一種資源池+SDN引流的安全云專線技術

馬劍光，甘小強，陳 誠

（中國聯合網絡通信集團有限公司江西省分公司，江西 南昌 330096）

由于當前日益復雜的網絡安全威脅，智能化的高端安全產品需求量不斷增加；同時，隨著云計算的快速發展，未來網絡安全需求也逐漸轉向云端實現。傳統的傳統安全產品是計算（檢測）+存儲（審計）+通信（網關）能力的組合體，主要以CPE終端（如防火墻）為核心，為用戶提供安全功能保障。因為成本較高，所以只適合企業、教育、集團、金融、政府等集團大客戶。同時，目前傳統網絡安全建設也是問題重重：首先，企業網絡安全構建的成本高、維護難度大，且3～5年后安全設備就存在軟件及硬件的升級換代問題；其次，網絡安全服務以硬件產品進行交付，交付周期長，需要專人進行開通及維護。最后，開通及安裝需要專業人員到達現場，不能實現快速安裝、不能一鍵免維，需要大量的專業技術人員進行裝機及維護。

1 研究目的

隨著SDN化技術的演進與發展，傳統的網絡安全技術逐步演進為“資源池+SDN引流”的安全技術，通過現有SDN技術與云資源池、CPE設備（安全網關）相結合實現網絡安全的防護，從而實現了運營商實現快速安裝、極簡運維。

當前，利用“資源池技術+SDN引流”技術可實現通信設備與計算存儲資源的解耦，NFV技術在全球范圍內得到大規模商用和驗證。“資源池技術+SDN引流技術”使運營商不僅能將網絡安全服務于企業、教育、集團、金融、政府等集團大客戶，也可提供適用于中小微企業及連鎖機構、沿街商鋪、專業市場的網絡安全服務。

2 實現思路

2.1 總體實現思路

云技術是一種高度可擴展的計算方式，通過互聯網將資源以“按需服務”的形式提供給用戶，而用戶不需要了解、控制、支持這些服務的技術基礎架構[1]。

安全云專線充分利用“資源池技術+SDN引流技術”技術，采用控制與存儲轉發分離的設計方式為企業用戶提供安全網絡服務。安全云專線需要兩個資源池來實施部署：一個云資源池發揮SDN控制器的作用，實現對安全資源池及安全網關的控制及調度；另一個云資源池為安全資源池，資源池采用內嵌安全組件的方式實現流量的存儲轉發、安全功能的實現及安全審計日志存儲等功能。

2.2 總體設計方案

安全云專線是一種以“資源池技術+SDN引流”技術為核心，通過部署隨選節點實現overlay與underlay網絡相結合，通過VXLAN建立端到端跨業務域通道，實現安全服務的推送，提供一種面向客戶安全服務的overlay網絡[2]。

安全云專線網絡體系主要由門戶網站、ITMS終端管理平臺、SDN控制器、安全資源池以及安全網關組成。ITMS終端管理平臺實現企業用戶寬帶業務的開通，SDN控制器負責安全業務的開通，主要實現對資源池及安全網關管理及配置下發。

圖1 運營商安全云專線網絡結構圖

安全云專線通過在安全網關與安全資源池之間內嵌Vxlan隧道實現專線業務的互通，同時保障業務的安全隔離，從而實現安全業務的自助訂閱與自動開通。

⊙ ITMS網管負責傳統寬帶業務或者互聯網業務的管理及開通。

⊙ 接入城域網負責OLT及BRAS業務的數據下發和管理。

⊙ 用戶通過運營商門戶訂購安全產品，安全資源池負責將安全服務推送至安全網關，安全網關采用插件方式接收資源池推送的組件并內置，為用戶提供可選購的安全服務。

安全云專線業務除了平臺、安全網關、資源池的部署外，同時也需通過如下4個關鍵技術，使企業客戶能根據不同業務實現自助訂閱不同的安全服務，實現用戶業務的網絡加固及安全保障：一是業務處理及和分流技術；二是實現資源統一管理的SDN技術；三是多租戶訪問技術；四是實現安全網關與安全池的VXLAN隧道構建等關鍵技術。

2.3 業務處理及分流

安全云專線采用業務處理及分流技術，用戶可以根據其互聯網業務、專線業務、上云業務等，訂閱不同的安全服務。

圖2 業務處理及分流圖

（1）企業普通互聯網應用及寬帶上網，可通過網關識別業務流后，不加任何協議封裝及安全服務，通過BRAS直接轉發至互聯網。

（2）企業需要安全的互聯網應用及寬帶上網業務，在網關識別業務流以后，通過VXLAN將其進行封裝并送至安全池進行安全加固后推送至互聯網。

（3）企業需要網絡安全服務的入云業務或者其他專線業務，在網關識別業務流、進行VXLAN封裝后將其傳輸至安全池進行安全加固，然后再轉發至目的IP地址。

2.4 方案特點

（1）業務自助訂閱、安全服務自助開通，可實現快速安裝、一鍵免維，無須耗費大量的專業技術人員及裝機及維護時間。

（2）安全防護及服務采用虛擬化技術提供，以云資源池部署軟件的形態存在。可按用戶需求自助訂閱后，通過工單方式由SDN控制器下發配置到用戶端。

（3）通過對安全設備的資源池化，實現對安全資源的統一納管、集中調度和調配，彈性可擴展[3]。

（4）通過門戶Portal、OSS與SDN控制器的協同，實現安全服務、業務網絡、管理網絡等相關網絡功能，同時實現對安全實例的高效流量牽引[3]。

（5）采用多租戶的概念，使得不同租戶訪問同一虛擬機成為可能，降低了安全資源池的建設成本及耗費的云資源。

2.5 安全服務描述

表1 安全服務功能表

2.6 安全網關與安全池的VXLAN隧道構建

由SDN控制安全網關并對安全網關訪問安全資源池要求進行發令請求，安全網關的訪問請求能夠通過接入的網絡進行有效的轉發，與公共網絡中安全資源池進行通信，而安全資源池里的Vroute及Vnat功能在對本地的流表實施查詢的同時可進行最合理有效地匹配。流表在匹配中完全成功后，就能送達安全池的安全組件。如果安全池能夠充分接受相關訪問請求，用戶就能夠訪問相關的安全資源。在請求指令發送之后，SDN控制器就能夠直接接受該方面的指令請求，同時對整個網絡結構中的相關安全網關部署狀況實施查詢。在現網中如果部署了安全網關，SDN控制器就向此網絡中的安全資源池發送指令，同時構建路由，建立Vxlan實現安全傳輸。

2.7 多租戶訪問技術

傳統安全云的租戶概念采用一個租戶訪問一個虛擬機方式，導致安全云資源池資源缺乏有效利用，因而建設成本高。安全云專線采用統一的架構和管理平臺為多租戶提供可自定義的私有云環境，且各環境之間相互獨立、互不干擾。安全資源池采用多租戶訪問技術，可使得多個租戶訪問一個安全虛擬機，每個租戶建立不同的用戶訪問界面，使安全池的CPU及內存資源利用率大大提高：同一個虛擬機支持每租戶單獨的日志信息、租戶之間的信息相互隔離、相互無法查看，從而保證租戶信息安全。

2.8 安全云專線可提供的安全服務及保障

安全云專線采用“資源池技術+SDN引流”架構，將安全組件內置于云資源池內，通過SDN安全網關引流方式實現對用戶的網絡安全服務。可提供的主要安全服務如下。

（1）互聯網訪問行為審計與控制：應用識別、URL過濾、流量控制、流量清洗、行客認證、商客認證、日志報表等服務。

（2）入侵防御與病毒防護：安全策略、L2～L7層的全面防護、應用識別檢測、數據防泄漏等服務。

（3）威脅檢測與溯源：數據采集、AI智能建模及算法、攻擊模擬分析、攻擊及威脅分析處置、業務性能分析等服務。

（4）上網行為感知：工作效率分析、關鍵事件分析、校園網貸過濾、沉迷網絡防護、用戶行為畫像等服務。

3 安全云專線的方案特點

安全云專線相比傳統防火墻具備有以下幾個特點。

（1）安全服務可自助訂閱、自助開通，具有快速安裝、一鍵免維等特點，因此避免了大量的專業技術人員及裝機及維護時間的消耗。

（2）安全服務采用虛擬化技術提供，以云資源池部署軟件的形態存在，可按用戶需求自助訂閱后通過工單方式，采用SDN控制器下發配置到安全網關實現。

（3）通過安全設備的資源池化，實現對安全資源及設備的統一納管與集中調度，具備彈性可擴展的優點。

（4）通過門戶Portal、OSS與SDN控制器的協同，實現了安全服務及業務網絡和管理網絡等網絡功能，最大程度對安全實例進行高效的流量牽引。

（5）采用多租戶的概念，使得不同租戶訪問同一虛擬機成為可能，降低了安全資源池的建設成本及耗費的云資源。

4 結束語

網絡技術在企業辦公和生產中發揮難以取代的作用，因此網絡安全問題也將長期存在且日益重要。如何保證用戶網絡安全性，為企業構建低成本、高效、安全的網絡環境是目前各運營商需要考慮的問題，“資源池+SDN引流”技術的安全云專線實現了用戶安全服務的自助訂閱、自助開通，同時采用多租戶技術為用戶提供性價比更高的安全服務。■