◆任俊明

（山西潞安環(huán)保能源開發(fā)股份有限公司煤炭運銷總公司 山西 046204）

網(wǎng)絡(luò)安全系統(tǒng)的分布式部署淺論

◆任俊明

（山西潞安環(huán)保能源開發(fā)股份有限公司煤炭運銷總公司 山西 046204）

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)出現(xiàn)了網(wǎng)絡(luò)配置復(fù)雜度高、網(wǎng)絡(luò)安全設(shè)備性能出現(xiàn)瓶頸等問題，可編程網(wǎng)絡(luò)的相關(guān)研究為解決這些問題提供了理論依據(jù)和數(shù)學(xué)支撐。網(wǎng)絡(luò)安全配置如果能分布式部署在網(wǎng)絡(luò)接入層設(shè)備上，將大大減輕網(wǎng)絡(luò)邊界安全設(shè)備的壓力，提高網(wǎng)絡(luò)運行效率。本文討論了在可編程網(wǎng)絡(luò)的相關(guān)技術(shù)下，實現(xiàn)網(wǎng)絡(luò)安全的分布式部署的理論可行性。

可編程網(wǎng)絡(luò)；分布式；網(wǎng)絡(luò)安全

0 引言

近年來，隨著計算機及網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，計算機可以處理的數(shù)據(jù)和程序也由單臺計算機上的數(shù)學(xué)運算、文件處理，拓?fù)浣Y(jié)構(gòu)較簡單的局域網(wǎng)上的內(nèi)部業(yè)務(wù)處理、辦公自動化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（Intranet）、企業(yè)外部網(wǎng)（Extranet）、全球互聯(lián)網(wǎng)（Internet）的企業(yè)級信息處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。隨著“云計算”、“物聯(lián)網(wǎng)”、“大數(shù)據(jù)”、“互聯(lián)網(wǎng)+”、“萬物互聯(lián)”等新興計算機概念的興起，計算機網(wǎng)絡(luò)越來越成為影響國計民生的重大基礎(chǔ)設(shè)施。網(wǎng)絡(luò)安全日益成為關(guān)系國家安全和主權(quán)、社會穩(wěn)定的重要問題。網(wǎng)絡(luò)安全正隨著全球信息化步伐的加快而變得越來越重要。同時，隨著網(wǎng)絡(luò)安全需求的日益提高，不少企業(yè)和大中型組織在維護網(wǎng)絡(luò)安全卻遇到了很多困境。

1 網(wǎng)絡(luò)安全的困境

1.1 網(wǎng)絡(luò)威脅種類越來越多

現(xiàn)在的網(wǎng)絡(luò)威脅形式，早已不是簡單的針對網(wǎng)絡(luò)邊界網(wǎng)關(guān)的攻擊，網(wǎng)絡(luò)威脅更大幾率是從網(wǎng)絡(luò)內(nèi)部的某臺計算機上觸發(fā)的，往往由于某臺計算機接入了不明來源的移動存儲設(shè)備或打開了某個外網(wǎng)的壓縮包就被感染了病毒，隨機感染了大量內(nèi)網(wǎng)計算機。以往那種在網(wǎng)絡(luò)出口處安裝一個防火墻（或增強型的所謂統(tǒng)一網(wǎng)關(guān)之類設(shè)備）就能防御所有網(wǎng)絡(luò)威脅的方案顯然不再適用，由于威脅來自內(nèi)部，并沒有通過網(wǎng)絡(luò)邊界，網(wǎng)絡(luò)邊界上再強的處理能力都望洋興嘆。也有很多網(wǎng)絡(luò)安全公司（主要是殺毒軟件廠商）開始提出“網(wǎng)絡(luò)版殺毒”的概念，究其原理，不過是在入網(wǎng)的每臺計算機上安裝一套殺毒（或防火墻）軟件，再由企業(yè)自建的統(tǒng)一殺毒軟件升級服務(wù)器對這些殺毒軟件和防火墻進行病毒定義和安全規(guī)則升級。更甚一些的，會通過IEEE802.1x協(xié)議，對入網(wǎng)計算機進行“準(zhǔn)入控制”，強制要求必須安裝這一殺毒軟件（甚至可以限制操作系統(tǒng)、USB端口是否啟用等“準(zhǔn)入條件”）的計算機才可以接入網(wǎng)絡(luò)。這一方案也有其弊端，首先，在每一臺計算機終端上安裝相同的殺毒軟件在幾年前也許還有可能，在BYOD（Bring Your Own Device指攜帶自己的設(shè)備辦公，這些設(shè)備包括個人電腦、手機、平板等）大潮愈演愈烈的當(dāng)今，隨著終端的類型、性能、歸屬等的參差不齊，幾乎不可能完成統(tǒng)一殺毒軟件這樣的任務(wù)，更進一步說，很多殺毒軟件極其耗費系統(tǒng)資源，對性能較低的終端，根本無法滿足安裝的需求；其次，即便所有終端都滿足了殺毒軟件安裝的性能需求，同時也是企業(yè)內(nèi)部管理的計算機，同樣會由于殺毒軟件占用系統(tǒng)資源而造成運算能力的浪費，以至于很多用戶戲稱“裝殺毒軟件還不如中個病毒，起碼電腦能快點”；最后，殺毒軟件或系統(tǒng)補丁都屬于被動安全，網(wǎng)絡(luò)威脅產(chǎn)生時，如果安全軟件廠商或操作系統(tǒng)廠商沒有及時更新病毒定義或系統(tǒng)補丁，甚至沒有及時反饋到安全威脅，那么這套體系將眼睜睜看著網(wǎng)絡(luò)威脅肆虐而無能為力。

1.2 對防火墻性能要求越來越高

即使是應(yīng)對傳統(tǒng)的針對邊界設(shè)備的安全威脅，防火墻性能也是一個不得不考慮的坎。防火墻本來是從路由器衍生而來，都是處于網(wǎng)絡(luò)邊界的設(shè)備，隨著網(wǎng)絡(luò)威脅的不同展現(xiàn)形式，現(xiàn)在防火墻也不得不處于“軍備競賽”的狀況之中，從最初的僅僅是包過濾到現(xiàn)在解包的層級越來越高，甚至產(chǎn)生了號稱“應(yīng)對一到七層所有網(wǎng)絡(luò)威脅”的統(tǒng)一網(wǎng)關(guān)設(shè)備，對所有數(shù)據(jù)進行細致的拆包檢查。拆包層數(shù)越多，對防火墻的性能需求就越高。即使是這樣，也難免出現(xiàn)漏網(wǎng)之魚，對于很多加密壓縮數(shù)據(jù)，不要說很多安全網(wǎng)關(guān)設(shè)備僅僅是盒式設(shè)備，就是動用幾臺服務(wù)器去運算，也很難在瞬間就解開這些數(shù)據(jù)包，這些所謂的安全網(wǎng)關(guān)，一定是犧牲了網(wǎng)絡(luò)的通過性能來獲得安全性的，難免產(chǎn)生網(wǎng)絡(luò)延遲的加大等弊端。

2 SDN可編程網(wǎng)絡(luò)帶來的新思路

談到SDN可編程網(wǎng)絡(luò)，我們要從Open Flow說起。2006年，斯坦福大學(xué)開始了一個名為Clean Slate項目，希望能夠重新設(shè)計現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。同年，斯坦福的學(xué)生 Martin Casado開始了一個網(wǎng)絡(luò)安全與管理的項目Ethane，主要思想是通過集中控制設(shè)備，讓網(wǎng)絡(luò)管理人員可以快捷地定義網(wǎng)絡(luò)流上的安全控制策略，同時將這些安全策略方便地部署到各類網(wǎng)絡(luò)設(shè)備中，繼而實現(xiàn)整個網(wǎng)絡(luò)通訊的安全控制。在這個項目的啟發(fā)下，Martin和他的導(dǎo)師Nick McKeown教授意識到，如果將這一設(shè)計推而廣之，把傳統(tǒng)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)和路由控制兩個功能模塊分離開來，用集中控制設(shè)備設(shè)計一個標(biāo)準(zhǔn)化的接口對各類網(wǎng)絡(luò)設(shè)備進行統(tǒng)一管理和配置，那么這將為網(wǎng)絡(luò)資源的設(shè)計、管理和使用提供更大的自定義空間，從而更為網(wǎng)絡(luò)的革新與發(fā)展開創(chuàng)出一個完全不同的新天地，他們將這一概念稱之為Open Flow。在Open Flow為網(wǎng)絡(luò)帶來的可編程的特性基礎(chǔ)上，Nick教授和他的團隊進一步將其發(fā)展出了SDN可編程網(wǎng)絡(luò)：若將網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)設(shè)備視為可管理的資源，參照操作系統(tǒng)的結(jié)構(gòu)，可以把他們想象成一個網(wǎng)絡(luò)操作系統(tǒng)（Network OS）。這個網(wǎng)絡(luò)操作系統(tǒng)一方面把底層網(wǎng)絡(luò)設(shè)備的具體細節(jié)透明化、簡單化、標(biāo)準(zhǔn)化、抽象化，同時還為上層應(yīng)用提供了統(tǒng)一的管理視圖和編程接口。這樣，在這個網(wǎng)絡(luò)操作系統(tǒng)平臺上，我們可以編寫各種各樣的程序和應(yīng)用，通過代碼或視圖來重新定義邏輯網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以滿足用戶對網(wǎng)絡(luò)資源的不同層次需求，再也不需要考慮底層網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。

由此可見，SDN可編程網(wǎng)絡(luò)從誕生之初就是為了解決網(wǎng)絡(luò)安全與管理的問題而生的，在SDN可編程網(wǎng)絡(luò)日新月異的進化發(fā)展后，我們可以在SDN的基礎(chǔ)上，尋找到更高效、更便捷的網(wǎng)絡(luò)安全解決思路。

3 網(wǎng)絡(luò)安全系統(tǒng)分布式部署

SDN可編程網(wǎng)絡(luò)給網(wǎng)絡(luò)概念的沖擊無疑是翻天覆地的，它同樣會極大地改變網(wǎng)絡(luò)安全系統(tǒng)的形態(tài)，它給網(wǎng)絡(luò)安全的部署帶來了以下幾個轉(zhuǎn)變：

3.1 讓“防火墻”無處不在

SDN的控制面是獨立于轉(zhuǎn)發(fā)面的，同時對轉(zhuǎn)發(fā)面的行為實現(xiàn)可控，使得我們完全可以在控制面編程來實現(xiàn)新的網(wǎng)絡(luò)協(xié)議，我們可以針對不同的網(wǎng)絡(luò)威脅編制網(wǎng)絡(luò)協(xié)議自行實現(xiàn)新的功能，可以簡單的說，我們可以將底層任何一個網(wǎng)絡(luò)設(shè)備通過編程的方法讓它變成一個“防火墻”。大大抑制很多內(nèi)網(wǎng)威脅的生存空間。

3.2 讓“防火墻”虛擬化，實現(xiàn)性能聚合

SDN可編程網(wǎng)絡(luò)不僅僅是實現(xiàn)了單個網(wǎng)絡(luò)節(jié)點的可編程，更是將編程的可能性實現(xiàn)到了整個網(wǎng)絡(luò)上?？刂圃O(shè)備的存儲內(nèi)存儲有全局所有設(shè)備的拓?fù)?，可以計算任意?jié)點之間的路由，并控制轉(zhuǎn)發(fā)路徑。同樣每個終端設(shè)備的接入權(quán)限也可以由控制設(shè)備完全控制，轉(zhuǎn)發(fā)面設(shè)備完全沒有感知。通過這一功能，我們可以將以前單一“防火墻”所做的工作分成很多工作片段，由很多個底層網(wǎng)絡(luò)設(shè)備協(xié)同完成，大大減輕單一網(wǎng)絡(luò)設(shè)備的負(fù)擔(dān)，提升整個網(wǎng)絡(luò)響應(yīng)性能。

3.3 完全不再占用PC的運算能力

通過以上兩項，我們獲得了一個無處不在的、性能超強的虛擬“防火墻”，任何接入到網(wǎng)絡(luò)中的設(shè)備都可以在這個防火墻的防護之下，PC端可以完全棄用防火墻軟件，僅保留一定的U盤病毒查殺能力，大大減少PC端的負(fù)擔(dān)。

4 結(jié)語

我們不能期望SDN成為解決現(xiàn)在所有網(wǎng)絡(luò)安全問題的“萬金油”，不存在任何一項單獨技術(shù)可以解決所有問題。但是，SDN確實給網(wǎng)絡(luò)安全的部署及使用帶了許多新的思路，我們希望在不遠的將來，網(wǎng)絡(luò)安全問題可以真正得到妥善解決，還我們一個清新的網(wǎng)絡(luò)環(huán)境。

[1]斯坦福大學(xué)Clean Slate項目網(wǎng)站，http：//cleanslate.sta nford.edu/.

[2]陳文華.基于SDN技術(shù)的互聯(lián)網(wǎng)發(fā)展與運營探討[J].廣東通信技術(shù)，2013.

[3]袁廣翔.軟件定義網(wǎng)絡(luò)技術(shù)發(fā)展與應(yīng)用研究[J].現(xiàn)代電信科技，2013.

[4]趙慧玲，馮明，史凡.SDN――未來網(wǎng)絡(luò)演進的重要趨勢[J].電信科學(xué)，2012.