基于SDN/NFV構建防火云平臺*

戚建淮，唐 娟，宋 晶，劉建輝，鄭偉范

0 引 言

云計算（Cloud Computing）是以網絡技術、虛擬化技術、分布式計算技術為基礎，以按需分配為業務模式，具備動態擴展、資源共享、寬帶接入等特點的新一代網絡化商業計算模式。開放的網絡環境為云計算用戶提供了強大的計算和存儲能力，現已逐漸在產業界得到廣泛應用。然而，伴隨云計算技術的飛速發展，其所面臨的安全問題日益凸顯[1-3]。緊迫的安全威脅，催生著傳統安全服務和產品的改變。對企業或機構來說，安全產品“老三樣”中的防火墻更是首當其沖。

防火墻是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網、訪問內部網資源以及內部網絡未經授權訪問和進入外部網絡，從而保護內部網操作環境的特殊網絡互聯設備。防火墻的發展歷程主要有第一代軟件防火墻、第二代硬件防火墻、第三代ASIC防火墻、第四代UTM（統一威脅網關）以及云計算環境下的第五代云火墻[4-5]。雖然防火墻性能逐步加強、功能逐步完善，但是前四代都是被動防御為主，在保護信息安全方面不足。第五代云火墻基于web2.0，具有云上數據中心的動態更新，支持Netflow流量監控，屬于主動和動態的安全防護體系，具有高可用、跨平臺、拓展性高的特點，在部署、運維、防病毒、抗DDoS攻擊、流量訪問等方面優勢明顯[6]。但是，隨著大數據、物聯網、移動互聯網的發展，防火墻面臨的業務急劇增加，多用戶高并發連接的情況下，現有的產品仍然面臨諸多問題。

（1）業務應用紛繁復雜

受保護網絡系統中規模龐大的用戶實體、日益繁多的業務類型、漸進復雜的協議流程、愈加隱蔽的攻擊方式和不可避免的漏洞隱患，使得過濾判斷規則在設置難度、種類數目等方面均呈現出幾何級的增長趨勢，由此帶來的代價開銷是傳統防火墻無法承受的。

（2）防御模式被動受限

網絡行為流量檢測依賴于協議內容解析和公開缺陷特征等先驗信息，難以有效應對潛藏威脅行為帶來的嚴峻挑戰。網絡區域邊界防護局限于應對外網攻擊，無法以網絡節點為保護對象，最大限度地消除存在于內部網絡環境中的安全隱患。

（3）割裂耦合離散安全

粗放化方式集成VPN（Virtual Private Network）、PKI（Public Key Infrastructure）、IPSec、防病毒、入侵防御等多種附加功能的防火墻，處于割裂業務耦合關系下的離散安全形態。面對動態性且復合性強的網絡攻擊，它無法根據具體的網絡應用環境實施自適應且集約化的聯動防御。

新型云計算應用環境下，要求防火墻能夠保證行為模式的強一致性、計算能力的高性能化、功能架構的自適應等。目前，SDN/NFV技術[7-8]可以實現流量在數據平面與控制平面的分離，有利于流量的精細化管理與控制。機器學習[9-10]等智能計算技術提供了攻擊模式的自動學習、識別和發現能力，可實現防火墻的自學習和自防護能力。這些新的技術應用為新一代防火墻突破現有瓶頸提供了技術途徑。本文在現有的云火墻如思科的云火墻[11]等產品基礎上，基于SDN/NFV、機器學習等技術，設計和實現一種防火云平臺（或系統）——永達防火云，并將其應用于實際的業務系統安全防護。該平臺具有卓越的功能和性能，能滿足現代云計算環境下大規模復雜系統的網絡整體安全性。

1 防火云的總體設計

1.1 設計思路

在高性能化先進計算能力和自適應型彈性網絡架構的支撐下，基于角色權限細分的強制訪問控制正常業務模式庫，以多尺度辨識模式提供行為審計取證和數據完整保護功能，正確執行與業務模式保持強一致性的網絡行為，精準鎖定偏差性未知應用和異常威脅，從而顯著降低安全風險。具體包括：以受保護網絡系統中業務模式的行為大數據，訓練建模基于角色權限細分的強制訪問控制業務操作流，塑造“元操作、服務鏈、請求樹”形態存在的正常業務模式庫；在SDN/NFV支持下的高性能連接與計算環境下，通過多因子聯合診斷，推動各尺度下受保護網絡系統中網絡行為的標準符合性認定，并形成基于工作流的業務痕跡審計取證體系。

1.2 技術路線

（1）依據產品說明，定義正常業務模式

依據受保護網絡系統中的業務應用系統規程說明和數據處理與存儲系統結構說明，離線狀態下覆蓋性激勵測試“凈化”的受保護網絡系統，形成全業務、全功能網絡行為的流量表征大數據。

塑造多尺度下受保護網絡系統的正常業務模式庫，基于網絡行為實例化的流量大數據，訓練建模基于角色權限細分的強制訪問控制業務邏輯流，塑造“元操作、服務鏈、鏈表樹”形態存在的正常業務模式庫。

（2）多維辨識應用，分析發現安全威脅

網絡行為流量數據實時監測。線上實時采集基于角色權限的網絡操作行為實例在全功能與全業務范疇上的表征化流量數據。

通過正常業務模式庫辨識未知應用與異常威脅。通過“元操作、服務鏈、鏈表樹”形態存在的正常業務模式庫，推動受保護網絡系統業務邏輯行為的標準符合性認定；基于智能學習，從行為層面分類業務應用、辨識未知網絡攻擊行為，實現強制訪問控制，并形成基于工作流的業務痕跡審計取證體系。

（3）立體閉環防護，形成精準安全體系

云、管、端全網全程運維。基于云（云端日志管理）、管（應用流量防護）、端（內網資產識別）打造立體防護體系，面向全網系統的事前預警、事中防護、事后分析，支持可循環往復的捕獲檢測、轉發控制與審計取證的防護鏈條。

（4）支持軟件定義，保障計算服務能力

可定義、可重構、可演進的云服務安全。在實現安全資源虛擬化基礎上，基于多樣化的資源調度策略，確保物理平臺、通信資源、計算資源的負載整合與全局優化，支持業務無損彈性擴展，支持親和部署與最短路徑優化，實現故障遷移與恢復的智能化。

1.3 系統邏輯架構

采用“數據搜索安全”的技術路徑，而“請求響應數據的制造”與“請求響應數據的應用”決定了平臺的架構。“請求響應數據的制造”以后臺的方式，由操作請求樹配置管理、服務響應鏈生成管理等兩大設施承擔完成，扮演“廠”的角色；“請求響應數據的應用”以前端的方式，基于“流水串行計算”和“異步并行計算”兩種模式，支撐面向網絡行為的全面內容檢測，并形成業務流審計取證體系，扮演“店”的角色。兩者彼此緊密合作，形成“前店后廠”的架構，如圖1所示。

1.4 物理架構

可信防火云由各個單元組成，而組成單元由工控機或板卡組成。各單元之間通過管理總線和業務總線相連，組成集群計算網絡，如圖2所示。

（1）防火云單元

支持以基于角色權限細分的強制訪問控制正常業務模式庫，對網絡行為開展“元操作、服務鏈、鏈表樹”的符合性計算識別，以用戶身份、角色權限、應用類型、傳輸內容等多維度，從網絡行為上精準鎖定未知應用和異常威脅；支持數據包的各個組成部分被完整檢測，以識別畸形包、錯誤、已知攻擊和其他異常數據；支持快速識別并阻止木馬、病毒、垃圾郵件、入侵行為以及其他違反正常通信協議的行為；支持跨越多層協議對流量進行完整檢測，并提供全棧式多層流量標準化的解構和拆分數據包。

（2）防火云主控單元

支持中心化管理，實現在統一應用界面下部署、查看和控制所有的防火云單元活動，確保自動化日常任務、復用元素、部署快速路徑和深度調查，以最小的工作成本產生最大的工作成果；以虛擬化支持云安裝、配置、部署的方式，實現防火云單元的即插即用，實現受保護網絡系統的高可用性和高抗壓性；以過濾規則引擎對受保護網絡系統的正常運行狀態進行學習，建立以鏈表樹形式表達的多維度行為動態安全模型，且動態化更新安全模型，常規性地自動推薦策略配置；支持形成以異常報警事件分析、違規操作行為分析、系統運維數據分析為主要內容的責任認定和審計取證功能。

（3）SDN交換機

支持防火云架構的可改變性和自適應性，構建可定義、可重構、可演進的云服務設施，以網絡通信的強連接、計算能力的并行化、節點資源的分布式，保證數據檢測、策略控制、路由轉發等大數據分析執行任務的實時性，確保最大效率地分發執行所需安全策略，具備適應各種預算范圍和系統彈性架構的能力，能夠根據需求轉變角色，或是防火墻，或是入侵檢測，或是VPN。

圖1 防火云邏輯結構

圖2 防火云總體邏輯架構設計

1.5 工作流程

所有數據到達服務器前先經過可信防火云。首先到達SDN，智能分配數據流到檢測陣列。防火云各級檢測單元協同完成檢測，并根據檢測結果采取是否放行、攔截、告警等措施。業務流程如圖3所示。

2 防火云的性能指標

（1）基本性能指標

①合法用戶的登錄時間：＜5 s；

②連續運行能力：7×24 h；

③中心結點主備切換能力（中心節點）：＜5 s；

④在最大吞吐量90%的條件下，千兆防火云的64 Byte短包平均延遲：＜500 μs；

⑤在最大吞吐量90%的條件下，萬兆或以上防火云的64 Byte短包平均延遲：＜90 μs；

⑥開啟入侵保護功能時，平均延遲增加不應超過原來的50%。

（2）最大新建連接速率

①千兆防火云的最大新建連接數速率應不小于30 000個/秒；

圖3 防火云工作流程

②萬兆或以上防火云的最大新建連接數速率應不小于150 000個/秒；

③千兆防火云的最大并發數應不小于200萬個；

④萬兆或以上防火云的最大并發數應不小于500萬個。

（3）應用層吞吐量

①千兆防火云應用層吞吐量應不小于900 Mb/s；

②萬兆或以上防火云應用層吞吐量應不小于8 Gb/s；

③開啟入侵保護功能時，應用層吞吐量下降不超過原來的30%。

（4）網絡層吞吐量

在不丟包的情況下，一對相應速率的端口在具有多條（如200條）包過濾的條件下，應達到的雙向吞吐量指標為：

①對64 Byte短包，千兆防火云應不小于線速的50%，萬兆或以上應不小于線速的70%；

②對512 Byte中長包，千兆防火云應不小于線速的85%，萬兆或以上應不小于線速的90%；

③對1 518 Byte長包，千兆防火云應不小于線速的95%，萬兆或以上應不小于線速的98%；

④開啟入侵保護功能時，網絡層吞吐量下降不超過原來的30%。

3 防火云的特點

3.1 規則定義與應用識別方面

在規則定義與應用識別方面，能夠做到完全契合業務，支持保證網絡行為與正常業務模式的強一致性。

傳統防火墻。對各層次網絡協議的理解主要依賴人工分析，并聚焦于異常黑色、漏洞缺陷等先驗特征信息的分析，解析效果“得”不償失，由此定義的過濾規則難以識別未知威脅且數量規模龐大，導致應用識別往往處于被動防御狀態且性能低下。

永達防火云。離線環境下覆蓋性測試“凈化”的受保護網絡系統，生成正常業務模式的表征化數據，以機器學習的方式實施數據驅動的訓練建模，智能化構筑“元操作、服務鏈、鏈表樹”形態存在的正常業務模式庫。基于用戶身份、角色權限、應用類型、傳輸內容等多維度，對網絡行為開展正常業務模式庫的符合性計算識別，實現網絡行為與正常業務模式的強一致性和精準施策。

3.2 計算資源與服務能力方面

在計算資源與服務能力方面，能夠做到彈性調度擴展，支持數據檢測、策略控制和路由轉發的實時性。

傳統防火墻。基礎設施僅僅局限于本機承載，在規則匹配與識別分析的計算任務面前，資源提供“力”不從心，導致防火墻功能長期處于中途夭折的狀態，即計算還未完成，網絡連接中斷。

本文防火云以SDN/NFV實現硬件與安全功能的解耦，打造可感知重構且動態演進的網絡計算基礎設施，以網絡通信的強連接、計算能力的并行化、節點資源的分布式，保證數據檢測、策略控制和路由轉發等大數據分析執行任務的實時性。

4 結 語

隨著web2.0的發展，web應用防火墻取得了長足發展，技術日趨成熟。本文防火云在企業級的安全管理控制平臺的實際工程應用中，在分布式可管控防火墻的基礎上研發而來。它綜合利用目前SDN/NFV、機器學習等前沿技術，能夠依據產品說明，定義正常業務模式；多維辨識應用，分析發現安全威脅；立體閉環防護，形成精準安全體系；支持軟件定義，保障計算服務能力。平臺實現了動態的主動式安全訪問控制，可以滿足現代云計算環境下大規模復雜系統的網絡訪問控制要求。

[1] 張玉清,王曉菲,劉雪峰等.云計算環境安全綜述[J].軟件學報,2016,27(06):1328-1348.ZHANG Yu-qing,WANG Xiao-feng,LIU Xue-feng,et al.Survey on Cloud Computing Security[J].Journal of Software,2016,27(06):1328-1348.

[2] Bodkhe A P,Dhote C A.Cloud Computing Security:An Issue of Concern[J].Int’l Journal of Advanced Research in Computer Science and Software Engin-eering,2015,5(04):1337-1342.

[3] Ali M,Khan S U,Vasilakos A V.Security in Cloud Computing:Opportunities and Challenges[J].Information Sciences,2015(305):357-383.

[4] 姚軍光,翟乃強,姜文化.淺析基于云火墻的網絡安全[J].青島遠洋船員學院學報,2011(02):58-61.YAO Jun-guang,ZHAI Nai-qiang,JIANG Wenhua.Analysis Network Security Based On Cloud Firewall[J].Journal of Qingdao Ocean Shipping Mariners College,2011,32(02):58-61.

[5] 張學峰,劉祥深.云火墻在校園網安全中的應用[J].網絡安全技術與應用,2010(09):24-26.ZHANG Xue-feng,LIU Xiang-shen.The Application of Cloud Firewall in Network Security of Campus[J].Network Security Technology & Application,2010(09):24-26.

[6] 王李樂,李明,汪浩等.云WAF技術系統研究[J].等級保護,2014(12):1-6.WANG Li-le,LI Ming,WANG Hao,et al.Research on Cloud WAF Systems[J].Netinfo Security,2014(12):1-6.

[7] 張志強.SDN和NFV對網絡變革發展影響綜述[J].現代電信科技,2015(01):1-6.ZHANG Zhi-qiang.An Overview of the Impact of SDN and NFV on the Development of Network Transformation[J].Modern Science & Technology of Tele communications,2015(01):1-6.

[8] 趙慧玲,史凡.SDN_NFV的發展與挑戰[J].電信科學,2014(08):13-18.ZHAO Hui-ling,SHI Fan.Development and Challenge of SDN/NFV[J].Telecommunications Science,2014(08):13-18.

[9] 何清,李寧,羅文娟等.大數據下的機器學習算法綜述[J].模式識別與人工智能,2014,27(04):327-336.HE Qing,LI Ling,LUO Wen-juan,et al.A Survey of Machine Learning Algorithms for Big Data[J].Pattern Recognition and Artificial Intelligen ce,2014,27(04):327-336.

[10] 黃宜華.大數據機器學習系統研究進展[J].大數據,2015,1(01):28-47.HUANG Yi-hua.Research Progress on Big Data Machine Learning System[J].Big Data Research,2015,1(01):28-47.

[11] 郭慶.激活云火墻殲滅網絡僵尸[J].信息安全與通信保密,2009(11):37.GUO Qing.Activate the Cloud Firewall Destroy Botnet[J].Information Security and Communications Privacy,2009(11):37.