基于SDN/NFV的安全服務鏈構建技術

張林杰，李 倩，賈 哲，曹麗惠

(1.通信網信息傳輸與分發技術重點實驗室，河北 石家莊 050081； 2.空軍指揮學院，北京 100097)

0 引言

21世紀的網絡安全已經成為安全研究的一個焦點，“網絡戰”、“網絡主權”等概念層出不窮，網絡空間作為繼“陸、海、空、天”后的第五空間而備受矚目。現有安全防護手段如入侵檢測、防火墻等，都是構建在高成本的專用硬件和封閉軟件的設備中，本質上都是通過不斷升級或補充特征庫的方式對安全問題做出被動響應。隨著網絡安全形勢的日益嚴峻，查漏補缺、外圍封堵的傳統安全防護模式正在走進“死胡同”。

傳統安全設備(例如防火墻、入侵檢測)是基于特定的硬件環境實現特定的安全防護功能，部署在網絡中的固定位置，很難滿足當今網絡服務和應用的不同安全要求。一是傳統的安全服務設備與網絡拓撲緊耦合，管理配置固定繁瑣，無法隨業務安全需求變化而動態變化，無法根據網絡狀態和安全威脅進行網絡防御能力的動態調整；二是當前網絡攻擊的演變速度大大超過了安全防護技術的開發和更新速度，管理員需要根據各種新型攻擊擴充檢測攻擊特征庫，現有的網絡架構下進行各種安全設備的升級和更新換代，安全服務升級周期長、擴展難、成本高、易出錯，管理員無法實時高效地實現對網絡的安全管理；三是網絡中部署的各種安全防護設備功能重復交叉，網絡的安全防護設備繁多，重復建設，開銷成本高，資源消耗大；四是各廠商之間的安全設備缺乏透明度，軟硬件種類繁多，阻礙了技術融合，不利于形成全網統一的態勢呈現。

網絡功能虛擬化(NFV)[1]通過在通用服務器上部署虛擬網絡功能(VNF)軟件取代基于專用硬件的網絡設備，在降低網絡成本和運營支出的同時，部署使用更加靈活。軟件定義網絡(SDN)[2]可對全網流量進行細粒度控制，支持應用的動態部署和重新配置。SDN和NFV技術[3]的發展，使得網絡服務和應用系統可采用服務功能鏈(SFC)這種高效、可擴展的方式，實現快速自動部署。作為網絡服務和應用的關鍵特征之一的安全性[4]也必須滿足當今快速增長和不斷發展的網絡及應用的不同安全需求[5]。

SHIN S等[6]提出FRESCO安全架構，其以安全模塊組合的方式生成安全服務，但僅給出了功能上的驗證。QAZI Z等[7]通過對SDN/NFV技術的分析，提出通過組合虛擬安全應用模塊來構建安全服務鏈(SSC)的技術思想，但并未給出服務構建策略。LEE W等[8]提出的SIMPLE方案利用SDN技術設計了針對數據層中網絡功能中間件的管理機制，然而其仍缺乏對應用層的組合策略。GUSHCHIN A等[9]也僅在假設網絡節點具有安全服務能力條件下，研究了節點間的路由問題。Martini B等[10]通過修改OpenFlow 協議QoS字段來標識不同網絡流服務需求，提出了基于服務類型的SSC理論模型。但該方案拓展了SDN網絡的南向標準協議，兼容性較差且需預先編排各個服務類型對應的服務鏈。Giotis K等[11]提出了基于策略的網絡虛擬資源管理機制，根據不同數據流的業務需求動態地編排服務節點，但其并未涉及應用策略更新引起的策略沖突問題。

Cloud4NFV[12]基于ETSI的架構規范，設計了一種端到端的NFV平臺，對服務鏈的管理和編排進行了優化。Clayman等[13]針對高動態網絡提出了一個基于協調器的架構，通過監控網絡服務配置和資源狀況，確保VNF的自動編排，實現虛擬網絡的自動化部署及資源的自動化分配。NetFATE[14]考慮到網絡流量所需通過的服務鏈，提出了將業務流程虛擬化的方法，在設計服務鏈的同時，也需要考慮物理資源的有效利用，從而實現預期的經濟效益。劉鎏等[15]針對傳統虛擬網絡映射算法的不足提出了基于資源主動拆分的vNFC映射策略，并利用最優化算法，將vNFC的映射問題建模成整型優化問題，有效地提高了物理資源利用率。

本文提出了一種SSC構建方法。該方法基于SSC體系架構，通過SDN控制器下發SSC構建策略，包括分流策略和流量牽引策略，到SDN交換機，來構建SSC。試驗結果證明，利用提出的SSC構建方法可實現防火墻、入侵檢測以及深度包檢測等功能，并能夠借助流量牽引模塊按需編排安全服務，形成SSC。

1 安全服務鏈

基于SDN的服務功能鏈[16](SFC)定義了一組有序的抽象服務功能和排序約束，SSC作為一種服務功能鏈，定義了一組有序的安全功能，以及針對特定數據包和/或流的安全策略。用戶可根據不同業務需求動態部署安全功能(如vFW、vIDS等)，按需編排安全功能形成SSC，在應用生命周期內，為應用提供安全服務，支持安全服務的彈性伸縮和故障遷移，同時支持實時威脅檢測和基于策略的自動化響應[17]。安全服務提供商利用SSC，可管理和運營獨立的安全服務，并提供可集成到其他服務(如智能交通系統(ITS)、視頻服務和位置服務)中的定制安全服務。服務提供商可以只關注基本服務邏輯，從安全服務提供商那里獲得專業安全服務，以便為終端用戶提供安全服務。

根據部署方式的不同，SSC可以分為2種：① 獨立的SSC[18]，安全服務提供商可自行管理和運營獨立的安全服務；② 互通SSC，與其他SFC整合，以將安全機制嵌入到數據流的提供端到端的服務/應用。

根據服務對象不同，SSC可以分為非面向用戶的SSC和面向用戶的SSC。非面向用戶的SSC既不面向特定用戶也不面向特定業務邏輯提供通用的安全服務，如數據包過濾、入侵檢測和預防等功能；面向用戶的SSC是面向特定用戶和/或特定業務邏輯，并且通過與SFC控制器協作而以特定順序集成到SFC(服務功能鏈)中。例如，面向用戶的SSC提供認證、授權和單用戶加密/解密等安全服務，以實現更高的安全級別保護。非用戶導向的SSC可以作為獨立的SSC和互通SSC進行部署。面向用戶的SSC只能部署為互通SSC，因為必須集成到特定的業務邏輯中。

2 基于SDN/NFV的SSC體系架構

SSC的構建同時利用了軟件定義安全(Software Defined Security，SDS)和虛擬化安全(Virtualized Security Appliance，VSA)2種技術思路。

SDS的特點是將安全的控制平面和數據平面進行分離和重構，實現模塊化、服務化、可重用。SDS將現有安全技術分解成基本安全服務，并進一步劃分為原子安全服務。然后，通過SDN控制層的可編程能力及安全防護控制器，利用服務重構技術和安全狀態表將各安全原子服務有機整合，形成定制的安全能力。

VSA的特點是通過傳統安全設備的虛擬化來實現SDN網絡中的安全嵌入。SDN網絡被劃分為基礎設施層(主要包括計算和存儲資源，以及負責網絡轉發的交換和路由設備等)、控制層(主要有SDN控制器組成)和服務層(主要包括業務應用和網絡安全應用等)，在VSA模式下，安全設備，例如防火墻、入侵檢測和防護系統、反病毒系統、蜜罐等安全設備工作于服務層，由網絡控制器根據策略將目標流量調度到相應的安全設備進行處理。

基于SDN/NFV的SSC體系架構如圖1所示，包括SSC控制器和SSC功能域2部分。網絡服務/應用和安全管理根據安全需求向SSC控制器發送SSC請求，SSC控制器根據安全需求，創建SSC，提供定制的安全保護。

圖1 基于SDN/NFV的SSC體系架構

SSC各部分功能詳細描述如下：

① Restful編程接口：SSC控制器對上提供基于Restful的編程接口，方便與其他服務或應用的集成。

② SSC管理：包括服務鏈目錄、服務鏈創建以及服務鏈列表。服務鏈目錄，用于管理定義服務鏈；服務鏈創建，用于創建SSC實例；服務鏈列表，用于管理創建的服務鏈。

③ 安全功能管理：包括安全功能目錄、安全功能創建以及安全功能列表。安全功能目錄，用于管理定義安全功能；安全功能創建，用于構建安全功能實例；安全功能列表，用于管理安全功能實例。

④ 策略管理：主要包括對分流策略以及流量牽引策略的管理。

⑤ 動態編排：主要包括安全事件分析以及動態響應。安全事件分析：用于分析異常事件；動態響應：當安全事件分析模塊發現安全攻擊后，動態響應模塊根據規則生成SSC請求，并把SSC請求通過消息總線發送給中央調度器。

⑥ 分流引擎：基于分流策略，識別數據流；一旦識別數據流，則將服務鏈實例ID作為服務鏈標簽插入到數據包中，從而為后續流量牽引做準備；將打上服務鏈標簽的數據包轉發給vSwitch。

⑦ 流量牽引：模塊內嵌于vSwitch模塊；根據數據包中的服務鏈標簽以及相應的流量牽引策略，將流量牽引到1個或多個安全功能實例；從安全功能實例回收流量，然后將流量牽引到下一跳的流量牽引模塊或分流引擎，實現安全功能服務鏈。

⑧ 安全功能實例：基于虛擬化技術創建的安全功能引擎：vIDS，vFW，vDPI等。

3 SSC創建

創建SSC的過程描述如下：

① 服務/應用或管理平臺請求來自SSC控制器的定制安全保護，并根據安全要求向SSC控制器發送SSC請求。

② 在接收到來自服務/應用程序，管理平臺的SSC請求后，SSC管理將查找服務鏈目錄并選擇適當的SSC。

③ 服務鏈列表檢查是否在SSC列表中注冊并激活了此類SSC的實例。如果是，則將選擇并重用該SSC的活動實例。然后轉到步驟⑤。如果此類SSC的實例沒有被激活，服務鏈列表會查找安全功能目錄，并在步驟②根據選定的SSC選擇相應的安全功能。

④ 根據選定的安全功能，服務鏈列表檢查這些安全功能的實例是否已在安全功能列表中注冊和激活。如果是，則這些活動實例將被選中并重用于此SSC。然后轉到步驟⑤。如果選定的安全功能沒有被激活，將查找虛擬安全功能鏡像存儲庫并選擇安全功能鏡像，并通過SDN控制器提供的網絡拓撲結構將安全功能鏡像實例化并部署在相應的主機中。然后把相應的信息反饋到服務鏈列表和安全功能列表中。

⑤ 創建對應的分流策略和流量牽引策略，分別反饋到服務功能轉發器(SFF)的分類策略表和流量牽引轉發表中。

4 SSC試驗

SSC試驗拓撲圖如圖2所示，主要由外部設備1.0.0.14、內部設備8.0.0.14、網關以及流量牽引模塊組成。外部設備經過網關后進入流量牽引模塊，由ONOS控制器牽引流量流經vFW，vIDS，vDPI等安全功能，最后到達內部設備8.0.0.14。內部設備8.0.0.14經由網關聯通外部設備1.0.0.14。

圖2 SSC試驗拓撲圖

4.1 vFW防火墻功能測試

在vFW內部添加規則攔截源地址為1.0.0.14或目的地址為8.0.0.14的數據包后，外部設備1.0.0.14向內部設備8.0.0.14的ping請求失敗。添加iptables規則后外部設備抓包圖如圖3所示。由圖3可以看出，SSC中的vFW安全服務能夠起到防火墻的作用。

4.2 vIDS入侵檢測功能測試

由外部設備1.0.0.14發起對內部設備8.0.0.14的端口掃描攻擊。vIDS的告警信息如圖4所示。

圖3 添加iptables規則后外部設備抓包圖

從圖4可以看出，SSC的vIDS安全功能具有入侵檢測功能。

圖4 由外部設備發起端口掃描攻擊后vIDS的告警信息

4.3 安全服務vDPI深度包檢測功能測試

此處采用與上述同樣的試驗方法，vDPI深度包檢測結果圖如圖5所示。由圖5可以看出，SSC的vDPI安全服務可以對數據包進行深度檢測。

圖5 vDPI深度包檢測結果

5 結束語

SSC是一種服務功能鏈(SFC)，包含一組有序的安全功能，可實現安全功能的動態部署以及按需編排。提出了一種SSC構建方法，由試驗結果可以看出，該方法能夠借助流量牽引模塊按需編排安全服務，形成SSC；并且系統內的安全功能vFW，vIDS，vDPI分別具有防火墻、入侵檢測以及深度包檢測功能。