮的坎。防火墻本來(lái)是從路由器衍生而來(lái)，都是處于網(wǎng)絡(luò)邊界的設(shè)備，隨著網(wǎng)絡(luò)威脅的不同展現(xiàn)形式，現(xiàn)在防火墻也不得不處于“軍備競(jìng)賽”的狀況之中，從最初的僅僅是包過(guò)濾到現(xiàn)在解包的層級(jí)越來(lái)越高，甚至產(chǎn)生了號(hào)稱“應(yīng)對(duì)一到七層所有網(wǎng)絡(luò)威脅”的統(tǒng)一網(wǎng)關(guān)設(shè)備，對(duì)所有數(shù)據(jù)進(jìn)行細(xì)致的拆包檢查。拆包層數(shù)越多，對(duì)防火墻的性能需求就越高。即使是這樣，也難免出現(xiàn)漏網(wǎng)之魚，對(duì)于很多加密壓縮數(shù)據(jù)，不要說(shuō)很多安全網(wǎng)關(guān)設(shè)備僅僅是盒式設(shè)備，就是動(dòng)用幾臺(tái)服務(wù)器去運(yùn)算，也很難在瞬間就解開這些數(shù)據(jù)包，這些所謂的安全網(wǎng)關(guān)，一定是犧牲了網(wǎng)絡(luò)的通過(guò)性能來(lái)獲得安全性的，難免產(chǎn)生網(wǎng)絡(luò)延遲的加大等弊端。

2 SDN可編程網(wǎng)絡(luò)帶來(lái)的新思路

談到SDN可編程網(wǎng)絡(luò)，我們要從Open Flow說(shuō)起。2006年，斯坦福大學(xué)開始了一個(gè)名為Clean Slate項(xiàng)目，希望能夠重新設(shè)計(jì)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。同年，斯坦福的學(xué)生 Martin Casado開始了一個(gè)網(wǎng)絡(luò)安全與管理的項(xiàng)目Ethane，主要思想是通過(guò)集中控制設(shè)備，讓網(wǎng)絡(luò)管理人員可以快捷地定義網(wǎng)絡(luò)流上的安全控制策略，同時(shí)將這些安全策略方便地部署到各類網(wǎng)絡(luò)設(shè)備中，繼而實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)通訊的安全控制。在這個(gè)項(xiàng)目的啟發(fā)下，Martin和他的導(dǎo)師Nick McKeown教授意識(shí)到，如果將這一設(shè)計(jì)推而廣之，把傳統(tǒng)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)和路由控制兩個(gè)功能模塊分離開來(lái)，用集中控制設(shè)備設(shè)計(jì)一個(gè)標(biāo)準(zhǔn)化的接口對(duì)各類網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理和配置，那么這將為網(wǎng)絡(luò)資源的設(shè)計(jì)、管理和使用提供更大的自定義空間，從而更為網(wǎng)絡(luò)的革新與發(fā)展開創(chuàng)出一個(gè)完全不同的新天地，他們將這一概念稱之為Open Flow。在Open Flow為網(wǎng)絡(luò)帶來(lái)的可編程的特性基礎(chǔ)上，Nick教授和他的團(tuán)隊(duì)進(jìn)一步將其發(fā)展出了SDN可編程網(wǎng)絡(luò)：若將網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)設(shè)備視為可管理的資源，參照操作系統(tǒng)的結(jié)構(gòu)，可以把他們想象成一個(gè)網(wǎng)絡(luò)操作系統(tǒng)（Network OS）。這個(gè)網(wǎng)絡(luò)操作系統(tǒng)一方面把底層網(wǎng)絡(luò)設(shè)備的具體細(xì)節(jié)透明化、簡(jiǎn)單化、標(biāo)準(zhǔn)化、抽象化，同時(shí)還為上層應(yīng)用提供了統(tǒng)一的管理視圖和編程接口。這樣，在這個(gè)網(wǎng)絡(luò)操作系統(tǒng)平臺(tái)上，我們可以編寫各種各樣的程序和應(yīng)用，通過(guò)代碼或視圖來(lái)重新定義邏輯網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以滿足用戶對(duì)網(wǎng)絡(luò)資源的不同層次需求，再也不需要考慮底層網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。

由此可見，SDN可編程網(wǎng)絡(luò)從誕生之初就是為了解決網(wǎng)絡(luò)安全與管理的問題而生的，在SDN可編程網(wǎng)絡(luò)日新月異的進(jìn)化發(fā)展后，我們可以在SDN的基礎(chǔ)上，尋找到更高效、更便捷的網(wǎng)絡(luò)安全解決思路。

3 網(wǎng)絡(luò)安全系統(tǒng)分布式部署

SDN可編程網(wǎng)絡(luò)給網(wǎng)絡(luò)概念的沖擊無(wú)疑是翻天覆地的，它同樣會(huì)極大地改變網(wǎng)絡(luò)安全系統(tǒng)的形態(tài)，它給網(wǎng)絡(luò)安全的部署帶來(lái)了以下幾個(gè)轉(zhuǎn)變：

3.1 讓“防火墻”無(wú)處不在

SDN的控制面是獨(dú)立于轉(zhuǎn)發(fā)面的，同時(shí)對(duì)轉(zhuǎn)發(fā)面的行為實(shí)現(xiàn)可控，使得我們完全可以在控制面編程來(lái)實(shí)現(xiàn)新的網(wǎng)絡(luò)協(xié)議，我們可以針對(duì)不同的網(wǎng)絡(luò)威脅編制網(wǎng)絡(luò)協(xié)議自行實(shí)現(xiàn)新的功能，可以簡(jiǎn)單的說(shuō)，我們可以將底層任何一個(gè)網(wǎng)絡(luò)設(shè)備通過(guò)編程的方法讓它變成一個(gè)“防火墻”。大大抑制很多內(nèi)網(wǎng)威脅的生存空間。

3.2 讓“防火墻”虛擬化，實(shí)現(xiàn)性能聚合

SDN可編程網(wǎng)絡(luò)不僅僅是實(shí)現(xiàn)了單個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的可編程，更是將編程的可能性實(shí)現(xiàn)到了整個(gè)網(wǎng)絡(luò)上。控制設(shè)備的存儲(chǔ)內(nèi)存儲(chǔ)有全局所有設(shè)備的拓?fù)洌梢杂?jì)算任意節(jié)點(diǎn)之間的路由，并控制轉(zhuǎn)發(fā)路徑。同樣每個(gè)終端設(shè)備的接入權(quán)限也可以由控制設(shè)備完全控制，轉(zhuǎn)發(fā)面設(shè)備完全沒有感知。通過(guò)這一功能，我們可以將以前單一“防火墻”所做的工作分成很多工作片段，由很多個(gè)底層網(wǎng)絡(luò)設(shè)備協(xié)同完成，大大減輕單一網(wǎng)絡(luò)設(shè)備的負(fù)擔(dān)，提升整個(gè)網(wǎng)絡(luò)響應(yīng)性能。

3.3 完全不再占用PC的運(yùn)算能力

通過(guò)以上兩項(xiàng)，我們獲得了一個(gè)無(wú)處不在的、性能超強(qiáng)的虛擬“防火墻”，任何接入到網(wǎng)絡(luò)中的設(shè)備都可以在這個(gè)防火墻的防護(hù)之下，PC端可以完全棄用防火墻軟件，僅保留一定的U盤病毒查殺能力，大大減少PC端的負(fù)擔(dān)。

4 結(jié)語(yǔ)

我們不能期望SDN成為解決現(xiàn)在所有網(wǎng)絡(luò)安全問題的“萬(wàn)金油”，不存在任何一項(xiàng)單獨(dú)技術(shù)可以解決所有問題。但是，SDN確實(shí)給網(wǎng)絡(luò)安全的部署及使用帶了許多新的思路，我們希望在不遠(yuǎn)的將來(lái)，網(wǎng)絡(luò)安全問題可以真正得到妥善解決，還我們一個(gè)清新的網(wǎng)絡(luò)環(huán)境。

[1]斯坦福大學(xué)Clean Slate項(xiàng)目網(wǎng)站，http：//cleanslate.sta nford.edu/.

[2]陳文華.基于SDN技術(shù)的互聯(lián)網(wǎng)發(fā)展與運(yùn)營(yíng)探討[J].廣東通信技術(shù)，2013.

[3]袁廣翔.軟件定義網(wǎng)絡(luò)技術(shù)發(fā)展與應(yīng)用研究[J].現(xiàn)代電信科技，2013.

[4]趙慧玲，馮明，史凡.SDN――未來(lái)網(wǎng)絡(luò)演進(jìn)的重要趨勢(shì)[J].電信科學(xué)，2012.